ΣΧΟΛΙΑΣΜΟΣ
Τα τελευταία χρόνια, η Αυστραλία έχει κάνει ορισμένες βασικές κινήσεις για τη βελτίωση της στάσης ασφαλείας της χώρας. Το 2020, η χώρα επένδυσε 1.67 δισεκατομμύρια AUD (1.1 δισεκατομμύρια δολάρια ΗΠΑ) ως μέρος της Στρατηγικής Κυβερνοασφάλειας 2020.
Παρά αυτές τις προσπάθειες, η αυστραλιανή κυβέρνηση «Έκθεση Κυβερνοαπειλής 2022-2023” ανέφερε 58 περιστατικά που χαρακτήρισε ως Εκτεταμένους Συμβιβασμούς και 195 περιστατικά που κατέταξε ως Μεμονωμένους Συμβιβασμούς. Λιμενικός χειριστής DP World Australia ανέστειλε τις δραστηριότητές του λόγω κυβερνοεπίθεσης τον Νοέμβριο. SA Health, Υπηρεσίες Αυστραλία, να NT Υγεία ήταν μόνο μερικοί από τους παρόχους υγειονομικής περίθαλψης που παραβιάστηκαν πέρυσι, μετά τον Νοέμβριο του 2022 Medibank παραβίαση που επηρέασε σχεδόν 10 εκατομμύρια ανθρώπους.
Σε απάντηση, η Αυστραλία ενημέρωσε τα επίπεδα της Απαραίτητα οκτώ Maturity Model, ο ολοκληρωμένος οδηγός της χώρας για τις επιχειρήσεις που προσπαθούν να προστατευτούν από κυβερνοεπιθέσεις. Ένα πλαίσιο που δημιουργήθηκε το 2010 για να βοηθήσει τις επιχειρήσεις να αντιμετωπίσουν τις απειλές για την ασφάλεια στον κυβερνοχώρο, το Essential Eight έχει ενημερωθεί αρκετές φορές, κυρίως όταν πρόσθεσε το μοντέλο ωριμότητάς του για να βοηθήσει εταιρείες διαφορετικών μεγεθών να καθορίσουν τις κατάλληλες ενέργειες ασφαλείας που πρέπει να λάβουν και πιο πρόσφατα τον Νοέμβριο του 2023.
Ωστόσο, με το έγκλημα στον κυβερνοχώρο να είναι ανεξέλεγκτη στην Αυστραλία, ήρθε η ώρα να αναρωτηθούμε εάν το Essential Eight παρέχει τη σωστή κατεύθυνση για τους αυστραλιανούς οργανισμούς και εάν πρέπει να χρησιμοποιηθεί ως πρότυπο για άλλες χώρες.
Μέσα στο Essential Eight
Το Essential Eight έχει παραμείνει ανέπαφο από τη δημοσίευσή του το 2010. Παρέχει οδηγίες σχετικά με την ενημέρωση κώδικα, τη δημιουργία αντιγράφων ασφαλείας και τον έλεγχο εφαρμογών. Μεταξύ άλλων, η ενημέρωση του 2023 συνιστά τον περιορισμό των μακροεντολών της Microsoft και περιλαμβάνει οδηγίες για τη σκλήρυνση των εφαρμογών χρήστη.
Ενώ όλα αυτά τα ζητήματα είναι σημαντικά, αποτυγχάνουν να αναγνωρίσουν τη μετάβαση στο cloud και, συγκεκριμένα, τη χρήση των εφαρμογών λογισμικού ως υπηρεσίας (SaaS). Το Essential Eight περιλαμβάνει μια ενότητα για τον περιορισμό των προνομίων διαχειριστή, μια βασική αρχή ασφάλειας SaaS.
Ωστόσο, διαβάζοντας τα Επίπεδα ωριμότητας, είναι σαφές ότι η καθοδήγησή του παραμένει προσαρμοσμένη στα δίκτυα εσωτερικής εγκατάστασης. Το Επίπεδο ωριμότητας 2 περιλαμβάνει οδηγίες όπως "Τα αιτήματα για προνομιακή πρόσβαση σε συστήματα, εφαρμογές και χώρους αποθήκευσης δεδομένων επικυρώνονται όταν ζητηθούν για πρώτη φορά" και "Οι προνομιούχοι χρήστες χρησιμοποιούν ξεχωριστά προνομιακά και μη προνομιακά περιβάλλοντα λειτουργίας".
Από τις 29 συστάσεις για δικαιώματα διαχειριστή στα τρία επίπεδα ωριμότητας που σχετίζονται με τα δικαιώματα διαχειριστή, μόνο μία απευθύνεται σε διαδικτυακούς λογαριασμούς ("Οι προνομιούχοι λογαριασμοί που εξουσιοδοτούνται ρητά για πρόσβαση σε διαδικτυακές υπηρεσίες περιορίζονται αυστηρά μόνο σε ό,τι απαιτείται για τους χρήστες και τις υπηρεσίες να αναλάβουν τα καθήκοντά τους").
Το Essential Eight περιλαμβάνει πιστοποίηση πολλαπλών παραγόντων (MFA). Αυτό είναι ένα κρίσιμο βήμα για την εξασφάλιση διαδικτυακών υπηρεσιών. Ωστόσο, το MFA είναι μόνο ένα κομμάτι ασφάλειας cloud και SaaS. Ο περιορισμός της καθοδήγησης μόνο στο MFA κάνει κακό στις επιχειρήσεις και τις κυβερνητικές οντότητες που βασίζονται στο Essential Eight για την κατεύθυνση της διασφάλισης ολόκληρου του ψηφιακού τους αποτυπώματος.
Βασικές οκτώ δεσποινίδες στο σημερινό εργασιακό περιβάλλον
Δυστυχώς, το Essential Eight και τα μοντέλα ωριμότητάς του χάνουν το σημερινό περιβάλλον υπολογιστή. Δεν περιέχει τις λέξεις "σύννεφο" ή "εφαρμογή SaaS". Κατά παράλειψη, αποτυγχάνει να αναγνωρίσει το ρόλο που παίζουν οι εφαρμογές SaaS στον σημερινό επιχειρηματικό κόσμο και τα δεδομένα που είναι αποθηκευμένα στο cloud.
Σήμερα, οι εφαρμογές SaaS περιλαμβάνουν 70% του συνόλου του λογισμικού χρησιμοποιείται από επιχειρήσεις. Κάθε μία από αυτές τις εφαρμογές περιέχει κρίσιμα για τις επιχειρήσεις δεδομένα ή παίζει ρόλο σε λειτουργίες που πρέπει να ασφαλιστούν. Το MFA είναι ένα σημαντικό εργαλείο που χρησιμοποιείται για τον περιορισμό της πρόσβασης σε εξουσιοδοτημένους χρήστες, αλλά υπολείπεται πολύ από τα μέτρα που απαιτούνται για την ασφάλεια των περιπτώσεων SaaS και cloud.
Ενημέρωση του Essential Eight για τον σύγχρονο χώρο εργασίας
Από το Essential Eight λείπουν τέσσερις βασικές οδηγίες ασφαλείας που επικεντρώνονται στο cloud: διαχείριση διαμόρφωσης, ασφάλεια ταυτότητας, διαχείριση ενοποίησης εφαρμογών τρίτου μέρους και έλεγχος πόρων.
-
Διαχείριση διαμόρφωσης: Ένα πλαίσιο ασφαλείας που δεν αντιμετωπίζει εσφαλμένες ρυθμίσεις παραμέτρων λείπει ένα βασικό κομμάτι της καθοδήγησης ασφαλείας. ΕΝΑ Ισχυρή Έρευνα Η έκθεση διαπίστωσε ότι 800 εκατομμύρια εγγραφές εκτέθηκαν το 2022 λόγω εσφαλμένων διαμορφώσεων. Αυτό είναι ένα σοβαρό ζήτημα που απαιτεί αυτοματοποιημένη παρακολούθηση για να διασφαλιστεί ότι οι διαχειριστές εφαρμογών και cloud δεν προσαρμόζουν κατά λάθος μια ρύθμιση που εκθέτει τα δεδομένα στο κοινό.
-
Ασφάλεια ταυτότητας: Η διαχείριση στάσης ασφαλείας ταυτότητας (ISPM) είναι μια άλλη κραυγαλέα παράλειψη από το Essential Eight. Το SaaS και το cloud έχουν εξαλείψει την παραδοσιακή περίμετρο του δικτύου. Η ταυτότητα βρίσκεται στη θέση της, το μοναδικό εμπόδιο μεταξύ των παραγόντων της εφαρμογής και της απειλής. Ενώ το MFA αντιμετωπίζει τον έλεγχο ταυτότητας χρήστη, αποτυγχάνει να αντιμετωπίσει ζητήματα που σχετίζονται με χρήστες που έχουν καταργηθεί, εξωτερικούς χρήστες, δικαιώματα χρήστη, κίνδυνο διαχειριστή και άλλους κινδύνους που βασίζονται στους χρήστες.
-
Διαχείριση ενοποίησης εφαρμογών τρίτου μέρους: Οι εφαρμογές τρίτων συμβάλλουν στη βελτίωση της βασικής λειτουργικότητας της εφαρμογής και στην απλοποίηση των ροών εργασίας. Εισάγουν επίσης νέους δρόμους κινδύνου. Η απλή ενσωμάτωση του OAuth συχνά ζητά παρεμβατικά πεδία που εξουσιοδοτούν την εφαρμογή με δικαιώματα εγγραφής, τα οποία περιλαμβάνουν τη δυνατότητα διαγραφής φακέλων, αρχείων και ολόκληρων μονάδων δίσκου και διαχείρισης προνομίων email.
-
Έλεγχος πόρων: Οι εφαρμογές SaaS και cloud αποθηκεύουν εκατομμύρια περιουσιακά στοιχεία και πόρους της εταιρείας. Αυτά περιλαμβάνουν αρχεία, φακέλους, πίνακες προγραμματισμού, αποκλειστικό κώδικα λογισμικού και σχέδια προϊόντων. Αυτά τα περιουσιακά στοιχεία πρέπει να προστατεύονται με αυστηρά μέτρα ασφαλείας αντί να είναι προσβάσιμα σε οποιονδήποτε έχει σύνδεσμο ή να είναι δυνατή η αναζήτηση μέσω ενός προγράμματος περιήγησης στο Διαδίκτυο.
Προετοιμασία των επιχειρήσεων για τις σημερινές απειλές
Η Αυστραλία, καθώς και οι οργανισμοί κυβερνοασφάλειας στη Μέση Ανατολή και την Αφρική που προσβλέπουν στην Αυστραλία για καθοδήγηση, πρέπει να ενημερώσουν το πλαίσιο ασφαλείας της για να αντιμετωπίσουν τις σύγχρονες υποδομές δικτύου.
Η εισαγωγή μέτρων ασφαλείας σχετικά με τη διαχείριση εσφαλμένων παραμέτρων, το ISPM, τις εφαρμογές τρίτων και την προστασία εταιρικών περιουσιακών στοιχείων που είναι αποθηκευμένα σε εφαρμογές SaaS θα πρέπει να είναι το επόμενο βήμα για το Essential Eight.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cybersecurity-operations/missing-cybersecurity-mark-with-essential-eight
- :έχει
- :είναι
- $ 10 εκατομμύρια
- 1
- 10
- 13
- 14
- 16
- 195
- 2010
- 2020
- 2022
- 2023
- 29
- 58
- 67
- 7
- 9
- a
- ABC
- ικανότητα
- πρόσβαση
- προσιτός
- Λογαριασμοί
- ενεργειών
- φορείς
- προστιθέμενη
- διεύθυνση
- διευθύνσεις
- προσαρμόσει
- διαχειριστής
- διοικητικός
- διαχειριστές
- επηρεαστούν
- Αφρική
- κατά
- Όλα
- Επίσης
- μεταξύ των
- an
- και
- Άλλος
- κάποιος
- app
- Εφαρμογή
- εφαρμογές
- κατάλληλος
- ΕΙΝΑΙ
- AS
- ζητώ
- Ενεργητικό
- AUD
- Australia
- Αυστραλός
- Πιστοποίηση
- εξουσιοδοτημένο
- Αυτοματοποιημένη
- λεωφόρους
- αντιγράφων ασφαλείας
- φράγμα
- BE
- ήταν
- πίσω
- είναι
- μεταξύ
- Δισεκατομμύριο
- παραβίαση
- πρόγραμμα περιήγησης
- επιχείρηση
- επιχειρήσεις
- αλλά
- by
- Κύκλος
- ταξινομούνται
- καθαρός
- Backup
- εφαρμογές cloud
- κωδικός
- COM
- Εταιρείες
- εταίρα
- περιουσιακά στοιχεία της εταιρείας
- περιεκτικός
- υπολογιστή
- διαμόρφωση
- περιέχουν
- Περιέχει
- έλεγχος
- πυρήνας
- χώρες
- χώρα
- δημιουργήθηκε
- κρίσιμης
- στον κυβερνοχώρο
- κυβερνασφάλεια
- Ηλεκτρονική επίθεση
- cyberattacks
- εγκλήματος στον κυβερνοχώρο
- Κυβερνασφάλεια
- ημερομηνία
- Προσδιορίστε
- διαφορετικές
- ψηφιακό
- κατεύθυνση
- οδηγιών
- κάνει
- doesn
- Don
- δίσκους
- δυο
- κάθε
- Ανατολή
- προσπάθειες
- οκτώ
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- εξουσιοδοτώ
- εξασφαλίζω
- Ολόκληρος
- οντότητες
- Περιβάλλον
- περιβάλλοντα
- ουσιώδης
- Αιθέρας (ΕΤΗ)
- ρητά
- εκτεθειμένος
- εκτενής
- εξωτερικός
- ΑΠΟΤΥΓΧΑΝΩ
- αποτυγχάνει
- Falls
- μακριά
- λίγοι
- Αρχεία
- Όνομα
- Εξής
- Ίχνος
- Για
- Βρέθηκαν
- τέσσερα
- Πλαίσιο
- από
- λειτουργικότητα
- Κυβέρνηση
- Κυβερνητικοί φορείς
- καθοδήγηση
- καθοδηγήσει
- Έχω
- υγειονομική περίθαλψη
- βοήθεια
- Ωστόσο
- HTTPS
- ICON
- Ταυτότητα
- if
- σημαντικό
- βελτίωση
- in
- περιστατικά
- περιλαμβάνουν
- περιλαμβάνει
- υποδομή
- περιπτώσεις
- ολοκλήρωση
- Internet
- εισαγάγει
- απομονωμένος
- ζήτημα
- θέματα
- IT
- ΤΟΥ
- jpg
- μόλις
- μόνο ένα
- Κλειδί
- Επίθετο
- Πέρυσι
- Επίπεδο
- επίπεδα
- Μου αρέσει
- LIMIT
- Περιωρισμένος
- LINK
- ματιά
- μακροεντολές
- που
- διαχείριση
- διαχείριση
- σημάδι
- ωριμότητα
- Μοντέλο ωριμότητας
- μέτρα
- ΣΠΙ
- Microsoft
- Μέσο
- Μέση Ανατολή
- εκατομμύριο
- εκατομμύρια
- χάσετε
- χάνει
- Λείπει
- μοντέλο
- μοντέλα
- ΜΟΝΤΕΡΝΑ
- παρακολούθηση
- πλέον
- κινήσεις
- επαλήθευση πολλών παραγόντων
- πρέπει
- έθνος
- σχεδόν
- καθαρά
- δίκτυο
- δίκτυα
- Νέα
- επόμενη
- ιδιαίτερα
- Νοέμβριος
- Ωχ
- of
- συχνά
- on
- ONE
- διαδικτυακά (online)
- αποκλειστικά
- λειτουργίας
- λειτουργίες
- χειριστής
- or
- οργανώσεις
- ΑΛΛΑ
- έξω
- μέρος
- Διόρθωση
- People
- δικαιώματα
- κομμάτι
- Μέρος
- σχεδιασμό
- φώναξε
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δοκιμάστε να παίξετε
- παίζει
- αρχή
- προνομιούχος
- προνόμια
- Προϊόν
- ιδιόκτητο
- προστασία
- προστασία
- Παρόχους υπηρεσιών
- παρέχει
- χορήγηση
- δημόσιο
- δημοσιεύθηκε
- μάλλον
- Ανάγνωση
- πρόσφατος
- πρόσφατα
- αναγνωρίζω
- συστάσεις
- συνιστά
- αρχεία
- βασίζονται
- παρέμεινε
- λείψανα
- αναφέρουν
- αναφέρθηκαν
- ζητείται
- αιτήματα
- απαιτείται
- Απαιτεί
- πόρος
- Υποστηρικτικό υλικό
- απάντησης
- περιορίζοντας
- δεξιά
- Κίνδυνος
- κινδύνους
- εύρωστος
- Ρόλος
- τρέξιμο
- s
- SaaS
- Τμήμα
- προστατευμένο περιβάλλον
- Ασφαλής
- ασφάλεια
- ασφάλεια
- Μέτρα ασφαλείας
- ξεχωριστό
- σοβαρός
- Υπηρεσίες
- τον καθορισμό
- διάφοροι
- Κοντά
- θα πρέπει να
- Απλούς
- απλοποίηση
- αφού
- μεγέθη
- λογισμικό
- μερικοί
- ειδικά
- στέκεται
- Βήμα
- κατάστημα
- αποθηκεύονται
- Στρατηγική
- ανασταλεί
- συστήματα
- T
- επειξειργασμένος από ραπτήν
- Πάρτε
- από
- ότι
- Η
- τους
- τους
- Αυτοί
- αυτοί
- πράγματα
- τρίτους
- αυτό
- εκείνοι
- απειλή
- απειλή
- Αναφορά απειλών
- απειλές
- τρία
- Μέσω
- ώρα
- φορές
- προς την
- σήμερα
- εργαλείο
- προς
- παραδοσιακός
- μετάβαση
- προσπαθώντας
- αναλαμβάνουν
- Ενημέρωση
- ενημερώθηκε
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- επικυρωμένο
- ΛΟΙΠΌΝ
- ήταν
- Τι
- Τι είναι
- πότε
- αν
- Ποιό
- ενώ
- με
- λόγια
- Εργασία
- ροές εργασίας
- κόσμος
- γράφω
- έτος
- χρόνια
- zephyrnet