لماذا التصديقات هي جزء واحد فقط من برنامج أمان السحابة الخاص بك

البريد الإلكتروني

1 min read

لماذا التصديقات هي جزء واحد فقط من برنامج أمان السحابة الخاص بك

البريد الإلكتروني

1 min read

لماذا التصديقات هي جزء واحد فقط من برنامج أمان السحابة الخاص بك

غالبًا ما يسألني الناس عن ما يجعل برنامج الأمن جيدًا. وعلى الرغم من أنني أرغب في الإشارة إلى جانب واحد من محيط الأمان الخاص بي كمثال، إلا أن هناك عناصر متعددة يجب تسليط الضوء عليها.

الشهادات لا تقيس دائمًا وضعك الدفاعي

الشهادة، حسب التعريف، هي إشارة تجعل شيئًا واضحًا. في حالة الأمان، يعني تحديدًا برامج الأمان الشهادات الرسمية في القدرة الرسمية.




يسألني الناس غالبًا ما الذي يجعل برنامج الأمان جيدًا. بقدر ما أود أن أشير إلى أحد جوانب محيط الأمان الخاص بي لاستخدامه كمثال، هناك عناصر متعددة يجب تسليط الضوء عليها. تعتمد الصناعة على الشهادات لقياس الدفاعات الأمنية الخاصة بك. سيخبرك المهندسون والمشغلون أن محيط الأمان الفعلي وقدرات تقييم التهديدات الخاصة بك هي التي تحدد برنامجك الأمني. سأخبرك أن الشهادات التجارية كوسيلة قياس وقدرات فريق الأمان الخاص بك التشغيلية هي التي تحدد برنامجك. على الرغم من أن الشهادات وحدها ليست معيارًا دقيقًا لقياس البرنامج.




الشهادات هي ضرورة صناعية لضمان الامتثال للقوانين الفيدرالية والمحلية وحكومات الولايات وكذلك أفضل الممارسات في الصناعة. تشكل معايير ISO و NIST أو DoD الأساس لمعظم الشهادات. على سبيل المثال، تقوم NIST بنشر مجموعة من المعايير والإرشادات التقنية لمساعدة المنظمات في بناء الدفاعات المحيطية التي تكون "مقبولة" للحكومة. كما سأوضح مع ذلك، فإن وضع المعايير لا يعني دائمًا أن التنفيذ يكون ممتازًا.

نشر أداة لا يعني بالضرورة أنها توفر قيمة

تسمح الضوابط بالمرونة في التنفيذ والنمو التشغيلي والابتكار بمرور الوقت. للأسف، تستخدم بعض المنظمات المرونة للتحقق منها في القائمة فقط، ولكن ليس لديها دفاعات حقيقية بالفعل.




مثال رئيسي لهذه المشكلة هو أنظمة كشف/حماية التسلل (IDS أو IPS). مثل ماسحات الفيروسات، تستثمر معظم المنظمات في IDS/IPS كجزء من ممارسات الأمان القياسية للحماية من الحركة الخبيثة والتسلل للبيانات. الصناعة ملأى بالبائعين الذين يقدمون أشكالاً مختلفة من أنظمة IDS/IPS. ومع ذلك، تبني بعض المنظمات الأنظمة بدلاً من شرائها.




مؤخرًا، غادرت إحدى تلك المنظمات التي "بنت" نظام كشف التسلل الخاص بها من أدوات مفتوحة المصدر. أُخبر المدققون أن النظام كان "أداة رائعة"، حتى أنهم أعطوا أمثلة لحركة المرور. عندما تعمقت في تحليل البيانات التي توفرها الأداة، أدركت أن الحركة لم يتم تحليلها على الإطلاق. بل تمر عبر المستشعر لأنه لم يكن مضبوطًا لالتقاط أي حركة أو إبلاغ عنها. علاوة على ذلك، ظلت بيانات الاعتماد المستخدمة لإدارة الأداة تم إعدادها بواسطة موظف سابق ولم يتم تحديثها أبدًا بعد مغادرته. لذا بصفة أساسية، كانت الأداة جالسة بلا حركة لأشهر دون أي تدخل بشري. هذا لا يعرض الشركة للخطر فحسب، بل يهدد أيضًا محيطها.




لم يكن المدقق المتمكن ليكتشف المشكلة لأن الشهادات لا تبحث عن معلومات "تشغيلية" على جميع الأنظمة – المعيار هو حرفيًا طبقة واحدة من السؤال والجواب. في الواقع، تقيس معظم الشهادات ببساطة إذا كانت الأداة موجودة، وليس الجدوى التشغيلية. بالإضافة إلى ذلك، معظم المدققين ليسوا تقنيين بما يكفي للتمييز بين IDS/IPS الفعالة وغير الفعالة. يعتمد جوهر التدقيق على الشركة لتضع أفضل ما لديها بدلاً من الإجابة على الأسئلة الصعبة. يجب على المدققين أيضًا تغطية مجموعة واسعة من الضوابط أثناء التدقيق لذا يكون الوقت عاملًا كبيرًا في جودة تحليلاتهم.




ستخبرك الشهادة بمفردها أن الشركة لديها برنامج أمني ناضج مع ضوابط. لن يمنحك إجراء استبيان بائع للشريك المحتمل الثقة أيضًا. الاستبيانات تحدد ببساطة نفس المعلومات بتنسيق مختلف. فكيف تقيم برنامج أمني ناضجاً؟

تسمح الضوابط بالمرونة في التنفيذ والنمو التشغيلي والابتكار بمرور الوقت. للأسف، تستخدم بعض المنظمات المرونة للتحقق منها في القائمة فقط، ولكن ليس لديها دفاعات حقيقية بالفعل.




مثال رئيسي لهذه المشكلة هو أنظمة كشف/حماية التسلل (IDS أو IPS). مثل ماسحات الفيروسات، تستثمر معظم المنظمات في IDS/IPS كجزء من ممارسات الأمان القياسية للحماية من الحركة الخبيثة والتسلل للبيانات. الصناعة ملأى بالبائعين الذين يقدمون أشكالاً مختلفة من أنظمة IDS/IPS. ومع ذلك، تبني بعض المنظمات الأنظمة بدلاً من شرائها.




مؤخرًا، غادرت إحدى تلك المنظمات التي "بنت" نظام كشف التسلل الخاص بها من أدوات مفتوحة المصدر. أُخبر المدققون أن النظام كان "أداة رائعة"، حتى أنهم أعطوا أمثلة لحركة المرور. عندما تعمقت في تحليل البيانات التي توفرها الأداة، أدركت أن الحركة لم يتم تحليلها على الإطلاق. بل تمر عبر المستشعر لأنه لم يكن مضبوطًا لالتقاط أي حركة أو إبلاغ عنها. علاوة على ذلك، ظلت بيانات الاعتماد المستخدمة لإدارة الأداة تم إعدادها بواسطة موظف سابق ولم يتم تحديثها أبدًا بعد مغادرته. لذا بصفة أساسية، كانت الأداة جالسة بلا حركة لأشهر دون أي تدخل بشري. هذا لا يعرض الشركة للخطر فحسب، بل يهدد أيضًا محيطها.




لم يكن المدقق المتمكن ليكتشف المشكلة لأن الشهادات لا تبحث عن معلومات "تشغيلية" على جميع الأنظمة – المعيار هو حرفيًا طبقة واحدة من السؤال والجواب. في الواقع، تقيس معظم الشهادات ببساطة إذا كانت الأداة موجودة، وليس الجدوى التشغيلية. بالإضافة إلى ذلك، معظم المدققين ليسوا تقنيين بما يكفي للتمييز بين IDS/IPS الفعالة وغير الفعالة. يعتمد جوهر التدقيق على الشركة لتضع أفضل ما لديها بدلاً من الإجابة على الأسئلة الصعبة. يجب على المدققين أيضًا تغطية مجموعة واسعة من الضوابط أثناء التدقيق لذا يكون الوقت عاملًا كبيرًا في جودة تحليلاتهم.




ستخبرك الشهادة بمفردها أن الشركة لديها برنامج أمني ناضج مع ضوابط. لن يمنحك إجراء استبيان بائع للشريك المحتمل الثقة أيضًا. الاستبيانات تحدد ببساطة نفس المعلومات بتنسيق مختلف. فكيف تقيم برنامج أمني ناضجاً؟

تسمح الضوابط بالمرونة في التنفيذ والنمو التشغيلي والابتكار بمرور الوقت. للأسف، تستخدم بعض المنظمات المرونة للتحقق منها في القائمة فقط، ولكن ليس لديها دفاعات حقيقية بالفعل.




مثال رئيسي لهذه المشكلة هو أنظمة كشف/حماية التسلل (IDS أو IPS). مثل ماسحات الفيروسات، تستثمر معظم المنظمات في IDS/IPS كجزء من ممارسات الأمان القياسية للحماية من الحركة الخبيثة والتسلل للبيانات. الصناعة ملأى بالبائعين الذين يقدمون أشكالاً مختلفة من أنظمة IDS/IPS. ومع ذلك، تبني بعض المنظمات الأنظمة بدلاً من شرائها.




مؤخرًا، غادرت إحدى تلك المنظمات التي "بنت" نظام كشف التسلل الخاص بها من أدوات مفتوحة المصدر. أُخبر المدققون أن النظام كان "أداة رائعة"، حتى أنهم أعطوا أمثلة لحركة المرور. عندما تعمقت في تحليل البيانات التي توفرها الأداة، أدركت أن الحركة لم يتم تحليلها على الإطلاق. بل تمر عبر المستشعر لأنه لم يكن مضبوطًا لالتقاط أي حركة أو إبلاغ عنها. علاوة على ذلك، ظلت بيانات الاعتماد المستخدمة لإدارة الأداة تم إعدادها بواسطة موظف سابق ولم يتم تحديثها أبدًا بعد مغادرته. لذا بصفة أساسية، كانت الأداة جالسة بلا حركة لأشهر دون أي تدخل بشري. هذا لا يعرض الشركة للخطر فحسب، بل يهدد أيضًا محيطها.




لم يكن المدقق المتمكن ليكتشف المشكلة لأن الشهادات لا تبحث عن معلومات "تشغيلية" على جميع الأنظمة – المعيار هو حرفيًا طبقة واحدة من السؤال والجواب. في الواقع، تقيس معظم الشهادات ببساطة إذا كانت الأداة موجودة، وليس الجدوى التشغيلية. بالإضافة إلى ذلك، معظم المدققين ليسوا تقنيين بما يكفي للتمييز بين IDS/IPS الفعالة وغير الفعالة. يعتمد جوهر التدقيق على الشركة لتضع أفضل ما لديها بدلاً من الإجابة على الأسئلة الصعبة. يجب على المدققين أيضًا تغطية مجموعة واسعة من الضوابط أثناء التدقيق لذا يكون الوقت عاملًا كبيرًا في جودة تحليلاتهم.




ستخبرك الشهادة بمفردها أن الشركة لديها برنامج أمني ناضج مع ضوابط. لن يمنحك إجراء استبيان بائع للشريك المحتمل الثقة أيضًا. الاستبيانات تحدد ببساطة نفس المعلومات بتنسيق مختلف. فكيف تقيم برنامج أمني ناضجاً؟

تقييم برنامج أمن السحابة بالكامل

أولاً، يجب عليك مراجعة الشهادات وتقرير النتائج على الأقل، وليس الملخص التنفيذي. سيوفر لك ذلك نظرة عامة على البرنامج الذي تمت مراجعته من قبل طرف ثالث. ثانيًا، يجب عليك بالتأكيد مراجعة ما إذا كانت الشركة تخضع لاختبار اختراق عن طريق طرف ثالث أو برنامج Bug Bounty. شخصيًا، أنا لست من محبي برامج Bug Bounty، لكني من محبي اختبارات الاختراق من قبل جهات خارجية على أساس سنوي. يوفر اختبار الاختراق لك اختبارًا منظمًا لدفاعاتك وردود فعل حقيقية حول الثغرات. أخيرًا، قم بمراجعة مستندات الأمان (عادةً ما تكون قائمة محتويات) التي تستخدمها الشركة كأساس للتنفيذ. يتضمن ذلك (ولكن بالتأكيد ليس مقتصرًا على) سياسة الأمان، الاستجابة للحوادث وإدارة الضعف. سيوفر لك فريق الأمان المتمرس عرضًا لمشاركة تلك المستندات والمواد كجزء من العمل الطبيعي.




أعتبر من البديهي تقييم كل مورد وشريك من منظور الوصول إلى بيانات الشركة. بمعنى أنه إذا كان الشريك أو المورد يدير بيانات الشركة، فهو يخضع لمزيد من التدقيق مقارنة بمورد لا يديرها. ضع في اعتبارك الغرض التجاري عند تقييم برنامج الأمان. أراجع الغرض التجاري ونوع المعلومات المعنية، ثم أقيّم من هذا المنظور، بدلاً من التعامل مع جميع الشركاء والموردين بنفس الطريقة. في حالة الشك، اطلب دائمًا مزيدًا من المعلومات.

دعنا نوصلك بخبير من Bird.
رؤية القوة الكاملة لـ Bird في 30 دقيقة.

بتقديمك طلبًا، فإنك توافق على أن تقوم Bird بالاتصال بك بشأن منتجاتنا وخدماتنا.

يمكنك إلغاء الاشتراك في أي وقت. انظر بيان الخصوصية الخاص بـ Bird للتفاصيل حول معالجة البيانات.

النشرة الإخبارية

ابقَ على اطلاع مع Bird من خلال التحديثات الأسبوعية إلى بريدك الوارد.

بتقديمك طلبًا، فإنك توافق على أن تقوم Bird بالاتصال بك بشأن منتجاتنا وخدماتنا.

يمكنك إلغاء الاشتراك في أي وقت. انظر بيان الخصوصية الخاص بـ Bird للتفاصيل حول معالجة البيانات.

دعنا نوصلك بخبير من Bird.
رؤية القوة الكاملة لـ Bird في 30 دقيقة.

بتقديمك طلبًا، فإنك توافق على أن تقوم Bird بالاتصال بك بشأن منتجاتنا وخدماتنا.

يمكنك إلغاء الاشتراك في أي وقت. انظر بيان الخصوصية الخاص بـ Bird للتفاصيل حول معالجة البيانات.

النشرة الإخبارية

ابقَ على اطلاع مع Bird من خلال التحديثات الأسبوعية إلى بريدك الوارد.

بتقديمك طلبًا، فإنك توافق على أن تقوم Bird بالاتصال بك بشأن منتجاتنا وخدماتنا.

يمكنك إلغاء الاشتراك في أي وقت. انظر بيان الخصوصية الخاص بـ Bird للتفاصيل حول معالجة البيانات.

دعنا نوصلك بخبير من Bird.
رؤية القوة الكاملة لـ Bird في 30 دقيقة.

بتقديمك طلبًا، فإنك توافق على أن تقوم Bird بالاتصال بك بشأن منتجاتنا وخدماتنا.

يمكنك إلغاء الاشتراك في أي وقت. انظر بيان الخصوصية الخاص بـ Bird للتفاصيل حول معالجة البيانات.

R

وصول

G

نمو

م

إدارة

A

أتمتة

النشرة الإخبارية

ابقَ على اطلاع مع Bird من خلال التحديثات الأسبوعية إلى بريدك الوارد.

بتقديمك طلبًا، فإنك توافق على أن تقوم Bird بالاتصال بك بشأن منتجاتنا وخدماتنا.

يمكنك إلغاء الاشتراك في أي وقت. انظر بيان الخصوصية الخاص بـ Bird للتفاصيل حول معالجة البيانات.