Dlaczego atestacje są tylko jedną częścią Twojego programu bezpieczeństwa chmurowego

Stefan Murray

5 lip 2017

Email

1 min read

Dlaczego atestacje są tylko jedną częścią Twojego programu bezpieczeństwa chmurowego

Kluczowe Wnioski

    • Samo poświadczenie nie gwarantuje bezpieczeństwa. Potwierdzają spełnienie określonych standardów, ale nie zapewniają, że kontrolki działają lub są odpowiednio monitorowane.

    • Gotowość operacyjna ma większe znaczenie niż certyfikacja. Firma może przejść audyt, a jednocześnie jej narzędzia bezpieczeństwa—takie jak systemy IDS/IPS—mogą być niesprawne.

    • Audytorzy często weryfikują istnienie, a nie wydajność. Wiele poświadczeń ocenia, czy systemy istnieją, a nie czy są poprawnie skonfigurowane lub aktywnie utrzymywane.

    • Silny program zabezpieczeń w chmurze łączy zgodność z ciągłym monitorowaniem. Poświadczenia zapewniają zgodności z podstawami, ale ciągłe testowanie i ocena zapewniają prawdziwą ochronę.

    • Zewnętrzne testy penetracyjne ujawniają rzeczywiste luki w zabezpieczeniach. Oferują głębsze wglądy niż ankiety lub listy kontrolne, weryfikując, czy środki bezpieczeństwa działają w rzeczywistych warunkach.

    • Oceny dostawców powinny uwzględniać dostęp do danych i narażenie na ryzyko. Partnerzy przetwarzający poufne informacje zasługują na ściślejszą kontrolę i regularną weryfikację.

    • Skuteczne bezpieczeństwo wymaga przejrzystości. Dojrzałe organizacje chętnie dzielą się politykami, ramami reagowania na incydenty oraz procedurami zarządzania lukami w zabezpieczeniach.

Q&A Highlights

  • Dlaczego atestacje nie są wiarygodnym miernikiem dojrzałości bezpieczeństwa?

    Ponieważ tylko dowodzą, że wymagane kontrole istnieją, a nie że działają. Prawdziwa dojrzałość w zakresie bezpieczeństwa obejmuje ciągłą walidację, monitorowanie i reagowanie na zagrożenia.

  • Jaka jest częsta porażka polegająca wyłącznie na sprawdzeniach zgodności?

    Organizacje mogą wdrażać narzędzia tylko po to, aby „odhaczyć punkt”. Na przykład IDS może być zainstalowany, ale nie skonfigurowany do wykrywania lub ostrzegania o zagrożeniach.

  • Co należy ocenić poza zaświadczeniami podczas oceny dostawcy?

    Zawsze sprawdzaj pełny raport z wynikami (nie tylko podsumowanie), pytaj o coroczne testy penetracyjne i proś o dostęp do podstawowej dokumentacji dotyczącej bezpieczeństwa.

  • Jak testy zewnętrzne mogą poprawić program bezpieczeństwa?

    Testy penetracyjne symulują ataki rzeczywiste, ujawniając słabości, które audyty zgodności pomijają, zapewniając, że mechanizmy obronne działają zgodnie z zamierzeniami.

  • Co definiuje dojrzały program bezpieczeństwa w chmurze?

    Zrównoważone podejście łączące zaświadczenia, ciągłe monitorowanie, strategie ochrony danych, gotowość do reagowania na incydenty oraz proaktywne zarządzanie podatnościami.

  • Jak powinieneś oceniać zabezpieczenia dostawców?

    Oceń na podstawie wrażliwości danych, do których mają dostęp - dostawcy obsługujący dane klientów powinni spełniać wyższe standardy bezpieczeństwa i podlegać regularnym przeglądom.

Ludzie często pytają mnie, co sprawia, że program bezpieczeństwa jest dobry. Chociaż chciałbym wskazać jeden aspekt mojego obwodu bezpieczeństwa jako przykład, istnieje wiele elementów, które warto podkreślić.

Świadectwa nie zawsze mierzą twoją postawę obronną

An attestation, by definition, jest wskazaniem, które sprawia, że coś staje się oczywiste. W przypadku bezpieczeństwa, a konkretnie programów bezpieczeństwa, oznacza to certyfikację w oficjalnej roli.

Ludzie często pytają mnie, co czyni dobry program bezpieczeństwa. Choć chciałbym wskazać jeden aspekt mojego obwodu bezpieczeństwa jako przykład, istnieje wiele elementów do wyróżnienia. Przemysł opiera się na atestacjach i certyfikacjach, aby zmierzyć twoje zabezpieczenia. Inżynierowie i operatorzy powiedzą ci, że twój rzeczywisty obwód bezpieczeństwa i zdolności oceny zagrożeń definiują twój program bezpieczeństwa. Ja powiem ci, że zarówno atestacje zgodności jako miara, jak i operacyjne zdolności twojego zespołu zabezpieczeń definiują twój program. Jednak same atestacje nie są dokładnym wyznacznikiem do mierzenia programu.

Atestacje są przemysłową koniecznością, aby zapewnić zgodność z federalnymi, lokalnymi i stanowymi przepisami, a także najlepszymi praktykami przemysłowymi. Standardy ISO, NIST lub DoD tworzą podstawę większości atestacji. NIST na przykład publikuje zestaw standardów i przewodników technicznych, aby pomóc organizacjom budować obronę obwodową, która jest „akceptowalna” dla rządu. Jak jednak przedstawię, fakt, że standardy są ustalone, nie oznacza, że ich wdrożenie zawsze jest znakomite.

An attestation, by definition, jest wskazaniem, które sprawia, że coś staje się oczywiste. W przypadku bezpieczeństwa, a konkretnie programów bezpieczeństwa, oznacza to certyfikację w oficjalnej roli.

Ludzie często pytają mnie, co czyni dobry program bezpieczeństwa. Choć chciałbym wskazać jeden aspekt mojego obwodu bezpieczeństwa jako przykład, istnieje wiele elementów do wyróżnienia. Przemysł opiera się na atestacjach i certyfikacjach, aby zmierzyć twoje zabezpieczenia. Inżynierowie i operatorzy powiedzą ci, że twój rzeczywisty obwód bezpieczeństwa i zdolności oceny zagrożeń definiują twój program bezpieczeństwa. Ja powiem ci, że zarówno atestacje zgodności jako miara, jak i operacyjne zdolności twojego zespołu zabezpieczeń definiują twój program. Jednak same atestacje nie są dokładnym wyznacznikiem do mierzenia programu.

Atestacje są przemysłową koniecznością, aby zapewnić zgodność z federalnymi, lokalnymi i stanowymi przepisami, a także najlepszymi praktykami przemysłowymi. Standardy ISO, NIST lub DoD tworzą podstawę większości atestacji. NIST na przykład publikuje zestaw standardów i przewodników technicznych, aby pomóc organizacjom budować obronę obwodową, która jest „akceptowalna” dla rządu. Jak jednak przedstawię, fakt, że standardy są ustalone, nie oznacza, że ich wdrożenie zawsze jest znakomite.

An attestation, by definition, jest wskazaniem, które sprawia, że coś staje się oczywiste. W przypadku bezpieczeństwa, a konkretnie programów bezpieczeństwa, oznacza to certyfikację w oficjalnej roli.

Ludzie często pytają mnie, co czyni dobry program bezpieczeństwa. Choć chciałbym wskazać jeden aspekt mojego obwodu bezpieczeństwa jako przykład, istnieje wiele elementów do wyróżnienia. Przemysł opiera się na atestacjach i certyfikacjach, aby zmierzyć twoje zabezpieczenia. Inżynierowie i operatorzy powiedzą ci, że twój rzeczywisty obwód bezpieczeństwa i zdolności oceny zagrożeń definiują twój program bezpieczeństwa. Ja powiem ci, że zarówno atestacje zgodności jako miara, jak i operacyjne zdolności twojego zespołu zabezpieczeń definiują twój program. Jednak same atestacje nie są dokładnym wyznacznikiem do mierzenia programu.

Atestacje są przemysłową koniecznością, aby zapewnić zgodność z federalnymi, lokalnymi i stanowymi przepisami, a także najlepszymi praktykami przemysłowymi. Standardy ISO, NIST lub DoD tworzą podstawę większości atestacji. NIST na przykład publikuje zestaw standardów i przewodników technicznych, aby pomóc organizacjom budować obronę obwodową, która jest „akceptowalna” dla rządu. Jak jednak przedstawię, fakt, że standardy są ustalone, nie oznacza, że ich wdrożenie zawsze jest znakomite.

Wdrożenie narzędzia nie oznacza, że ​​dostarcza wartość

Kontrole umożliwiają elastyczność w zakresie wdrażania oraz rozwoju operacyjnego i innowacji w czasie. Niestety niektóre organizacje wykorzystują tę elastyczność do 'odhaczenia' obowiązku, ale nie mają w rzeczywistości żadnych obron na miejscu.

Doskonałym przykładem tego problemu są systemy wykrywania/zapobiegania włamaniom (IDS lub IPS). Podobnie jak skanery wirusów, większość organizacji inwestuje w IDS/IPS jako standardową praktykę bezpieczeństwa, aby chronić się przed złośliwym ruchem i eksfiltracją danych. Branża jest pełna dostawców oferujących różne formy systemów IDS/IPS. Jednak niektóre organizacje budują systemy zamiast je kupować.

Niedawno opuściłem taką organizację, która 'zbudowała' swój własny system wykrywania włamań z narzędzi open source. Audytorzy zostali poinformowani, że system to 'fantastyczne narzędzie', a nawet przedstawiono im przykłady ruchu. Gdy zagłębiłem się w telemetrię, którą narzędzie dostarczało, zdałem sobie sprawę, że ruch nie był w ogóle analizowany. Raczej przechodził przez sensor, ponieważ nie został skonfigurowany do przechwytywania żadnego ruchu ani generowania alarmów. Co więcej, dane uwierzytelniające używane do zarządzania narzędziem zostały założone przez wcześniejszego pracownika i nigdy nie były aktualizowane po jego odejściu. W efekcie narzędzie pozostawało nieaktywne przez miesiące bez jakiejkolwiek interwencji człowieka. To nie tylko stwarza ryzyko dla firmy, ale także narusza obwód bezpieczeństwa.

Bystry audytor nie wykryłby problemu, ponieważ atestacje nie szukają 'operacyjnych' informacji o wszystkich systemach - standard to dosłownie jedna warstwa pytań i odpowiedzi. W rzeczywistości większość atestacji mierzy jedynie, czy narzędzie istnieje, a nie jego operacyjną zdolność do działania. Dodatkowo większość audytorów nie jest technicznie wystarczająco biegła, aby rozróżnić funkcjonalny IDS/IPS od niefunkcjonalnego. Istota audytu polega na tym, że firma stara się pokazać z jak najlepszej strony, zamiast odpowiadać na trudne pytania. Audytorzy muszą także przeanalizować wiele różnych kontroli w trakcie auditów, więc czas odgrywa dużą rolę w jakości ich analizy.

Sama atestacja pozwoli ci stwierdzić, że firma ma dojrzały program bezpieczeństwa z kontrolami. Wymaganie od potencjalnego partnera ukończenia ankiety dostawcy także nie zapewni ci pewności. Ankiety jedynie przedstawiają te same informacje w innej formie. Jak więc ocenić dojrzały program bezpieczeństwa?

Kontrole umożliwiają elastyczność w zakresie wdrażania oraz rozwoju operacyjnego i innowacji w czasie. Niestety niektóre organizacje wykorzystują tę elastyczność do 'odhaczenia' obowiązku, ale nie mają w rzeczywistości żadnych obron na miejscu.

Doskonałym przykładem tego problemu są systemy wykrywania/zapobiegania włamaniom (IDS lub IPS). Podobnie jak skanery wirusów, większość organizacji inwestuje w IDS/IPS jako standardową praktykę bezpieczeństwa, aby chronić się przed złośliwym ruchem i eksfiltracją danych. Branża jest pełna dostawców oferujących różne formy systemów IDS/IPS. Jednak niektóre organizacje budują systemy zamiast je kupować.

Niedawno opuściłem taką organizację, która 'zbudowała' swój własny system wykrywania włamań z narzędzi open source. Audytorzy zostali poinformowani, że system to 'fantastyczne narzędzie', a nawet przedstawiono im przykłady ruchu. Gdy zagłębiłem się w telemetrię, którą narzędzie dostarczało, zdałem sobie sprawę, że ruch nie był w ogóle analizowany. Raczej przechodził przez sensor, ponieważ nie został skonfigurowany do przechwytywania żadnego ruchu ani generowania alarmów. Co więcej, dane uwierzytelniające używane do zarządzania narzędziem zostały założone przez wcześniejszego pracownika i nigdy nie były aktualizowane po jego odejściu. W efekcie narzędzie pozostawało nieaktywne przez miesiące bez jakiejkolwiek interwencji człowieka. To nie tylko stwarza ryzyko dla firmy, ale także narusza obwód bezpieczeństwa.

Bystry audytor nie wykryłby problemu, ponieważ atestacje nie szukają 'operacyjnych' informacji o wszystkich systemach - standard to dosłownie jedna warstwa pytań i odpowiedzi. W rzeczywistości większość atestacji mierzy jedynie, czy narzędzie istnieje, a nie jego operacyjną zdolność do działania. Dodatkowo większość audytorów nie jest technicznie wystarczająco biegła, aby rozróżnić funkcjonalny IDS/IPS od niefunkcjonalnego. Istota audytu polega na tym, że firma stara się pokazać z jak najlepszej strony, zamiast odpowiadać na trudne pytania. Audytorzy muszą także przeanalizować wiele różnych kontroli w trakcie auditów, więc czas odgrywa dużą rolę w jakości ich analizy.

Sama atestacja pozwoli ci stwierdzić, że firma ma dojrzały program bezpieczeństwa z kontrolami. Wymaganie od potencjalnego partnera ukończenia ankiety dostawcy także nie zapewni ci pewności. Ankiety jedynie przedstawiają te same informacje w innej formie. Jak więc ocenić dojrzały program bezpieczeństwa?

Kontrole umożliwiają elastyczność w zakresie wdrażania oraz rozwoju operacyjnego i innowacji w czasie. Niestety niektóre organizacje wykorzystują tę elastyczność do 'odhaczenia' obowiązku, ale nie mają w rzeczywistości żadnych obron na miejscu.

Doskonałym przykładem tego problemu są systemy wykrywania/zapobiegania włamaniom (IDS lub IPS). Podobnie jak skanery wirusów, większość organizacji inwestuje w IDS/IPS jako standardową praktykę bezpieczeństwa, aby chronić się przed złośliwym ruchem i eksfiltracją danych. Branża jest pełna dostawców oferujących różne formy systemów IDS/IPS. Jednak niektóre organizacje budują systemy zamiast je kupować.

Niedawno opuściłem taką organizację, która 'zbudowała' swój własny system wykrywania włamań z narzędzi open source. Audytorzy zostali poinformowani, że system to 'fantastyczne narzędzie', a nawet przedstawiono im przykłady ruchu. Gdy zagłębiłem się w telemetrię, którą narzędzie dostarczało, zdałem sobie sprawę, że ruch nie był w ogóle analizowany. Raczej przechodził przez sensor, ponieważ nie został skonfigurowany do przechwytywania żadnego ruchu ani generowania alarmów. Co więcej, dane uwierzytelniające używane do zarządzania narzędziem zostały założone przez wcześniejszego pracownika i nigdy nie były aktualizowane po jego odejściu. W efekcie narzędzie pozostawało nieaktywne przez miesiące bez jakiejkolwiek interwencji człowieka. To nie tylko stwarza ryzyko dla firmy, ale także narusza obwód bezpieczeństwa.

Bystry audytor nie wykryłby problemu, ponieważ atestacje nie szukają 'operacyjnych' informacji o wszystkich systemach - standard to dosłownie jedna warstwa pytań i odpowiedzi. W rzeczywistości większość atestacji mierzy jedynie, czy narzędzie istnieje, a nie jego operacyjną zdolność do działania. Dodatkowo większość audytorów nie jest technicznie wystarczająco biegła, aby rozróżnić funkcjonalny IDS/IPS od niefunkcjonalnego. Istota audytu polega na tym, że firma stara się pokazać z jak najlepszej strony, zamiast odpowiadać na trudne pytania. Audytorzy muszą także przeanalizować wiele różnych kontroli w trakcie auditów, więc czas odgrywa dużą rolę w jakości ich analizy.

Sama atestacja pozwoli ci stwierdzić, że firma ma dojrzały program bezpieczeństwa z kontrolami. Wymaganie od potencjalnego partnera ukończenia ankiety dostawcy także nie zapewni ci pewności. Ankiety jedynie przedstawiają te same informacje w innej formie. Jak więc ocenić dojrzały program bezpieczeństwa?

Oceń Entire Cloud Security Program

Po pierwsze, należy przejrzeć co najmniej poświadczenia i raport z wynikami, nie tylko podsumowanie dla kierownictwa. To zapewni przegląd programu sprawdzonego przez stronę trzecią. Dodatkowo, kompleksowe programy ochrony powinny obejmować solidne strategie ochrony danych, takie jak procedury tworzenia kopii zapasowych i odzyskiwania bazy danych, aby zapewnić ciągłość biznesową i integralność danych podczas incydentów bezpieczeństwa. Po drugie, zdecydowanie należy sprawdzić, czy firma poddaje się testom penetracyjnym przeprowadzanym przez stronę trzecią lub programowi bug bounty. Osobiście nie jestem fanem programów bug bounty, ale jestem zwolennikiem testów penetracyjnych przeprowadzanych przez strony trzecie co roku. Testy penetracyjne dostarczają usystematyzowanego testu obrony i realistycznej informacji zwrotnej na temat luk w zabezpieczeniach. Na koniec, należy przejrzeć dokumenty dotyczące bezpieczeństwa (zazwyczaj spis treści), które firma wykorzystuje jako podstawę do wdrożenia. Obejmuje to (ale z pewnością nie jest to ograniczone do) politykę bezpieczeństwa, reakcję na incydenty i zarządzanie lukami. Doświadczony zespół ds. bezpieczeństwa zaoferuje udostępnienie tych dokumentów i artefaktów jako część normalnego biznesu.

Zasady mojego postępowania obejmują ocenę każdego dostawcy i partnera z perspektywy dostępu do danych firmy. To znaczy, że jeśli partner czy dostawca zarządza danymi firmy, podlega bardziej wnikliwej kontroli niż dostawca, który tego nie robi. Pamiętaj o celu biznesowym podczas oceny programu bezpieczeństwa. Przeglądam cel biznesowy i rodzaj informacji, które dotyczą, a następnie oceniam z tej perspektywy, zamiast traktować wszystkich partnerów i dostawców identycznie. Gdy masz wątpliwości, zawsze proś o więcej informacji.

Po pierwsze, należy przejrzeć co najmniej poświadczenia i raport z wynikami, nie tylko podsumowanie dla kierownictwa. To zapewni przegląd programu sprawdzonego przez stronę trzecią. Dodatkowo, kompleksowe programy ochrony powinny obejmować solidne strategie ochrony danych, takie jak procedury tworzenia kopii zapasowych i odzyskiwania bazy danych, aby zapewnić ciągłość biznesową i integralność danych podczas incydentów bezpieczeństwa. Po drugie, zdecydowanie należy sprawdzić, czy firma poddaje się testom penetracyjnym przeprowadzanym przez stronę trzecią lub programowi bug bounty. Osobiście nie jestem fanem programów bug bounty, ale jestem zwolennikiem testów penetracyjnych przeprowadzanych przez strony trzecie co roku. Testy penetracyjne dostarczają usystematyzowanego testu obrony i realistycznej informacji zwrotnej na temat luk w zabezpieczeniach. Na koniec, należy przejrzeć dokumenty dotyczące bezpieczeństwa (zazwyczaj spis treści), które firma wykorzystuje jako podstawę do wdrożenia. Obejmuje to (ale z pewnością nie jest to ograniczone do) politykę bezpieczeństwa, reakcję na incydenty i zarządzanie lukami. Doświadczony zespół ds. bezpieczeństwa zaoferuje udostępnienie tych dokumentów i artefaktów jako część normalnego biznesu.

Zasady mojego postępowania obejmują ocenę każdego dostawcy i partnera z perspektywy dostępu do danych firmy. To znaczy, że jeśli partner czy dostawca zarządza danymi firmy, podlega bardziej wnikliwej kontroli niż dostawca, który tego nie robi. Pamiętaj o celu biznesowym podczas oceny programu bezpieczeństwa. Przeglądam cel biznesowy i rodzaj informacji, które dotyczą, a następnie oceniam z tej perspektywy, zamiast traktować wszystkich partnerów i dostawców identycznie. Gdy masz wątpliwości, zawsze proś o więcej informacji.

Po pierwsze, należy przejrzeć co najmniej poświadczenia i raport z wynikami, nie tylko podsumowanie dla kierownictwa. To zapewni przegląd programu sprawdzonego przez stronę trzecią. Dodatkowo, kompleksowe programy ochrony powinny obejmować solidne strategie ochrony danych, takie jak procedury tworzenia kopii zapasowych i odzyskiwania bazy danych, aby zapewnić ciągłość biznesową i integralność danych podczas incydentów bezpieczeństwa. Po drugie, zdecydowanie należy sprawdzić, czy firma poddaje się testom penetracyjnym przeprowadzanym przez stronę trzecią lub programowi bug bounty. Osobiście nie jestem fanem programów bug bounty, ale jestem zwolennikiem testów penetracyjnych przeprowadzanych przez strony trzecie co roku. Testy penetracyjne dostarczają usystematyzowanego testu obrony i realistycznej informacji zwrotnej na temat luk w zabezpieczeniach. Na koniec, należy przejrzeć dokumenty dotyczące bezpieczeństwa (zazwyczaj spis treści), które firma wykorzystuje jako podstawę do wdrożenia. Obejmuje to (ale z pewnością nie jest to ograniczone do) politykę bezpieczeństwa, reakcję na incydenty i zarządzanie lukami. Doświadczony zespół ds. bezpieczeństwa zaoferuje udostępnienie tych dokumentów i artefaktów jako część normalnego biznesu.

Zasady mojego postępowania obejmują ocenę każdego dostawcy i partnera z perspektywy dostępu do danych firmy. To znaczy, że jeśli partner czy dostawca zarządza danymi firmy, podlega bardziej wnikliwej kontroli niż dostawca, który tego nie robi. Pamiętaj o celu biznesowym podczas oceny programu bezpieczeństwa. Przeglądam cel biznesowy i rodzaj informacji, które dotyczą, a następnie oceniam z tej perspektywy, zamiast traktować wszystkich partnerów i dostawców identycznie. Gdy masz wątpliwości, zawsze proś o więcej informacji.

Inne wiadomości

Czytaj więcej z tej kategorii

A person is standing at a desk while typing on a laptop.

Kompletna, natywna dla AI platforma, która rośnie wraz z Twoim biznesem.

Skontaktuj się z działem sprzedaży

Zacznij za darmo

© 2025 Bird

Skontaktuj się z pomocą techniczną

A person is standing at a desk while typing on a laptop.

Kompletna, natywna dla AI platforma, która rośnie wraz z Twoim biznesem.

Skontaktuj się z działem sprzedaży

Zacznij za darmo

© 2025 Bird

Skontaktuj się z pomocą techniczną

A person is standing at a desk while typing on a laptop.

Kompletna, natywna dla AI platforma, która rośnie wraz z Twoim biznesem.

Skontaktuj się z działem sprzedaży

Zacznij za darmo

© 2025 Bird

Skontaktuj się z pomocą techniczną