פַּרשָׁנוּת
בשנים האחרונות, אוסטרליה ביצעה כמה מהלכים מרכזיים לשיפור העמדה הביטחונית של המדינה. בשנת 2020, המדינה השקיע 1.67 מיליארד דולר אוסטרלי (1.1 מיליארד דולר) כחלק מאסטרטגיית אבטחת סייבר 2020.
למרות מאמצים אלה, ממשלת אוסטרליהדוח איומי סייבר 2022-2023” דיווחה על 58 תקריות שסיווגה כפשרות נרחבות, ו-195 תקריות שסיווגה כפשרות מבודדות. מפעיל נמל DP World אוסטרליה הוקפאה פעולות עקב מתקפת סייבר בנובמבר. SA בריאות, שירותים אוסטרליה, ו NT בריאות היו רק כמה מספקי שירותי הבריאות שהופרו בשנה שעברה, לאחר נובמבר 2022 מדיבנק הפרה שהשפיעה על כמעט 10 מיליון אנשים.
בתגובה, אוסטרליה עדכנה את הרמות בה חיוני שמונה מודל בגרות, המדריך המקיף של המדינה לעסקים המנסים להגן על עצמם מפני מתקפות סייבר. מסגרת שנוצרה ב-2010 כדי לעזור לעסקים לעמוד באיומי אבטחת סייבר, ה-Essential Eight עודכנה מספר פעמים, בעיקר כאשר הוסיפה את מודל הבשלות שלו כדי לעזור לחברות בגדלים שונים לקבוע פעולות אבטחה מתאימות לנקוט, ולאחרונה בנובמבר 2023.
עם זאת, כשפשעי הסייבר משתוללים באוסטרליה, הגיע הזמן לשאול האם ה- Essential Eight מספק את הכיוון הנכון לארגונים אוסטרליים ואם יש להשתמש בו כמודל למדינות אחרות.
בתוך השמינייה החיונית
ה- Essential Eight נותר ללא פגע מאז פורסם ב-2010. הוא מספק הנחיות לגבי תיקון, גיבויים ובקרת יישומים. בין היתר, העדכון של 2023 ממליץ על הגבלת פקודות מאקרו של מיקרוסופט וכולל הנחיות לגבי הקשחת יישומי משתמש.
למרות שכל הנושאים הללו חשובים, הם לא מצליחים לזהות את המעבר לענן ובמיוחד את השימוש ביישומי תוכנה כשירות (SaaS). ה- Essential Eight אכן כולל סעיף על הגבלת הרשאות ניהול, עיקרון אבטחה מרכזי של SaaS.
עם זאת, כשקוראים את רמות הבשלות, ברור שההנחיות שלו נשארות מותאמות לרשתות מקומיות. רמת בגרות 2 כוללת הדרכה כמו "בקשות לגישה מועדפת למערכות, אפליקציות ומאגרי נתונים מאומתות כאשר הן מתבקשות לראשונה" ו"משתמשים בעלי הרשאות משתמשים בסביבות הפעלה נפרדות ובלתי מורשות".
מתוך 29 המלצות הרשאות מנהל בשלוש רמות הבגרות המתייחסות להרשאות מנהל, רק אחת מתייחסת לחשבונות מקוונים ("חשבונות מורשים המורשים באופן מפורש לגשת לשירותים מקוונים מוגבלים אך ורק למה שנדרש למשתמשים ולשירותים כדי לבצע את חובותיהם").
ה-Essential Eight אכן כולל אימות רב-גורמי (MFA). זהו שלב קריטי באבטחת שירותים מקוונים. עם זאת, MFA הוא רק חלק אחד של אבטחת ענן ו-SaaS. הגבלת ההנחיה ל-MFA בלבד עושה שירות רע לעסקים ולגופים הממשלתיים המסתמכים על שמיניית החיוניים לצורך הכוונה להבטחת כל טביעת הרגל הדיגיטלית שלהם.
שמונה פספוסים חיוניים בסביבת העבודה של היום
לרוע המזל, ה-Essential Eight ודגמי הבגרות שלו מפספסים את סביבת המחשב של ימינו. הוא אינו מכיל את המילים "ענן" או "יישום SaaS." בהשמטה, היא לא מצליחה לזהות את התפקיד שממלאות אפליקציות SaaS בעולם העסקים של היום ואת הנתונים המאוחסנים בענן.
כיום, יישומי SaaS מורכבים 70% מכלל התוכנה בשימוש עסקים. כל אחד מהיישומים הללו מכיל נתונים קריטיים לעסקים או ממלא תפקיד בפעולות שיש לאבטח. MFA הוא כלי חשוב המשמש להגבלת גישה למשתמשים מורשים, אך הוא נופל בהרבה מהאמצעים הנדרשים לאבטחת מופעי SaaS וענן.
עדכון שמונה החיוניים למקום העבודה המודרני
ל-Essential Eight חסרות ארבע הנחיות אבטחה מרכזיות בענן: ניהול תצורה, אבטחת זהות, ניהול שילוב אפליקציות של צד שלישי ובקרת משאבים.
-
ניהול תצורה: מסגרת אבטחה שאינה מטפלת בתצורות שגויות חסרה חלק מרכזי בהנחיית אבטחה. א מחקר עמיד הדוח מצא כי 800 מיליון רשומות נחשפו בשנת 2022 עקב הגדרות שגויות. זוהי בעיה רצינית הדורשת ניטור אוטומטי כדי להבטיח שמנהלי אפליקציות וענן לא יתאימו בטעות הגדרה שחושפת נתונים לציבור.
-
אבטחת זהות: ניהול תנוחות אבטחת זהות (ISPM) הוא עוד מחדל בולט של ה- Essential Eight. SaaS וענן מחקו את היקף הרשת המסורתי. הזהות עומדת במקומה, המחסום הבלעדי בין האפליקציה לגורמי האיום. בעוד ש-MFA אכן מטפל באימות משתמשים, הוא אינו מצליח לטפל בבעיות הקשורות למשתמשים שהקצאה בוטלה, משתמשים חיצוניים, הרשאות משתמש, סיכון מנהל וסיכונים אחרים מבוססי משתמשים.
-
ניהול שילוב אפליקציות של צד שלישי: יישומי צד שלישי עוזרים לשפר את פונקציונליות הליבה של האפליקציה ולפשט את זרימות העבודה. הם גם מציגים אפיקי סיכון חדשים. האינטגרציה הפשוטה של OAuth מבקשת לעתים קרובות היקפים פולשניים המעצימים את האפליקציה עם הרשאות כתיבה, הכוללות את היכולת למחוק תיקיות, קבצים וכוננים שלמים ולנהל הרשאות דוא"ל.
-
בקרת משאבים: יישומי SaaS וענן מאחסנים מיליוני נכסים ומשאבים של החברה. אלה כוללים קבצים, תיקיות, לוחות תכנון, קוד תוכנה קנייני ותוכניות מוצר. נכסים אלה חייבים להיות מאובטחים מאחורי אמצעי אבטחה חזקים ולא נגישים לכל אחד עם קישור או שניתן לחיפוש דרך דפדפן אינטרנט.
הכנת עסקים לאיומים של היום
אוסטרליה, כמו גם ארגוני אבטחת סייבר במזרח התיכון ובאפריקה המחפשים הדרכה באוסטרליה, חייבים לעדכן את מסגרת האבטחה שלה כדי לתת מענה לתשתיות רשת מודרניות.
הצגת אמצעי אבטחה הקשורים לניהול תצורה שגויה, ISPM, יישומי צד שלישי והגנה על נכסי החברה המאוחסנים ביישומי SaaS אמורה להיות השלב הבא עבור ה-Essential Eight.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cybersecurity-operations/missing-cybersecurity-mark-with-essential-eight
- :יש ל
- :הוא
- $ 10 מיליון
- 1
- 10
- 13
- 14
- 16
- 195
- 2010
- 2020
- 2022
- 2023
- 29
- 58
- 67
- 7
- 9
- a
- א ב ג
- יכולת
- גישה
- נגיש
- חשבונות
- פעולות
- שחקנים
- הוסיף
- כתובת
- כתובות
- לְהַתְאִים
- מנהל
- מנהלי
- מנהלים
- מושפע
- אפריקה
- נגד
- תעשיות
- גם
- בין
- an
- ו
- אחר
- כל אחד
- האפליקציה
- בקשה
- יישומים
- מתאים
- ARE
- AS
- לשאול
- נכסים
- AUD
- אוסטרליה
- אוסטרלי
- אימות
- מורשה
- אוטומטי
- שדרות
- גיבויים
- מחסום
- BE
- היה
- מאחור
- להיות
- בֵּין
- B
- הפרה
- דפדפן
- עסקים
- עסקים
- אבל
- by
- מעגל
- מְסוּוָג
- ברור
- ענן
- ענן יישומים
- קוד
- COM
- חברות
- חברה
- נכסי החברה
- מַקִיף
- המחשב
- תְצוּרָה
- להכיל
- מכיל
- לִשְׁלוֹט
- ליבה
- מדינות
- מדינה
- נוצר
- קריטי
- סייבר
- אבטחת סייבר
- התקפת סייבר
- התקפות רשת
- פשעי אינטרנט
- אבטחת סייבר
- נתונים
- לקבוע
- אחר
- דיגיטלי
- כיוון
- הנחיות
- עושה
- לא איכפת
- דון
- כוננים
- ראוי
- כל אחד
- מזרח
- מַאֲמָצִים
- שמונה
- אמייל
- להסמיך
- לְהַבטִיחַ
- שלם
- ישויות
- סביבה
- סביבות
- חיוני
- Ether (ETH)
- בִּמְפוּרָשׁ
- חשוף
- נרחב
- חיצוני
- FAIL
- נכשל
- פולס
- רחוק
- מעטים
- קבצים
- ראשון
- הבא
- עָקֵב
- בעד
- מצא
- ארבע
- מסגרת
- החל מ-
- פונקציונלי
- ממשלה
- גופים ממשלתיים
- הדרכה
- מדריך
- יש
- בריאות
- לעזור
- אולם
- HTTPS
- ICON
- זהות
- if
- חשוב
- לשפר
- in
- תקריות
- לכלול
- כולל
- תשתית
- מקרים
- השתלבות
- אינטרנט
- מבוא
- מְבוּדָד
- סוגיה
- בעיות
- IT
- שֶׁלָה
- jpg
- רק
- רק אחד
- מפתח
- אחרון
- שנה שעברה
- רמה
- רמות
- כמו
- להגביל
- מוגבל
- קשר
- נראה
- פקודות מאקרו
- עשוי
- לנהל
- ניהול
- סימן
- בגרות
- מודל בגרות
- אמצעים
- משרד חוץ
- מיקרוסופט
- אמצע
- המזרח התיכון
- מִילִיוֹן
- מיליונים
- עלמה
- מתגעגע
- חסר
- מודל
- מודלים
- מודרני
- ניטור
- רוב
- מהלכים
- אימות רב-פקטורי
- צריך
- אוּמָה
- כמעט
- נטו
- רשת
- רשתות
- חדש
- הבא
- בייחוד
- נוֹבֶמבֶּר
- oauth
- of
- לעתים קרובות
- on
- ONE
- באינטרנט
- רק
- פועל
- תפעול
- מפעיל
- or
- ארגונים
- אחר
- הַחוּצָה
- חלק
- תיקון
- אֲנָשִׁים
- הרשאות
- לְחַבֵּר
- מקום
- תכנון
- תוכניות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- משחק
- עקרון
- חסוי
- הרשאות
- המוצר
- קניינית
- להגן
- אבטחה
- ספקים
- מספק
- מתן
- ציבורי
- לאור
- במקום
- קריאה
- לאחרונה
- לאחרונה
- להכיר
- המלצות
- ממליצה
- רשום
- לסמוך
- נשאר
- שְׂרִידִים
- לדווח
- דווח
- בקשתי
- בקשות
- נדרש
- דורש
- משאב
- משאבים
- תגובה
- מגביל
- תקין
- הסיכון
- סיכונים
- חָסוֹן
- תפקיד
- ריצה
- s
- SaaS
- סעיף
- לבטח
- מְאוּבטָח
- אַבטָחָה
- אבטחה
- אמצעי אבטחה
- נפרד
- רציני
- שירותים
- הצבה
- כמה
- קצר
- צריך
- פָּשׁוּט
- לפשט
- since
- גדל
- תוכנה
- כמה
- במיוחד
- עומד
- שלב
- חנות
- מאוחסן
- אִסטרָטֶגִיָה
- תלוי
- מערכות
- T
- מותאם
- לקחת
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- עצמם
- אלה
- הֵם
- דברים
- צד שלישי
- זֶה
- אלה
- איום
- איום שחקנים
- דוח איומים
- איומים
- שְׁלוֹשָׁה
- דרך
- זמן
- פִּי
- ל
- היום
- כלי
- לקראת
- מסורתי
- מַעֲבָר
- מנסה
- להתחייב
- עדכון
- מְעוּדכָּן
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- תוקף
- טוֹב
- היו
- מה
- מה
- מתי
- אם
- אשר
- בזמן
- עם
- מילים
- תיק עבודות
- זרימות עבודה
- עוֹלָם
- לכתוב
- שנה
- שנים
- זפירנט