Будинки Бізнес Не вбивайте шахрайських хмарних облікових записів, прийміть їх

Не вбивайте шахрайських хмарних облікових записів, прийміть їх

Зміст:

Відео: 017 ENG HTML and CSS Use the meta tag and the charset utf 8 to display characters like ñ (Листопад 2024)

Відео: 017 ENG HTML and CSS Use the meta tag and the charset utf 8 to display characters like ñ (Листопад 2024)
Anonim

З точки зору ІТ-професіонала, хмарні сервіси - це меч з двома острими. З одного боку, хмарні сервіси можуть різко скоротити витрати та час впровадження навіть сучасних програмних служб, оскільки зараз вони не потребують тривалого налаштування, конфігурації та тестування, а також багато дорогого серверного обладнання. Просто підпишіться на рахунок та йдіть. З іншого боку, ця простота впровадження - це те, чого користувачі навчилися, і багато з них створюють власні облікові записи служб, як приватні особи, так і як команди - і вони використовують їх для зберігання та маніпулювання всіма видами корпоративних дані без будь-якого управління ІТ, поки щось не піде не так.

Без сумніву, ви хвилювались за те, щоб ваші співробітники створили такий вид "тіньових ІТ" послуг. Ще один поширений приклад - дешевий Wi-Fi роутер. Користувачі купують ці коробки у таких постачальників, як Amazon, а потім розгортають їх у своєму офісі для кращої пропускної спроможності Wi-Fi, але без будь-якого з налаштувань брандмауера, як правило, наполягають ІТ. Більш крайній приклад, який трапився зі мною: під чиїмсь столом є сервер, на якому розміщена ціла платформа розробки з низьким кодом.

Тіньові ІТ або системи інформаційних технологій (ІТ), розроблені в компанії окремими людьми, крім офіційного ІТ-персоналу, можуть бути серйозною проблемою безпеки та захисту даних. Принаймні, ці системи містять сервіси, які не захищені рештою заходів безпеки, які застосовує ІТ. І в гіршому випадку, вони надають додаткову і в основному незахищену атаку поверхню, яка часто буває на задньому плані прямо у вашу корпоративну мережу. Ваша перша відповідь, швидше за все, вирве цих працівників, покарає їх та знищить їх тіньові ІТ.

Ви можете подумати, що хмарові сервіси-шахраї не є настільки серйозною проблемою, як апаратні приклади, про які я щойно згадував, але насправді проблеми дуже схожі. Співробітник, скажімо, вона розробник, вирішує швидко придбати віртуалізований екземпляр хмарного сервера в Amazon Web Services (AWS) або в хмарній платформі Google, щоб вона змогла швидко перевірити якийсь новий код, на якому він знаходиться, не чекаючи запиту, щоб перейти. крізь це. За кілька хвилин вона працює за власним навантаженням. Вона оплачує послугу своєю кредитною карткою, рахуючи, що після затвердження коду вона може просто витратити її.

Ви можете не полювати на такого користувача так старанно, як на когось, хто розгортає негідний роутер, оскільки між AWS та персональним маршрутизатором є дві ключові відмінності: По-перше, просто знайти негідний сервер нашого розробника - це непросто. Як повідомляє фірма з дослідження ринку Statista (нижче), управління та управління мульти хмарами - це дві найбільші проблеми, з якими стикаються ІТ-фахівці в епоху хмари. Без попереднього знання про нефінансовий обліковий запис цього користувача, як швидко відстежити це, не порушуючи також власної політики безпеки щодо конфіденційності та захисту даних? По-друге, Amazon керує армія експертних ІТ-співробітників, які нічого не роблять цілий день, окрім того, щоб підтримувати сервіс плавно та надійно. Тож як важко вам справді потрібно переслідувати сервер, яким вони керують?

Виклики з управління хмарними обчисленнями у всьому світі у 2019 році


(Кредитна графіка: Statista)

Небезпечні ІТ-ризики

Користувачі, які створюють власні хмарні служби, зазвичай мало знають про безпеку мережі; якби вони це зробили, вони б не робили те, що роблять так, як роблять. Вони знають, що хочуть скористатися якоюсь важливою функцією, яку пропонує хмарний сервіс, і, ймовірно, знають, як змусити його працювати над вирішенням проблеми. Але якщо мова йде про налаштування брандмауера, вони не мають жодної підказки, і оскільки служба працює через Інтернет (який надається через IT-налаштований брандмауер), вони, ймовірно, вважають, що вони повністю захищені. Все, про що вони дійсно переживають, - це робити свою роботу найкращим чином, як вони вміють - що насправді є хорошою справою.

Отже, якщо ваша відповідь на цих вмотивованих співробітників полягає в тому, щоб зійти на них, як тонну цегли, покарати їх та закрити їхню хмару-шахрайство, то, можливо, ви захочете переглянути. Впевнені, можливо, вони ігнорують правила, які ви створили, щоб контролювати ІТ. Але, швидше за все, вони роблять це з кількох вагомих причин, принаймні однією з них ви є ви.

Зрештою, ви створили середовище, і, здається, це було таке, в якому хмара-шахрая розглядалася як кращий спосіб для цих людей робити свою роботу. Це означає, що як внутрішній постачальник послуг ІТ, ви не реагуєте на швидкість, яку вимагає бізнес. Ці працівники потребували сьогодні хмарної служби; скільки часу їм потрібно було б чекати, перш ніж ти їм допоможеш?

Як виявити Ігри-зловмисників

За словами Пабло Вільяреала, головного директора з безпеки (CSO) Globant, компанії, яка допомагає в цифровій трансформації, пошуку хмарних послуг не обов'язково очевидна. Якщо хмара-шахрая використовує того самого постачальника, що і решта вашої компанії, то може бути майже неможливо визначити різницю між трафіком до хмари негідників та вашим звичайним хмарним трафіком. У випадку з нашим вищезгаданим сервером розробника, якщо компанія вже мала кілька десятків віртуалізованих серверів Amazon, які виконували інші навантаження, як легко було б відрізнити її один негідний сервер на основі виключно аналізу трафіку? Хоча правильно налаштований брандмауер нового покоління та відповідне програмне забезпечення можуть це зробити, робота, необхідна для цього, є важливою.

Вільяреал зазначив, що найефективніший спосіб - переглянути виписки з кредитних карток, коли працівники подають витрати і знаходять їх таким чином. Рішення відстеження витрат вищого класу можуть бути налаштовані для позначення конкретних типів витрат, тому їх пошук може бути принаймні дещо автоматизованим. Але він також каже, що наступний ваш крок є критичним, і це дотягуватись до працівників, а не важко спускатися на них.

"Пропонуємо надати необхідні їм послуги", - сказав він. "Щойно ви скористаєтеся шахрайськими службами, ви зможете вибудовувати стосунки з користувачами."

Він сказав, що, використовуючи хмару-шахрая, ви можете внести її всередину власної безпеки, а ви можете допомогти користувачам забезпечити ефективну роботу їхнього хмарного екземпляра. Крім того, якщо ви вже користуєтесь хмарними послугами, то, ймовірно, ви зможете отримати ту саму послугу зі значною знижкою.

6 кроків до сприйняття ІР-ізгоїв

Але пам’ятайте, що кожен зловмисний сервіс, який ви знайдете, будь то на AWS або це щось більш самодостатнє, наприклад, Dropbox Business, це симптом незадоволеної потреби. Співробітникам потрібна послуга, або ви не можете її надати, коли їм потрібна, або вони не знали, що можете. Так чи інакше, першопричиною є ІТ, але, на щастя, ці проблеми порівняно легко виправити. Ось шість кроків, які ви повинні зробити на самому початку:

    Познайомтеся з людиною та з’ясуйте, чому він чи вона вирішили створити сервіс замість використання відділу ІТ. Можливо, ІТ потребує занадто багато часу для реагування, але це можуть бути й інші причини, включаючи заборону, яка може призвести до того, що вони не відповідають своїм бізнес-потребам.

    Дізнайтеся більше про хмарну службу, яку вони використовують, що вони насправді роблять з нею та що вони зробили для її захисту. Потрібно переконатися, що він надійний, поки ви вводите його всередину.

    Подивіться на власні процедури. Скільки часу потрібно, щоб команда запитала доступ до ваших хмарних служб? Наскільки пов'язаний процес затвердження? Скільки допомоги ви готові надати? Наскільки важко отримати щось просте, наприклад IP-адресу? Наскільки важко включитись у корпоративний резервний план?

    Що може зробити ваш ІТ-відділ, щоб зробити зайві хмарні акаунти непотрібними? Наприклад, чи можете ви швидко та легко надати засоби для створення облікових записів на затверджених постачальниках? Чи можете ви надати корпоративний хмарний рахунок, який співробітники можуть використовувати з мінімальною затримкою? Чи можете ви надати персонал для роботи в якості консультантів, оскільки ні в одному з ІТ-відділів немає зайвого персоналу?

    Що може зробити ваш відділ для сприяння інноваціям у відділах, що не належать до ІТ? Чи можете ви надати меню ІТ-послуг, які доступні за запитом? Можливо, служба швидкого реагування для команд, які роблять щось по-справжньому інноваційне, але яким потрібна допомога, наприклад, включити машинне навчання (ML) у частину свого бізнесу? Пам’ятайте, якщо ви не можете чи не допоможете, то високомотивована команда просунеться без вас, і це ви намагаєтеся запобігти.

    Найголовніше, використовуйте цей досвід для вимірювання та вдосконалення того, що робить ваш ІТ-персонал, щоб реагувати на швидкість бізнесу.

  • Найкраще програмне забезпечення захисту та захисту кінцевих точок на 2019 рік. Найкраще програмне забезпечення захисту та безпеки кінцевої точки на 2019 рік
  • Найкращі рішення інфраструктури як послуга за 2019 рік Найкращі рішення інфраструктури як послуга на 2019 рік
  • Найкращі рішення для управління мобільними пристроями (MDM) на 2019 рік. Найкращі рішення управління мобільними пристроями (MDM) на 2019 рік

Я знаю, що на даний момент, ви, можливо, все це попсуєте, стверджуючи, що у вас немає ресурсів. Але факт полягає в тому, що якщо ваші працівники добре роблять свою роботу, то вам не потрібно багато на шляху додаткових ресурсів. І якщо ви спробуєте запобігти подібному виду діяльності з кумедним залізним кулаком, то, ймовірно, ця діяльність триватиме за кадром - і ви ризикуєте виникнути інцидент безпеки або бізнес-провал, який вимагатиме набагато більше ресурсів, ніж ви Буду коли-небудь.

Навіть мега-провайдери, такі як Amazon та Google, отримують злом. Якщо у вас є дані про корпоративні дані про ці сервіси, які не захищені так, як ваші офіційні магазини, то ви можете легко виникнути неприємну проблему і бути абсолютно не в курсі, поки не пізно. Звичайно, ви можете вказати пальцем на користувача, який зареєструвався без дозволу, але це не задовольнить розлюченого головного директора з інформаційної безпеки (CISO), який хоче знати, чому ІТ не може становити X відсотків віртуальних серверів компанії. І це не допоможе вашим клієнтам (які часто є мимовільними жертвами), оскільки їх особисті дані виявляються викритими.

"Працівники будуть щасливішими", - зазначив Вільяреал, зазначаючи також, що покарання працівників за їх мотивацію, як правило, призводить до того, що вони більше не мотивуються. Ніхто не збирається дякувати за це. Використовуючи послугу шахраїв, ви не тільки робите користувачів щасливими та мотивуєте їх, але й встановлюєте канал зв’язку на основі довіри. Якщо вони вам довіряють, немає підстав підписуватись на послуги покірно. Вони просто повідомлять вас, як вони це роблять, оскільки ви знаєте, що краще для вас обох.

Не вбивайте шахрайських хмарних облікових записів, прийміть їх