ما تأثير ذلك على الأمن السحابي ونماذج SaaS؟

استجابةً للجهات الفاعلة الضارة التي تستهدف أنظمة تكنولوجيا المعلومات الفيدرالية الأمريكية وسلسلة التوريد الخاصة بهم ، أصدر الرئيس “”الأمر التنفيذي بشأن تحسين الأمن السيبراني للأمة (الأمر التنفيذي). ”

على الرغم من أنه موجه إلى الإدارات والوكالات الفيدرالية ، فمن المحتمل أن يكون للأمر التنفيذي تأثير تموج من خلال تيار توريد التكنولوجيا الفيدرالي. ستبحث الشركات والمؤسسات الخاصة إلى الأمر التنفيذي لبناء أفضل ممارساتها.

على مستوى عالٍ ، يتضمن الطلب التنفيذي متطلبات تبادل المعلومات ، ودفع نحو بنية Cloud و Zero Trust ، وتعزيز الشفافية في سلسلة إمداد البرمجيات.

فهم أساسيات الأمر التنفيذي للبيت الأبيض بشأن تحسين الأمن السيبراني للأمة

يركز الجزء الأكبر من الأمر التنفيذي على المهام الإدارية المرتبطة بها ، بما في ذلك إعادة تعريف لغة العقد ، وتحديد الجداول الزمنية ، وتحديد أدوار ومسؤوليات الوكالة. بالنسبة للمؤسسات التي لا توفر تكنولوجيا الحكومة الفيدرالية ، قد يشعر الأمر التنفيذي غير مهم.

في الواقع ، يمكن استخدام العديد من المبادئ الأساسية من قبل الشركات التي تعمل خارج سلسلة التوريد الفيدرالية لتكنولوجيا المعلومات ، بما في ذلك:

• مشاركة ذكاء أفضل
• تحديث البنية التحتية للوكالة مع Cloud و Zero Trust
• تأمين سلسلة إمداد برمجيات تكنولوجيا المعلومات الفيدرالية

ما يقوله الأمر التنفيذي

نص الأمر التنفيذي طويل ويأتي مع كل المصطلحات التنظيمية المرتبطة بالقانون. تقسيمها إلى قطع حجم اللدغة يعطي نظرة عامة جيدة.

مشاركة معلومات أفضل

النقطة القصيرة والمختصرة لهذا النقطة هي أن “كل شخص يحتاج إلى اللعب بشكل جيد والتوقف عن الاختباء وراء العقود”. باختصار ، يتطلع الأمر التنفيذي إلى إنشاء فرصة لتبادل المعلومات أكثر جدوى للوكالات والبائعين عندما يجد الممثلون للتهديدات الثغرة الأمنية واستغلالها.

انتقل إلى السحابة وإنشاء بنية ثقة صفرية

على الرغم من أن هذا يتكلم في الغالب عن نفسه ، إلا أن المتطلبات في الأمر التنفيذي خلقت القليل من الذعر عبر الفضاء الفيدرالي لأن الكثير من الجداول الزمنية قصيرة للغاية. على سبيل المثال ، في غضون 60 يومًا ، تحتاج الوكالات الفيدرالية إلى:

• إعطاء الأولوية للموارد للانتقال إلى السحابة بأسرع ما يمكن
• خطط لتنفيذ Zero Trust Architecture (ZTA)
• احصل على الأشياء الآمنة قدر الإمكان وعلاج مخاطر الإنترنت

أخيرًا ، في غضون 180 يومًا ، يحتاجون جميعًا إلى اعتماد مصادقة متعددة العوامل (MFA) وتشفير كل من AT-Rest و in-tansit. مع وجود الوكالات التي تتبنى تطبيقات البرمجيات كخدمة (SAAS) لتحديث مداخن تكنولوجيا المعلومات والهوية والتحكم في الوصول ، بما في ذلك المصادقة متعددة العوامل ، بمثابة استراتيجية أولية لتخفيف المخاطر.

تأمين سلسلة التوريد

دون الحاجة حتى إلى سرد الاختراقات والانتهاكات الأخيرة لسلسلة التوريد ، فإن هذا هو الأقل إثارة للدهشة من جميع المتطلبات. قلة قليلة من الناس ، يتضمن هذا القسم عدة نقاط رصاصة رئيسية:

• إنشاء معايير لتقييم أمن البرمجيات
• إنشاء قياسي وإجراءات لتطوير البرمجيات الآمنة
• قم بإنشاء “فاتورة للمواد البرمجيات” التي تسرد جميع المكونات “المكونات” التي يستخدمها مطورو “المكونات”

ماذا يعني الأمر التنفيذي للمؤسسات

بالنسبة للوكالات ، سيستغرق هذا القليل من العمل. بالنسبة للمؤسسات ، من المحتمل أن يكون هذا نذيرًا للأشياء القادمة. المشكلة هي أنه على الرغم من أن الطلب التنفيذي هو بداية رائعة ، فإن المتطلبات الأساسية لوضع الثقة الصفرية و MFA والتشفير ، لا تغلق جميع فجوات الأمان السحابية حقًا.

وفقا ل 2021 تقرير تحقيقات خرق البيانات (DBIR) لا تزال عمليات السوء التهوية متجهًا رئيسيًا للتهديدات للبنية السحابية. إن زيادة استخدام تطبيقات البرمجيات كخدمة (SAAS) تؤدي فعليًا إلى أن نمطين مختلفين للهجوم:

• هجمات تطبيق الويب الأساسية: تركز على الأهداف المباشرة ، بدءًا من الوصول إلى بيانات البريد الإلكتروني والتطبيق على الويب لإعادة استخدام تطبيق الويب لتوزيع البرامج الضارة أو التشويه أو الهجمات الموزعة للخدمة (DDOS).
• أخطاء متنوعة: الإجراءات غير المقصودة ، عادة من قبل ممثل داخلي أو ممثلين شريكين ، بما في ذلك إرسال البيانات إلى المستفيدين الخاطئين.

وفقًا لـ DBIR ، تتضمن هجمات تطبيق الويب الأساسية أشياء مثل سرقة الاعتماد وهجمات القوة الغاشمة. وفي الوقت نفسه ، تضمنت مجموعة أخطاء متنوعة أيضًا أشياء مثل تخزين الملفات المستندة إلى مجموعة النظراء التي يتم وضعها على الإنترنت بدون عناصر تحكم.

تُظهر ناقلات الهجوم هذه أهمية إدارة أمن SaaS للأمن السحابي ككل. تفتقر العديد من المؤسسات إلى الوضوح في تكويناتها ، وتكاثر تطبيقات SaaS يجعل مراقبة التكوين اليدوي مستحيلًا تقريبًا. مع استمرار المؤسسات في رحلة التحول الرقمي ، ستصبح مراقبة التكوين والإدارة أكثر صعوبة.

يحتاج الأمان السحابي ، حتى مع التركيز على إنشاء بنية Zero Trust ، إلى دمج أمان تطبيق SaaS. نظرًا لأن الوكالات والمؤسسات في سلسلة التوريد الخاصة بهم تتضمن تطبيقات SAAS ، فإن مخاطر الأمن التي تشكلها عمليات التكوينات التي تشكلها يجب معالجتها.

قائمة تشغيل SaaS SaaS Security

عندما تبدأ الوكالات والمؤسسات في البحث عن حلول ، يجب أن يكون تعزيز أمان SaaS في قائمة “الخطوات الاستباقية لأخذ”.

دمج جميع التطبيقات: السفر على الطريق الطويل والتعرج

يتطلب القيام بأعمال عملك العديد من التطبيقات ، وخاصة عبر القوى العاملة عن بُعد. على الرغم من دورة الشراء الطويلة المحتملة ، فإن إضافة تطبيقات إلى مكدتك سهلة نسبيًا. يقوم فريق تكنولوجيا المعلومات بإنشاء بعض الاتصالات بالبنية التحتية السحابية الخاصة بك باستخدام واجهات برمجة التطبيقات ، ثم يضيف المستخدمين. يمكن للناس الوصول إلى العمل.

تعرف على المزيد حول كيفية منع مخاطر التمييز في عقار SaaS الخاص بك

إدارة أمان تطبيق SaaS على المدى الطويل هي التحدي الكبير. لديك الكثير من التطبيقات ، وكل واحد لديه تكوينات ولغة فريدة. لا يمكن لأي منظمة أن يكون لها خبير في كل لغة تطبيق وتكوين. إذا تمكنت من دمج جميع تطبيقاتك في منصة واحدة تنشئ نهجًا موحدًا للتكوينات ، فأنت تأخذ الخطوة الأولى لأسفل على الطريق الطويل والتعويضي لتأمين البنية التحتية السحابية الخاصة بك.

تحقق من الوصول إلى سياسات الوصول والإنفاذ: توقف

على الرغم من أن الرحلة قد تقول “لا تتوقف عنادن” ، فإن الهندسة المعمارية Zero Trust تعني عدم تصديق أي شخص أو أي شيء حتى توفر الدليل الصحيح. على سبيل المثال ، لا تعمل MFA على نظام يستخدم بروتوكولات المصادقة القديمة مثل IMAP و POP3. إذا كنت بحاجة إلى تأمين مكدس SaaS الخاص بك وتلبية هذه الجداول الزمنية القصيرة ، فأنت بحاجة إلى الرؤية في جميع وصول المستخدم ، وخاصة حاملي الوصول المتميزين مثل Admins Super أو حسابات الخدمة.

تحتاج المؤسسات إلى سياسات موحدة في جميع طلبات SaaS ، مما يضمن الامتثال المستمر. هذا يعني القدرة على تحليل وصول كل مستخدم عبر جميع منصات SaaS الخاصة بك حسب الدور والامتياز ومستوى المخاطر والمنصة مع القدرة على الاختلاط والمطابقة أثناء البحث ، لذلك لديك الرؤى التي تحتاجها ، عندما تحتاج إليها.

القضاء على سوء التكوينات SaaS

مراقبة أمن SaaS بشكل مستمر: أنت تعرف

الجزء الأصعب من SaaS Security هو أنه يتغير بشكل مستمر ، مثل مشاركة الموظفين في المستندات مع أطراف ثالثة أو إضافة مستخدمين جدد غير المؤجرين إلى منصات التعاون. المشكلة هي أن الأمر التنفيذي ومعظم ولايات الامتثال الأخرى يفترضون أنك تعرف وضعك للمخاطر لأنك تراقب أمانك باستمرار.

تحتاج دائمًا إلى أمان SaaS الذي يوفر تحديد المخاطر في الوقت الفعلي ، والتنبيهات القائمة على السياق ، وتحديد أولويات المخاطر.

أتمتة أنشطة العلاج: لن تخذلك أبدًا

لا يمكن لأي إنسان واحد إدارة أمن SaaS يدويًا.

إدارة المخاطر التي تنشأ يدويًا عن العديد من المستخدمين ، والعديد من التطبيقات ، والكثير من المواقع ستترك قسم تكنولوجيا المعلومات في الإسبريسو ومشروبات الطاقة ، وعلى الأرجح ، على الأرجح ، فقدان المخاطر الحاسمة.

يعد أتمتة عملية أمان SaaS في نظام أساسي واحد قائم على السحابة هو الطريقة الأكثر كفاءة لإدارة العملية. تلبي حلول إدارة منصة SaaS أمانك حيث تعيش ، في السحابة ، بحيث يمكنك أتمتة الأمان في السرعة السحابية ، وتقليل المخاطر ، وتعزيز وضع الأمان والامتثال.

الدرع التكيفي: إدارة أمن الأداء SaaS هي الرابط المفقود

الدرع التكيفي يوفر رؤية كاملة في واحدة من أكثر القضايا تعقيدًا في الأمان السحابي. يمكّن حل إدارة SAAS Security Positure Enterpriss من مراقبة مخاطر التمييز الخاطئ عبر عقار SaaS بشكل مستمر: من التكوينات التي تغطي البرامج الضارة والبريد العشوائي والتصيد إلى السلوك المشبوه وأذونات المستخدم التي تم تكوينها بشكل غير صحيح.

يتوافق شركة Adaptive Shield على الضوابط الفنية مع معايير رابطة الدول المستقلة ويمكن أن تخطط لتوافق الضوابط لـ NIST 800-53 بالإضافة إلى الأطر الأخرى.

يتصل حل إدارة منصة أمان SHIELD SAAS SAAS أيضًا أيضًا بحلول مكونة (SSO) ، مثل Azure و Ping و Okta ، للمساعدة في تتبع استخدام MFA عبر المؤسسة.

نظرًا لأن تطبيقات SaaS أصبحت القاعدة بدلاً من الاستثناء للشركات الحديثة ، فإن الأمان السحابي يعتمد على المراقبة المستمرة لخطوطات SaaS المحفوفة بالمخاطر.

تعرف على المزيد حول كيفية منع مخاطر التمييز في عقار SaaS الخاص بك