Ամպային անվտանգության սպառնալիքները 2023 թվականին
Մինչ մենք շարժվում ենք դեպի 2023 թվականը, կարևոր է տեղյակ լինել ամպային անվտանգության հիմնական սպառնալիքների մասին, որոնք կարող են ազդել ձեր կազմակերպության վրա: 2023 թվականին ամպային անվտանգության սպառնալիքները կշարունակեն զարգանալ և դառնալ ավելի բարդ:
Ահա այն բաների ցանկը, որոնք պետք է հաշվի առնել 2023 թվականին.
1. Ձեր ենթակառուցվածքի կարծրացում
Ձեր ամպային ենթակառուցվածքը պաշտպանելու լավագույն միջոցներից մեկը հարձակումներից այն խստացնելն է: Սա ներառում է համոզվել, որ ձեր սերվերները և այլ կարևոր բաղադրիչները պատշաճ կերպով կազմաձևված են և թարմացված:
Կարևոր է խստացնել ձեր օպերացիոն համակարգը, քանի որ ամպային անվտանգության շատ սպառնալիքներ այսօր օգտագործում են հնացած ծրագրաշարի խոցելիությունը: Օրինակ, 2017-ին WannaCry փրկագնի հարձակումը օգտվեց Windows օպերացիոն համակարգի թերությունից, որը չի կարկատվել:
2021 թվականին փրկագին ծրագրերի հարձակումներն աճել են 20%-ով։ Քանի որ ավելի շատ ընկերություններ տեղափոխվում են ամպ, կարևոր է խստացնել ձեր ենթակառուցվածքը՝ պաշտպանվելու այս տեսակի հարձակումներից:
Ձեր ենթակառուցվածքի խստացումը կարող է օգնել ձեզ մեղմել շատ սովորական հարձակումներ, այդ թվում՝
- DDoS հարձակումներ
- SQL ներարկման հարձակումներ
– Խաչաձեւ սկրիպտավորման (XSS) հարձակումներ
Ի՞նչ է DDoS հարձակումը:
DDoS հարձակումը կիբերհարձակման մի տեսակ է, որը թիրախավորում է սերվերին կամ ցանցին տրաֆիկի կամ հարցումների հեղեղով՝ այն գերբեռնելու համար: DDoS հարձակումները կարող են շատ խանգարող լինել և կարող են հանգեցնել վեբկայքի կամ ծառայության անհասանելի դառնալու օգտատերերի համար:
DDos հարձակման վիճակագրություն.
– 2018-ին 300-ի համեմատ DDoS հարձակումների 2017% աճ է գրանցվել:
– DDoS հարձակման միջին արժեքը 2.5 միլիոն դոլար է:
Ի՞նչ է SQL ներարկման հարձակումը:
SQL ներարկման հարձակումները կիբերհարձակման մի տեսակ են, որն օգտվում է հավելվածի կոդի խոցելիությունից՝ վնասակար SQL կոդը տվյալների բազայում տեղադրելու համար: Այնուհետև այս կոդը կարող է օգտագործվել զգայուն տվյալների մուտք գործելու կամ նույնիսկ տվյալների բազան վերահսկելու համար:
SQL ներարկման հարձակումները համացանցում հարձակումների ամենատարածված տեսակներից են: Իրականում դրանք այնքան տարածված են, որ Open Web Application Security Project-ը (OWASP) դրանք թվարկում է որպես վեբ հավելվածների անվտանգության լավագույն 10 ռիսկերից մեկը:
SQL Injection Attack վիճակագրություն.
– 2017 թվականին SQL ներարկման հարձակումները պատասխանատու էին տվյալների գրեթե 4,000 խախտումների համար:
– SQL ներարկման հարձակման միջին արժեքը 1.6 միլիոն դոլար է:
Ի՞նչ է միջկայքի սկրիպտավորումը (XSS):
Cross-site scripting-ը (XSS) կիբերհարձակման տեսակ է, որը ներառում է վեբ էջի մեջ վնասակար կոդի ներարկում: Այնուհետև այս կոդը գործարկվում է էջ այցելող անկասկած օգտատերերի կողմից, ինչը հանգեցնում է նրանց համակարգիչների վտանգի:
XSS հարձակումները շատ տարածված են և հաճախ օգտագործվում են գաղտնի տեղեկություններ գողանալու համար, ինչպիսիք են գաղտնաբառերը և վարկային քարտերի համարները: Դրանք կարող են օգտագործվել նաև տուժածի համակարգչում չարամիտ ծրագրեր տեղադրելու կամ դրանք վնասակար կայք վերահղելու համար:
Cross-Site Scripting (XSS) վիճակագրություն.
– 2017 թվականին XSS-ի հարձակումները պատասխանատու էին տվյալների գրեթե 3,000 խախտումների համար:
– XSS հարձակման միջին արժեքը 1.8 միլիոն դոլար է:
2. Ամպային անվտանգության սպառնալիքներ
Կան մի շարք տարբեր ամպային անվտանգության սպառնալիքներ, որոնց մասին դուք պետք է տեղյակ լինեք: Դրանք ներառում են այնպիսի բաներ, ինչպիսիք են Denial of Service (DoS) հարձակումները, տվյալների խախտումները և նույնիսկ վնասակար ինսայդերները:
Ինչպե՞ս են գործում Denial of Service (DoS) հարձակումները:
DoS հարձակումները կիբերհարձակման մի տեսակ են, որտեղ հարձակվողը փորձում է համակարգը կամ ցանցը անհասանելի դարձնել՝ այն հեղեղելով տրաֆիկով: Այս հարձակումները կարող են շատ խանգարող լինել և կարող են զգալի ֆինանսական վնաս պատճառել:
Denial Of Service Attack Վիճակագրություն
– 2019-ին ընդհանուր առմամբ եղել է 34,000 DoS հարձակում:
– DoS հարձակման միջին արժեքը 2.5 միլիոն դոլար է:
– DoS հարձակումները կարող են տևել օրեր կամ նույնիսկ շաբաթներ:
Ինչպե՞ս են տեղի ունենում տվյալների խախտումները:
Տվյալների խախտումները տեղի են ունենում, երբ զգայուն կամ գաղտնի տվյալներ են մուտք գործում առանց թույլտվության: Դա կարող է տեղի ունենալ մի շարք տարբեր մեթոդների միջոցով, ներառյալ հաքերային հարձակման, սոցիալական ճարտարագիտության և նույնիսկ ֆիզիկական գողության:
Տվյալների խախտումների վիճակագրություն
– 2019 թվականին գրանցվել է տվյալների ընդհանուր 3,813 խախտում։
– Տվյալների խախտման միջին արժեքը կազմում է 3.92 միլիոն դոլար:
– Տվյալների խախտում հայտնաբերելու միջին ժամանակը 201 օր է:
Ինչպե՞ս են հարձակվում չարամիտ ներքինիները:
Վնասակար ինսայդերներն այն աշխատակիցներն են կամ կապալառուները, ովքեր միտումնավոր չարաշահում են իրենց հասանելիությունը ընկերության տվյալներին: Դա կարող է տեղի ունենալ մի շարք պատճառներով, ներառյալ ֆինանսական շահույթը, վրեժխնդրությունը կամ պարզապես այն պատճառով, որ նրանք ցանկանում են վնաս պատճառել:
Ներքին սպառնալիքների վիճակագրություն
– 2019 թվականին չարամիտ ինսայդերները պատասխանատու են տվյալների խախտումների 43%-ի համար:
– Ինսայդերական հարձակման միջին արժեքը 8.76 միլիոն դոլար է:
– Ինսայդերական հարձակումը հայտնաբերելու միջին ժամանակը 190 օր է:
3. Ինչպե՞ս եք խստացնում ձեր ենթակառուցվածքը:
Անվտանգության խստացումը ձեր ենթակառուցվածքը հարձակումներին ավելի դիմացկուն դարձնելու գործընթաց է: Սա կարող է ներառել այնպիսի բաներ, ինչպիսիք են անվտանգության հսկողության իրականացումը, firewalls-ի տեղադրումը և գաղտնագրման օգտագործումը:
Ինչպե՞ս եք իրականացնում անվտանգության վերահսկողությունը:
Կան մի շարք տարբեր անվտանգության հսկողություններ, որոնք դուք կարող եք կիրառել՝ ձեր ենթակառուցվածքը խստացնելու համար: Դրանք ներառում են այնպիսի բաներ, ինչպիսիք են firewalls-ը, մուտքի վերահսկման ցուցակները (ACL), ներխուժման հայտնաբերման համակարգերը (IDS) և գաղտնագրումը:
Ինչպես ստեղծել մուտքի վերահսկման ցուցակ.
- Սահմանեք այն ռեսուրսները, որոնք պետք է պաշտպանվեն:
- Բացահայտեք օգտվողներին և խմբերին, որոնք պետք է մուտք ունենան այդ ռեսուրսներին:
- Ստեղծեք թույլտվությունների ցանկ յուրաքանչյուր օգտվողի և խմբի համար:
- Իրականացրեք ACL-ները ձեր ցանցային սարքերում:
Որոնք են ներխուժման հայտնաբերման համակարգերը:
Ներխուժման հայտնաբերման համակարգերը (IDS) նախագծված են ձեր ցանցում վնասակար գործողությունները հայտնաբերելու և արձագանքելու համար: Դրանք կարող են օգտագործվել այնպիսի բաների բացահայտման համար, ինչպիսիք են հարձակումների փորձերը, տվյալների խախտումները և նույնիսկ ներքին սպառնալիքները:
Ինչպե՞ս եք իրականացնում ներխուժման հայտնաբերման համակարգ:
- Ընտրեք ճիշտ IDS-ն ձեր կարիքների համար:
- Տեղադրեք IDS-ը ձեր ցանցում:
- Կազմաձևեք IDS-ը՝ վնասակար գործողությունները հայտնաբերելու համար:
- Արձագանքեք IDS-ի կողմից ստեղծված ահազանգերին:
Ի՞նչ է Firewall-ը:
Firewall-ը ցանցային անվտանգության սարք է, որը զտում է երթևեկությունը՝ հիմնվելով մի շարք կանոնների վրա: Firewall-ը անվտանգության հսկողության մի տեսակ է, որը կարող է օգտագործվել ձեր ենթակառուցվածքը խստացնելու համար: Դրանք կարող են տեղակայվել մի շարք տարբեր ձևերով, ներառյալ՝ ներտնային, ամպի մեջ և որպես ծառայություն: Firewall-ները կարող են օգտագործվել մուտքային, ելքային տրաֆիկը կամ երկուսն էլ արգելափակելու համար:
Ի՞նչ է ներսում գտնվող Firewall-ը:
Ներքին տարածքի firewall-ը firewall-ի տեսակ է, որը տեղակայված է ձեր տեղական ցանցում: Ներքին պատերը սովորաբար օգտագործվում են փոքր և միջին բիզնեսի պաշտպանության համար:
Ի՞նչ է Cloud Firewall-ը:
Ամպային firewall-ը firewall-ի տեսակ է, որը տեղակայված է ամպի մեջ: Cloud firewalls-ը սովորաբար օգտագործվում է խոշոր ձեռնարկությունների պաշտպանության համար:
Որո՞նք են Cloud Firewall-ի առավելությունները:
Cloud Firewall-ներն առաջարկում են մի շարք առավելություններ, այդ թվում՝
- Բարելավված անվտանգություն
– Ցանցի գործունեության տեսանելիության բարձրացում
- Նվազեցված բարդություն
- Ավելի ցածր ծախսեր ավելի մեծ կազմակերպությունների համար
Ի՞նչ է Firewall-ը որպես ծառայություն:
Firewall-ը որպես ծառայություն (FaaS) ամպի վրա հիմնված firewall-ի տեսակ է: FaaS պրովայդերները առաջարկում են firewalls, որոնք կարող են տեղակայվել ամպի մեջ: Ծառայությունների այս տեսակը սովորաբար օգտագործվում է փոքր և միջին բիզնեսի կողմից: Դուք չպետք է օգտագործեք firewall-ը որպես ծառայություն, եթե ունեք մեծ կամ բարդ ցանց:
FaaS-ի առավելությունները
FaaS-ն առաջարկում է մի շարք առավելություններ, այդ թվում՝
- Նվազեցված բարդություն
- Բարձրացված ճկունություն
- Վճարովի գնագոյացման մոդել
Ինչպե՞ս եք իրականացնում Firewall-ը որպես ծառայություն:
- Ընտրեք FaaS մատակարար:
- Տեղադրեք firewall-ը ամպի մեջ:
- Կարգավորեք firewall-ը ձեր կարիքները բավարարելու համար:
Կա՞ն այլընտրանքներ ավանդական firewalls-ին:
Այո, ավանդական firewalls-ի մի շարք այլընտրանքներ կան: Դրանք ներառում են հաջորդ սերնդի firewalls (NGFWs), վեբ հավելվածների firewalls (WAFs) և API gateways:
Ի՞նչ է հաջորդ սերնդի firewall-ը:
Հաջորդ սերնդի firewall-ը (NGFW) firewall-ի տեսակ է, որն առաջարկում է բարելավված կատարողականություն և առանձնահատկություններ՝ համեմատած ավանդական firewall-երի հետ: NGFW-ները սովորաբար առաջարկում են այնպիսի բաներ, ինչպիսիք են հավելվածի մակարդակի զտումը, ներխուժման կանխումը և բովանդակության զտումը:
Ծրագրի մակարդակի զտում թույլ է տալիս վերահսկել երթևեկությունը՝ հիմնվելով օգտագործվող հավելվածի վրա: Օրինակ, դուք կարող եք թույլատրել HTTP երթևեկությունը, բայց արգելափակել մնացած բոլոր տրաֆիկները:
Ներխուժման կանխարգելում թույլ է տալիս հայտնաբերել և կանխել հարձակումները նախքան դրանք տեղի ունենալը:
Բովանդակության զտում թույլ է տալիս վերահսկել, թե ինչ տեսակի բովանդակություն կարող է հասանելի լինել ձեր ցանցում: Դուք կարող եք օգտագործել բովանդակության զտիչ՝ արգելափակելու այնպիսի բաներ, ինչպիսիք են վնասակար կայքերը, պոռնոները և մոլախաղերի կայքերը:
Ի՞նչ է վեբ հավելվածի firewall-ը:
Վեբ հավելվածների firewall-ը (WAF) firewall-ի տեսակ է, որը նախատեսված է վեբ հավելվածները հարձակումներից պաշտպանելու համար: WAF-ները սովորաբար առաջարկում են այնպիսի գործառույթներ, ինչպիսիք են ներխուժման հայտնաբերումը, հավելվածի մակարդակի զտումը և բովանդակության զտումը:
Ի՞նչ է API Gateway-ը:
API gateway-ը firewall-ի տեսակ է, որը նախատեսված է API-ները հարձակումներից պաշտպանելու համար: API-ի դարպասները սովորաբար առաջարկում են այնպիսի գործառույթներ, ինչպիսիք են նույնականացումը, թույլտվությունը և տոկոսադրույքի սահմանափակումը:
Authentication անվտանգության կարևոր հատկանիշ է, քանի որ այն ապահովում է, որ միայն լիազորված օգտվողները կարող են մուտք գործել API:
լիազորություն անվտանգության կարևոր հատկանիշ է, քանի որ ապահովում է, որ միայն լիազորված օգտվողները կարող են որոշակի գործողություններ կատարել:
Գնահատման սահմանափակում անվտանգության կարևոր հատկանիշ է, քանի որ այն օգնում է կանխել ծառայությունների մերժման հարձակումները:
Ինչպե՞ս եք օգտագործում կոդավորումը:
Կոդավորումը անվտանգության միջոցի տեսակ է, որը կարող է օգտագործվել ձեր ենթակառուցվածքը խստացնելու համար: Այն ներառում է տվյալների փոխակերպումը ձևի, որը կարող է կարդալ միայն լիազորված օգտվողները:
Գաղտնագրման մեթոդները ներառում են.
- Սիմետրիկ բանալիների կոդավորումը
- Ասիմետրիկ բանալիների կոդավորումը
- Հանրային բանալիների կոդավորումը
Սիմետրիկ բանալիների կոդավորումը գաղտնագրման տեսակ է, որտեղ նույն բանալին օգտագործվում է տվյալների գաղտնագրման և վերծանման համար:
Ասիմետրիկ բանալիների կոդավորումը գաղտնագրման տեսակ է, որտեղ տարբեր բանալիներ օգտագործվում են տվյալների գաղտնագրման և վերծանման համար:
Հանրային բանալիների գաղտնագրում գաղտնագրման տեսակ է, որտեղ բանալին հասանելի է բոլորին:
4. Ինչպես օգտագործել կարծրացված ենթակառուցվածքը A Cloud Marketplace-ից
Ձեր ենթակառուցվածքը խստացնելու լավագույն միջոցներից մեկը կարծրացած ենթակառուցվածք գնելն է այնպիսի մատակարարից, ինչպիսին AWS-ն է: Այս տեսակի ենթակառուցվածքը նախագծված է հարձակումներին ավելի դիմացկուն լինելու համար և կարող է օգնել ձեզ բավարարել անվտանգության պահանջները: Այնուամենայնիվ, AWS-ի բոլոր դեպքերը հավասար չեն ստեղծվում: AWS-ն առաջարկում է նաև ոչ կարծրացած պատկերներ, որոնք այնքան էլ դիմացկուն չեն հարձակմանը, որքան կարծրացած պատկերները: Լավագույն միջոցներից մեկը՝ պարզելու, թե արդյոք AMI-ն ավելի դիմացկուն է հարձակմանը, համոզվելն է, որ տարբերակը արդիական է՝ ապահովելու, որ այն ունի անվտանգության վերջին հնարավորությունները:
Կարծրացած ենթակառուցվածք գնելը շատ ավելի պարզ է, քան սեփական ենթակառուցվածքի կարծրացման գործընթացն անցնելը: Այն կարող է նաև լինել ավելի ծախսարդյունավետ, քանի որ ձեզ հարկավոր չի լինի ներդրումներ կատարել այն գործիքների և ռեսուրսների մեջ, որոնք անհրաժեշտ են ձեր ենթակառուցվածքը խստացնելու համար:
Կարծրացված ենթակառուցվածք գնելիս դուք պետք է փնտրեք մատակարար, որն առաջարկում է անվտանգության հսկողության լայն շրջանակ: Սա ձեզ լավագույն հնարավորություն կտա խստացնել ձեր ենթակառուցվածքը բոլոր տեսակի հարձակումների դեմ:
Կարծրացված ենթակառուցվածք գնելու ավելի շատ առավելություններ.
- Անվտանգության բարձրացում
- Բարելավված համապատասխանություն
- Նվազեցված ծախսեր
- Ավելացել է պարզությունը
Ձեր ամպային ենթակառուցվածքի պարզության աճը խիստ թերագնահատված է: Հեղինակավոր վաճառողի կողմից կարծրացված ենթակառուցվածքի հարմար բանն այն է, որ այն մշտապես կթարմացվի՝ անվտանգության ներկայիս չափանիշներին համապատասխանելու համար:
Ամպային ենթակառուցվածքը, որը հնացած է, ավելի խոցելի է հարձակման համար: Ահա թե ինչու է կարևոր ձեր ենթակառուցվածքը արդիական պահելը:
Հնացած ծրագրակազմն այսօր անվտանգության ամենամեծ սպառնալիքներից մեկն է, որին բախվում են կազմակերպությունները: Գնելով կարծրացած ենթակառուցվածք՝ դուք կարող եք ընդհանրապես խուսափել այս խնդրից:
Ձեր սեփական ենթակառուցվածքը խստացնելիս կարևոր է հաշվի առնել անվտանգության բոլոր հնարավոր սպառնալիքները: Սա կարող է լինել սարսափելի խնդիր, սակայն անհրաժեշտ է ապահովել, որ ձեր կարծրացման ջանքերն արդյունավետ լինեն:
5. Անվտանգության համապատասխանություն
Ձեր ենթակառուցվածքի խստացումը կարող է նաև օգնել ձեզ անվտանգության համապատասխանության հարցում: Դա պայմանավորված է նրանով, որ համապատասխանության շատ ստանդարտներ պահանջում են, որ դուք քայլեր ձեռնարկեք՝ պաշտպանելու ձեր տվյալները և համակարգերը հարձակումներից:
Իմանալով ամպային անվտանգության գլխավոր սպառնալիքների մասին՝ դուք կարող եք քայլեր ձեռնարկել՝ ձեր կազմակերպությունը դրանցից պաշտպանելու համար: Կարծրացնելով ձեր ենթակառուցվածքը և օգտագործելով անվտանգության առանձնահատկությունները՝ դուք կարող եք շատ ավելի դժվարացնել հարձակվողների համար ձեր համակարգերը վտանգի ենթարկելը:
Դուք կարող եք ամրապնդել ձեր համապատասխանության դիրքը՝ օգտագործելով ԱՊՀ հենանիշները՝ առաջնորդելու ձեր անվտանգության ընթացակարգերը և խստացնելու ձեր ենթակառուցվածքը: Դուք կարող եք նաև օգտագործել ավտոմատացումը՝ օգնելու ձեր համակարգերը կարծրացնել և պահպանել դրանք համապատասխանության մեջ:
Համապատասխանության անվտանգության կանոնակարգերի ի՞նչ տեսակներ պետք է հիշեք 2022 թվականին:
- GDPR
- PCI DSS
- HIPAA
– ՍՈՔՍ
– ՀԻՏՐՈՒՍՏ
Ինչպես պահպանել GDPR-ին համապատասխան
Տվյալների պաշտպանության ընդհանուր կանոնակարգը (GDPR) կանոնակարգերի մի շարք է, որը կարգավորում է, թե ինչպես պետք է հավաքվեն, օգտագործվեն և պաշտպանվեն անձնական տվյալները: Կազմակերպությունները, որոնք հավաքում, օգտագործում կամ պահպանում են ԵՄ քաղաքացիների անձնական տվյալները, պետք է համապատասխանեն GDPR-ին:
GDPR-ին համապատասխան մնալու համար դուք պետք է քայլեր ձեռնարկեք՝ խստացնելու ձեր ենթակառուցվածքը և պաշտպանելու ԵՄ քաղաքացիների անձնական տվյալները: Սա ներառում է այնպիսի բաներ, ինչպիսիք են տվյալների կոդավորումը, firewalls-ի տեղադրումը և մուտքի վերահսկման ցուցակների օգտագործումը:
GDPR-ի համապատասխանության վիճակագրություն.
Ահա մի քանի վիճակագրություն GDPR-ի վերաբերյալ.
– Կազմակերպությունների 92%-ը փոփոխություններ է կատարել անձնական տվյալների հավաքագրման և օգտագործման ձևում GDPR-ի ներդրումից ի վեր:
– Կազմակերպությունների 61%-ն ասում է, որ GDPR-ին համապատասխանելը դժվար է եղել
– GDPR-ի ներդրումից հետո կազմակերպությունների 58%-ը ենթարկվել է տվյալների խախտում
Չնայած մարտահրավերներին, կազմակերպությունների համար կարևոր է քայլեր ձեռնարկել GDPR-ին համապատասխանելու համար: Սա ներառում է նրանց ենթակառուցվածքների խստացումը և ԵՄ քաղաքացիների անձնական տվյալների պաշտպանությունը:
GDPR-ին համապատասխան մնալու համար դուք պետք է քայլեր ձեռնարկեք՝ խստացնելու ձեր ենթակառուցվածքը և պաշտպանելու ԵՄ քաղաքացիների անձնական տվյալները: Սա ներառում է այնպիսի բաներ, ինչպիսիք են տվյալների կոդավորումը, firewalls-ի տեղադրումը և մուտքի վերահսկման ցուցակների օգտագործումը:
Ինչպես պահպանել PCI DSS-ի համապատասխանությունը
Վճարային քարտերի արդյունաբերության տվյալների անվտանգության ստանդարտը (PCI DSS) ուղեցույցների մի շարք է, որը կարգավորում է, թե ինչպես պետք է հավաքագրվեն, օգտագործվեն և պաշտպանվեն վարկային քարտի տվյալները: Կազմակերպությունները, որոնք մշակում են կրեդիտ քարտով վճարումները, պետք է համապատասխանեն PCI DSS-ին:
PCI DSS-ի համապատասխանությունը պահպանելու համար դուք պետք է քայլեր ձեռնարկեք ձեր ենթակառուցվածքը խստացնելու և վարկային քարտի տեղեկությունները պաշտպանելու համար: Սա ներառում է այնպիսի բաներ, ինչպիսիք են տվյալների կոդավորումը, firewalls-ի տեղադրումը և մուտքի վերահսկման ցուցակների օգտագործումը:
Վիճակագրություն PCI DSS-ի վերաբերյալ
Վիճակագրություն PCI DSS-ի վերաբերյալ.
– PCI DSS-ի ներդրումից ի վեր կազմակերպությունների 83%-ը փոփոխություններ է կատարել կրեդիտ քարտով վճարումների մշակման եղանակի մեջ:
– Կազմակերպությունների 61%-ն ասում է, որ PCI DSS-ին համապատասխանելը դժվար է եղել
– PCI DSS-ի ներդրումից ի վեր կազմակերպությունների 58%-ի մոտ գրանցվել է տվյալների խախտում
Կազմակերպությունների համար կարևոր է քայլեր ձեռնարկել PCI DSS-ին համապատասխանելու համար: Սա ներառում է նրանց ենթակառուցվածքի խստացումը և կրեդիտ քարտի տեղեկատվության պաշտպանությունը:
Ինչպես մնալ HIPAA-ին համապատասխան
Առողջության ապահովագրության տեղափոխելիության և հաշվետվողականության ակտը (HIPAA) կանոնակարգերի մի շարք է, որոնք կարգավորում են, թե ինչպես պետք է հավաքվեն, օգտագործվեն և պաշտպանվեն անձնական առողջական տեղեկությունները: Կազմակերպությունները, որոնք հավաքում, օգտագործում կամ պահպանում են հիվանդների անձնական առողջության մասին տեղեկությունները, պետք է համապատասխանեն HIPAA-ին:
HIPAA-ին համապատասխան մնալու համար դուք պետք է քայլեր ձեռնարկեք՝ խստացնելու ձեր ենթակառուցվածքը և պաշտպանելու հիվանդների անձնական առողջական տվյալները: Սա ներառում է այնպիսի բաներ, ինչպիսիք են տվյալների կոդավորումը, firewalls-ի տեղադրումը և մուտքի վերահսկման ցուցակների օգտագործումը:
Վիճակագրություն HIPAA-ի վերաբերյալ
Վիճակագրություն HIPAA-ում.
– Կազմակերպությունների 91%-ը փոփոխություններ է կատարել HIPAA-ի ներդրման պահից ի վեր, երբ նրանք հավաքում և օգտագործում են անձնական առողջության տեղեկատվությունը:
– Կազմակերպությունների 63%-ն ասում է, որ HIPAA-ին համապատասխանելը դժվար է եղել
– Կազմակերպությունների 60%-ի մոտ գրանցվել է տվյալների խախտում HIPAA-ի ներդրումից ի վեր
Կազմակերպությունների համար կարևոր է քայլեր ձեռնարկել HIPAA-ին համապատասխանելու համար: Սա ներառում է դրանց ենթակառուցվածքի խստացումը և հիվանդների անձնական առողջության մասին տեղեկատվության պաշտպանությունը:
Ինչպես մնալ SOX-ին համապատասխան
Sarbanes-Oxley Act-ը (SOX) կանոնակարգերի մի շարք է, որոնք կարգավորում են, թե ինչպես պետք է հավաքագրվեն, օգտագործվեն և պաշտպանվեն ֆինանսական տեղեկատվությունը: Կազմակերպությունները, որոնք հավաքում, օգտագործում կամ պահում են ֆինանսական տեղեկատվություն, պետք է համապատասխանեն SOX-ին:
SOX-ին համապատասխան մնալու համար դուք պետք է քայլեր ձեռնարկեք՝ խստացնելու ձեր ենթակառուցվածքը և պաշտպանելու ֆինանսական տեղեկատվությունը: Սա ներառում է այնպիսի բաներ, ինչպիսիք են տվյալների կոդավորումը, firewalls-ի տեղադրումը և մուտքի վերահսկման ցուցակների օգտագործումը:
Վիճակագրություն SOX
SOX-ի վիճակագրություն.
– Կազմակերպությունների 94%-ը փոփոխություններ է կատարել ֆինանսական տեղեկատվության հավաքագրման և օգտագործման եղանակում SOX-ի ներդրումից ի վեր
– Կազմակերպությունների 65%-ն ասում է, որ SOX-ին համապատասխանելը դժվար է եղել
– SOX-ի ներդրումից ի վեր կազմակերպությունների 61%-ի մոտ գրանցվել է տվյալների խախտում
Կազմակերպությունների համար կարևոր է քայլեր ձեռնարկել SOX-ին համապատասխանելու համար: Սա ներառում է նրանց ենթակառուցվածքների խստացումը և ֆինանսական տեղեկատվության պաշտպանությունը:
Ինչպես հասնել HITRUST սերտիֆիկացմանը
HITRUST-ի հավաստագրման ձեռքբերումը բազմաքայլ գործընթաց է, որը ներառում է ինքնագնահատման ավարտ, անկախ գնահատում և այնուհետև հավաստագրում HITRUST-ի կողմից:
Ինքնագնահատումը գործընթացի առաջին քայլն է և օգտագործվում է հավաստագրման համար կազմակերպության պատրաստակամությունը որոշելու համար: Այս գնահատումը ներառում է կազմակերպության անվտանգության ծրագրի և փաստաթղթերի վերանայում, ինչպես նաև տեղում հարցազրույցներ հիմնական անձնակազմի հետ:
Երբ ինքնագնահատումն ավարտվի, անկախ գնահատողը կանցկացնի կազմակերպության անվտանգության ծրագրի ավելի խորը գնահատում: Այս գնահատումը կներառի կազմակերպության անվտանգության վերահսկողության վերանայում, ինչպես նաև տեղում թեստավորում՝ ստուգելու այդ վերահսկողության արդյունավետությունը:
Երբ անկախ գնահատողը ստուգի, որ կազմակերպության անվտանգության ծրագիրը համապատասխանում է HITRUST CSF-ի բոլոր պահանջներին, կազմակերպությունը կհավաստագրվի HITRUST-ի կողմից: Կազմակերպությունները, որոնք հավաստագրված են HITRUST CSF-ով, կարող են օգտագործել HITRUST կնիքը՝ ցուցադրելու իրենց նվիրվածությունը զգայուն տվյալների պաշտպանությանը:
Վիճակագրություն HITRUST-ի վերաբերյալ.
- 2019 թվականի հունիսի դրությամբ կան ավելի քան 2,700 կազմակերպություններ, որոնք հավաստագրված են HITRUST CSF-ին:
- Առողջապահության ոլորտն ունի ամենաշատ հավաստագրված կազմակերպությունները՝ ավելի քան 1,000-ով:
- Ֆինանսների և ապահովագրության ոլորտը երկրորդն է՝ ավելի քան 500 հավաստագրված կազմակերպություններով:
- Մանրածախ արդյունաբերությունը երրորդն է՝ ավելի քան 400 հավաստագրված կազմակերպություններով:
Անվտանգության իրազեկման ուսուցումն օգնո՞ւմ է անվտանգության համապատասխանությանը:
Այո, անվտանգության իրազեկում վերապատրաստումը կարող է օգնել համապատասխանության հարցում: Դա պայմանավորված է նրանով, որ համապատասխանության շատ ստանդարտներ պահանջում են քայլեր ձեռնարկել՝ պաշտպանելու ձեր տվյալները և համակարգերը հարձակումներից: Իմանալով վտանգների մասին կիբեր հարձակումները, դուք կարող եք քայլեր ձեռնարկել ձեր կազմակերպությունը դրանցից պաշտպանելու համար:
Որո՞նք են իմ կազմակերպությունում անվտանգության իրազեկման ուսուցումն իրականացնելու որոշ ուղիներ:
Ձեր կազմակերպությունում անվտանգության իրազեկման դասընթացներ իրականացնելու բազմաթիվ եղանակներ կան: Ճանապարհներից մեկը երրորդ կողմի ծառայություններ մատուցողներից օգտվելն է, որն առաջարկում է անվտանգության իրազեկման դասընթացներ: Մեկ այլ միջոց է մշակել ձեր սեփական անվտանգության իրազեկման ուսուցման ծրագիրը:
Դա կարող է ակնհայտ լինել, բայց ձեր ծրագրավորողների ուսուցումը հավելվածների անվտանգության լավագույն փորձի վերաբերյալ լավագույն վայրերից մեկն է սկսելու համար: Համոզվեք, որ նրանք գիտեն, թե ինչպես ճիշտ կոդավորել, նախագծել և փորձարկել հավելվածները: Սա կօգնի նվազեցնել ձեր հավելվածների խոցելիությունը: Appsec-ի թրեյնինգը կբարելավի նաև նախագծերի ավարտի արագությունը:
Դուք նաև պետք է վերապատրաստեք այնպիսի բաների վերաբերյալ, ինչպիսիք են սոցիալական ճարտարագիտությունը և Իբրեւագրոհ հարձակումներ. Սրանք սովորական եղանակներ են, որոնց միջոցով հարձակվողները մուտք են գործում համակարգեր և տվյալներ: Տեղյակ լինելով այս հարձակումների մասին՝ ձեր աշխատակիցները կարող են քայլեր ձեռնարկել իրենց և ձեր կազմակերպությունը պաշտպանելու համար:
Անվտանգության իրազեկման դասընթացների տեղակայումը կարող է օգնել համապատասխանության հարցում, քանի որ այն օգնում է ձեզ կրթել ձեր աշխատակիցներին, թե ինչպես պաշտպանել ձեր տվյալները և համակարգերը հարձակումներից:
Տեղադրեք ֆիշինգի սիմուլյացիայի սերվեր Ամպի մեջ
Անվտանգության իրազեկման ուսուցման արդյունավետությունը ստուգելու եղանակներից մեկը ամպի մեջ ֆիշինգի սիմուլյացիայի սերվերի տեղակայումն է: Սա թույլ կտա ձեզ նմանակված ֆիշինգ նամակներ ուղարկել ձեր աշխատակիցներին և տեսնել, թե ինչպես են նրանք արձագանքում:
Եթե գտնում եք, որ ձեր աշխատակիցները ընկնում են նմանակված ֆիշինգի հարձակումների հետևանքով, ապա դուք գիտեք, որ պետք է ավելի շատ ուսուցում տրամադրեք: Սա կօգնի ձեզ խստացնել ձեր կազմակերպությունը իրական ֆիշինգի հարձակումներից:
Ապահովեք հաղորդակցության բոլոր մեթոդները ամպի մեջ
Ամպում ձեր անվտանգությունը բարելավելու մեկ այլ միջոց է ապահովել կապի բոլոր մեթոդները: Սա ներառում է այնպիսի բաներ, ինչպիսիք են էլ.փոստը, ակնթարթային հաղորդագրությունների փոխանակումը և ֆայլերի փոխանակումը:
Այս հաղորդակցությունն ապահովելու բազմաթիվ եղանակներ կան, ներառյալ տվյալների կոդավորումը, թվային ստորագրությունների օգտագործումը և firewalls-ի տեղադրումը: Կատարելով այս քայլերը՝ դուք կարող եք օգնել պաշտպանել ձեր տվյալները և համակարգերը հարձակումներից:
Ցանկացած ամպային օրինակ, որը ներառում է հաղորդակցություն, պետք է խստացվի օգտագործման համար:
Անվտանգության իրազեկման ուսուցում կատարելու համար երրորդ կողմի օգտագործման առավելությունները.
– Դուք կարող եք աութսորսինգ անել վերապատրաստման ծրագրի մշակումն ու մատուցումը:
– Մատակարարը կունենա փորձագետների թիմ, որը կարող է մշակել և մատուցել հնարավոր լավագույն վերապատրաստման ծրագիր ձեր կազմակերպության համար:
– Մատակարարը արդի կլինի համապատասխանության վերջին պահանջների վերաբերյալ:
Անվտանգության իրազեկման դասընթացներ անցկացնելու համար երրորդ կողմի օգտագործման թերությունները.
– Երրորդ կողմի օգտագործման արժեքը կարող է բարձր լինել:
– Դուք պետք է վերապատրաստեք ձեր աշխատակիցներին, թե ինչպես օգտագործել վերապատրաստման ծրագիրը:
– Մատակարարը կարող է չկարողանալ հարմարեցնել վերապատրաստման ծրագիրը՝ ձեր կազմակերպության հատուկ կարիքները բավարարելու համար:
Անվտանգության իրազեկման ուսուցման ձեր սեփական ծրագրի մշակման առավելությունները.
– Դուք կարող եք հարմարեցնել վերապատրաստման ծրագիրը՝ ձեր կազմակերպության հատուկ կարիքները բավարարելու համար:
– Վերապատրաստման ծրագրի մշակման և մատուցման արժեքը կլինի ավելի ցածր, քան երրորդ կողմի մատակարարից օգտվելը:
– Դուք ավելի շատ կվերահսկեք վերապատրաստման ծրագրի բովանդակությունը:
Անվտանգության իրազեկման ուսուցման ձեր սեփական ծրագրի մշակման թերությունները.
– Դասընթացի ծրագրի մշակման և իրականացման համար ժամանակ և ռեսուրսներ կպահանջվեն:
– Դուք պետք է ունենաք անձնակազմի փորձագետներ, որոնք կարող են մշակել և իրականացնել վերապատրաստման ծրագիրը:
– Ծրագիրը կարող է արդիական չլինել համապատասխանության վերջին պահանջների վերաբերյալ:
