NIST-i järgimise saavutamine pilves: strateegiad ja kaalutlused
Digitaalses ruumis vastavuse virtuaalses rägastikus navigeerimine on tõeline väljakutse, millega tänapäeva organisatsioonid silmitsi seisavad, eriti mis puudutab National Institute of Standards and Technology (NIST) küberturvalisuse raamistik.
See sissejuhatav juhend aitab teil NIST-i paremini mõista Küberturvalisus Raamistik ja kuidas saavutada NIST-i vastavus pilves. Hüppame sisse.
Mis on NIST küberturvalisuse raamistik?
NIST küberturvalisuse raamistik annab organisatsioonidele ülevaate oma küberturvalisuse riskijuhtimisprogrammide arendamiseks ja täiustamiseks. See on mõeldud olema paindlik, koosnedes paljudest rakendustest ja lähenemisviisidest, et võtta arvesse iga organisatsiooni unikaalseid küberturvalisuse vajadusi.
Raamistik koosneb kolmest osast – põhiosast, juurutustasanditest ja profiilidest. Siin on ülevaade igaühe kohta:
Raamistiku tuum
Framework Core sisaldab viit peamist funktsiooni, mis pakuvad tõhusat struktuuri küberjulgeolekuriskide haldamiseks:
- Identifitseerima: hõlmab a. väljatöötamist ja jõustamist küberjulgeolekupoliitika mis kirjeldab organisatsiooni küberturvariski, küberrünnakute ennetamise ja juhtimise strateegiaid ning organisatsiooni tundlikele andmetele juurdepääsu omavate isikute rolle ja kohustusi.
- Kaitsta: Sisaldab tervikliku kaitseplaani väljatöötamist ja regulaarset rakendamist, et vähendada küberjulgeoleku rünnakute ohtu. See hõlmab sageli küberturvalisuse koolitust, ranget juurdepääsukontrolli, krüptimist, tungimise testimineja tarkvara värskendamine.
- Tuvasta: Hõlmab asjakohaste tegevuste väljatöötamist ja regulaarset rakendamist, et küberturvarünnak võimalikult kiiresti ära tunda.
- Vasta: See hõlmab kõikehõlmava plaani väljatöötamist, mis kirjeldab küberjulgeoleku rünnaku korral astutavaid samme.
- Taasta: Hõlmab asjakohaste tegevuste väljatöötamist ja rakendamist, et taastada intsidendi mõju, parandada turvatavasid ja jätkata kaitset küberturvalisuse rünnakute eest.
Nendes funktsioonides on kategooriad, mis täpsustavad küberturvalisusega seotud tegevusi, alamkategooriad, mis jaotavad tegevused täpseteks tulemusteks, ja informatiivsed viited, mis pakuvad iga alamkategooria kohta praktilisi näiteid.
Raamistiku rakendamise tasemed
Raamistiku rakendamise tasemed näitavad, kuidas organisatsioon küberjulgeolekuriske näeb ja haldab. Taset on neli:
- 1. tase: osaline: Vähe teadlikkust ja rakendab küberturvalisuse riskijuhtimist juhtumipõhiselt.
- 2. tase: riskiteadlik: Küberturvalisuse riskiteadlikkuse ja -juhtimise tavad on olemas, kuid ei ole standardiseeritud.
- 3. tase: korratav: Ametlikud ettevõtteülesed riskijuhtimise poliitikad ja ajakohastavad neid regulaarselt, lähtudes muutustest ärinõuetes ja ohumaastikul.
- 4. tase: kohanduv: Tuvastab ja ennustab ennetavalt ohte ning täiustab küberturvalisuse praktikaid, mis põhinevad organisatsiooni varasematel ja praegustel tegevustel ning arenevatel küberjulgeolekuohtudel, -tehnoloogiatel ja -tavadel.
Raamistiku profiil
Raamprofiil kirjeldab organisatsiooni Framework Core vastavust selle ärieesmärkidele, küberturvalisuse riskitaluvust ja ressursse. Profiilide abil saab kirjeldada küberjulgeoleku haldamise hetkeseisu ja sihtmärki.
Praegune profiil illustreerib, kuidas organisatsioon praegu küberturvariskidega tegeleb, samas kui sihtprofiil kirjeldab üksikasjalikult tulemusi, mida organisatsioon vajab küberjulgeoleku riskide juhtimise eesmärkide saavutamiseks.
NIST-i vastavus pilves ja kohapealsetes süsteemides
Kuigi NIST küberturvalisuse raamistikku saab rakendada kõikidele tehnoloogiatele, cloud computing on ainulaadne. Uurime mõnda põhjust, miks NIST-i järgimine pilves erineb traditsioonilisest kohapealsest infrastruktuurist.
Turvalisuse vastutus
Traditsiooniliste kohapealsete süsteemide puhul vastutab kogu turvalisuse eest kasutaja. Pilvandmetöötluses on turvakohustused jagatud pilveteenuse pakkuja (CSP) ja kasutaja vahel.
Seega, kuigi CSP vastutab pilve (nt füüsilised serverid, infrastruktuur) turvalisuse eest, vastutab kasutaja pilve turvalisuse eest (nt andmed, rakendused, juurdepääsuhaldus).
See muudab NIST Frameworki struktuuri, kuna see nõuab plaani, mis võtab arvesse mõlemat osapoolt ja usaldab CSP turbehaldust ja süsteemi ning selle võimet säilitada NIST-i vastavust.
Andmete asukoht
Traditsioonilistes kohapealsetes süsteemides on organisatsioonil täielik kontroll selle üle, kus tema andmeid salvestatakse. Seevastu pilvandmeid saab salvestada erinevatesse kohtadesse kogu maailmas, mis toob kaasa erinevad vastavusnõuded, mis põhinevad kohalikel seadustel ja määrustel. Organisatsioonid peavad pilves NIST-i vastavuse säilitamisel sellega arvestama.
Skaleeritavus ja elastsus
Pilvekeskkonnad on loodud olema väga skaleeritavad ja elastsed. Pilve dünaamiline olemus tähendab, et ka turvakontrollid ja -poliitikad peavad olema paindlikud ja automatiseeritud, muutes NIST-i järgimise pilves keerulisemaks.
Mitmekordne üürimine
Pilves võib CSP samasse serverisse salvestada andmeid paljudelt organisatsioonidelt (mitme teenusepakkuja). Kuigi see on avalike pilveserverite puhul tavaline tava, toob see kaasa täiendavaid riske ja keerukust turvalisuse ja vastavuse säilitamisel.
Pilveteenuse mudelid
Turvaülesannete jaotus muutub olenevalt kasutatava pilveteenuse mudeli tüübist – Infrastructure as a Service (IaaS), Platform as a Service (PaaS) või Software as a Service (SaaS). See mõjutab seda, kuidas organisatsioon raamistikku rakendab.
NIST-i järgimise saavutamise strateegiad pilves
Arvestades pilvandmetöötluse ainulaadsust, peavad organisatsioonid rakendama konkreetseid meetmeid, et saavutada NIST-i järgimine. Siin on nimekiri strateegiatest, mis aitavad teie organisatsioonil NIST küberturvalisuse raamistikku järgida ja seda säilitada.
1. Mõistke oma vastutust
Tehke vahet CSP ja enda kohustuste vahel. Tavaliselt tegelevad CSP-d pilveinfrastruktuuri turvalisusega samal ajal, kui haldate oma andmeid, kasutajate juurdepääsu ja rakendusi.
2. Viige läbi regulaarseid turvalisuse hindamisi
Võimalike võimaluste tuvastamiseks hinnake perioodiliselt oma pilveturvet turvaaukude. Kasutage ära töövahendid pakub teie CSP ja kaaluge erapooletu vaatenurga jaoks kolmanda osapoole auditeerimist.
3. Kaitske oma andmeid
Kasutage puhke- ja edastatavate andmete jaoks tugevaid krüpteerimisprotokolle. Volitamata juurdepääsu vältimiseks on võtmete õige haldamine hädavajalik. Samuti peaksite seadistage VPN ja tulemüürid võrgu kaitse suurendamiseks.
4. Rakendage tugeva identiteedi ja juurdepääsu haldamise (IAM) protokollid
IAM-süsteemid, nagu mitmefaktoriline autentimine (MFA), võimaldavad teil anda juurdepääsu teadmisvajaduse alusel ja takistada volitamata kasutajatel teie tarkvara ja seadmeid sisenemast.
5. Jälgige pidevalt oma küberturvariski
Finantsvõimendus Turvateabe ja sündmuste haldamise (SIEM) süsteemid ja sissetungimise tuvastamise süsteemid (IDS) pidevaks jälgimiseks. Need tööriistad võimaldavad teil kiiresti reageerida mis tahes hoiatustele või rikkumistele.
6. Töötage välja juhtumitele reageerimise plaan
Töötage välja täpselt määratletud intsidentidele reageerimise plaan ja veenduge, et teie meeskond on protsessiga kursis. Vaadake plaan regulaarselt üle ja testige selle tõhususe tagamiseks.
7. Viige läbi regulaarseid auditeid ja ülevaatusi
Läbi viima regulaarsed turvaauditid NIST-i standardite vastaselt ning kohandage oma eeskirju ja protseduure vastavalt. See tagab, et teie turvameetmed on ajakohased ja tõhusad.
8. Treeni oma personali
Varustage oma meeskond vajalike teadmiste ja oskustega pilveturbe parimate tavade ja NIST-i järgimise olulisuse kohta.
9. Tehke regulaarselt koostööd oma CSP-ga
Võtke regulaarselt ühendust oma CSP-ga nende turvatavade osas ja kaaluge nende võimalikke täiendavaid turbepakkumisi.
10. Dokumenteerige kõik pilveturbekirjed
Hoidke kõigi pilveturbega seotud poliitikate, protsesside ja protseduuride kohta täpset arvestust. See võib aidata tõendada NIST-i vastavust auditite ajal.
HailBytesi võimendamine NIST-i järgimiseks pilves
Kui NIST küberturvalisuse raamistiku järgimine on suurepärane viis küberjulgeolekuriskide eest kaitsmiseks ja haldamiseks, NIST-i järgimise saavutamine pilves võib olla keeruline. Õnneks ei pea te pilveküberturvalisuse ja NIST-i järgimise keeruliste probleemidega üksi tegelema.
Pilveturbe infrastruktuuri spetsialistidena HailBytes on siin, et aidata teie organisatsioonil saavutada ja säilitada NIST vastavust. Pakume tööriistu, teenuseid ja koolitusi, et tugevdada teie küberjulgeolekut.
Meie eesmärk on muuta avatud lähtekoodiga turbetarkvara hõlpsaks seadistamiseks ja raskesti sissetungitavaks. HailBytes pakub hulgaliselt küberturvalisuse tooted AWS-is et aidata teie organisatsioonil pilveturvet parandada. Pakume ka tasuta küberjulgeolekualase koolituse ressursse, mis aitavad teil ja teie meeskonnal arendada tugevat arusaamist turvainfrastruktuurist ja riskijuhtimisest.
autor
Zach Norton on Pentest-Tools.com-i digitaalturunduse spetsialist ja ekspertkirjanik, kellel on mitmeaastane kogemus küberturvalisuse, kirjutamise ja sisu loomise alal.
