home Tecnologia de manufatura Equipamentos de Fabricação
Manufaturação industrial
Internet das coisas industrial | Materiais industriais | Manutenção e reparo de equipamentos | Programação industrial |
home  MfgRobots >> Manufaturação industrial >  >> Industrial Internet of Things >> Computação em Nuvem

Dicas de segurança na nuvem para reduzir riscos, ameaças e vulnerabilidades à segurança


Você supõe que seus dados na nuvem tenham backup e estejam protegidos contra ameaças? Não tão rápido.

Com um número recorde de ataques de segurança cibernética em 2018, fica claro que todos os dados estão ameaçados.

Todo mundo sempre pensa:“Isso não pode acontecer comigo”. A realidade é que nenhuma rede é 100% segura contra hackers.

De acordo com a Kaspersky Lab, o ransomware aumentou mais de 250% em 2018 e continua a seguir uma direção muito assustadora. Seguir o conselho apresentado aqui é a melhor apólice de seguro contra os efeitos incapacitantes de uma perda significativa de dados na nuvem.

Como você começa a proteger seus dados na nuvem? Quais são as melhores práticas para manter seus dados protegidos na nuvem? Quão segura é a computação em nuvem?

Para ajudar você a impulsionar sua estratégia de segurança, convidamos especialistas para compartilhar seus conselhos sobre Riscos e ameaças à segurança na nuvem.

Principais conclusões de nossos especialistas em proteção na nuvem e ameaças à segurança

1. Manter a disponibilidade na nuvem


Dustin Albertson, arquiteto sênior de soluções de nuvem da Veeam

Quando a maioria das pessoas pensa no tópico de segurança baseada em nuvem, elas tendem a pensar em rede, firewalls, segurança de endpoint etc. A Amazon define segurança na nuvem como:

A segurança na nuvem é muito parecida com a segurança em seus data centers locais – só que sem os custos de manutenção de instalações e hardware. Na nuvem, você não precisa gerenciar servidores físicos ou dispositivos de armazenamento. Em vez disso, você usa ferramentas de segurança baseadas em software para monitorar e proteger o fluxo de informações de entrada e saída de seus recursos de nuvem.

Mas um risco muitas vezes esquecido é manter a disponibilidade. O que quero dizer com isso é mais do que apenas redundância geográfica ou redundância de hardware, estou me referindo a garantir que seus dados e aplicativos sejam cobertos. A nuvem não é um lugar mágico onde todas as suas preocupações desaparecem; uma nuvem é um lugar onde todos os seus medos são muitas vezes mais fáceis e baratos de se multiplicar. Ter uma estratégia robusta de proteção de dados é fundamental. A Veeam tem pregado com frequência sobre a “Regra 3-2-1” que foi cunhada por Peter Krogh.

A regra afirma que você deve ter três cópias de seus dados, armazenando-as em duas mídias diferentes e mantendo uma fora do local. O offsite geralmente está na “nuvem”, mas e quando você já está na nuvem?

É aqui que vejo a maioria dos problemas de nuvem surgir, quando as pessoas já estão na nuvem, elas tendem a armazenar os dados na mesma nuvem. É por isso que é importante lembrar de ter uma estratégia detalhada ao migrar para a nuvem. Aproveitando recursos como os agentes da Veeam para proteger as cargas de trabalho na nuvem e o Cloud Connect para enviar os backups fora do local para manter essa disponibilidade fora do mesmo datacenter ou nuvem. Não assuma que é trabalho dos provedores proteger seus dados porque não é.

2. A migração para a nuvem está superando a evolução dos controles de segurança


Salvatore Stolfo, CTO da Allure Security

De acordo com uma nova pesquisa realizada pelo ESG, 75% das organizações disseram que pelo menos 20% de seus dados confidenciais armazenados em nuvens públicas não são suficientemente protegidos. Além disso, 81% dos entrevistados acreditam que a segurança de dados no local é mais madura do que os dados em nuvem pública.

No entanto, as empresas estão migrando para a nuvem mais rápido do que nunca para maximizar os benefícios organizacionais:estima-se que 83% das cargas de trabalho de negócios estarão na nuvem até 2020, de acordo com o relatório Cloud Vision 2020 da LogicMonitor. O que temos é uma situação cada vez mais urgente em que as organizações estão migrando seus dados confidenciais para a nuvem para fins de produtividade em um ritmo mais rápido do que os controles de segurança estão evoluindo para proteger esses dados.

As empresas devem buscar soluções que controlem o acesso aos dados dentro de compartilhamentos de nuvem com base no nível de permissão que o usuário possui, mas também devem ter meios para serem alertados quando esses dados estiverem sendo acessados ​​de maneiras incomuns ou suspeitas, mesmo pelo que parece ser seja um usuário confiável.

Lembre-se de que muitos hackers e vazamentos internos vêm de agentes mal-intencionados com credenciais legítimas e roubadas que permitem que eles se movam livremente em um compartilhamento de nuvem, em busca de dados valiosos para roubar. Documentos fraudulentos, chamados de chamarizes, também podem ser uma excelente ferramenta para detectar isso. Os chamarizes podem alertar as equipes de segurança no estágio inicial de uma violação de segurança na nuvem sobre comportamentos incomuns e podem até enganar um possível ladrão cibernético fazendo-o pensar que roubou algo de valor quando, na realidade, é um documento falso altamente convincente. Depois, há a questão de ter controle sobre os documentos mesmo quando eles foram retirados do compartilhamento de nuvem.

É aqui que muitas soluções de segurança começam a falhar. Depois que um arquivo é baixado de um repositório na nuvem, como você pode rastrear para onde ele viaja e quem o observa? Deve haver mais investimento em tecnologias como geofencing e telemetria para resolver isso.

3. Minimize ameaças e vulnerabilidades de computação em nuvem com um plano de segurança


Nic O'Donovan, arquiteto de soluções e especialista em nuvem da VMware 

A nuvem híbrida continua a crescer em popularidade com a empresa – principalmente à medida que a velocidade de implantação, escalabilidade e economia de custos se tornam mais atraentes para os negócios. Continuamos a ver a infraestrutura evoluindo rapidamente para a nuvem, o que significa que a segurança deve se desenvolver em um ritmo semelhante. É essencial que a empresa trabalhe com um provedor de serviços em nuvem que tenha uma abordagem confiável de segurança na nuvem.

Isso significa que a parceria com seu provedor de nuvem está se tornando cada vez mais importante à medida que você trabalha em conjunto para entender e implementar um plano de segurança para manter seus dados seguros.

Controles de segurança, como autenticação multifator, criptografia de dados, juntamente com o nível de conformidade que você precisa, são todas as áreas em que você deve se concentrar ao criar seu plano de segurança.

4. Nunca pare de aprender sobre suas maiores vulnerabilidades


Isacc Kohen, CEO da Teramind

Mais e mais empresas estão sendo vítimas da nuvem, e isso tem a ver com configuração incorreta da nuvem e negligência dos funcionários.

1. As maiores ameaças à segurança de dados são seus funcionários. Negligentes ou mal-intencionados, os funcionários são um dos principais motivos de infecções por malware e perda de dados. As razões pelas quais ataques de malware e e-mails de phishing são palavras comuns nas notícias é porque são maneiras “fáceis” de hackers acessarem dados. Por meio da engenharia social, criminosos mal-intencionados podem “enganar” os funcionários para que forneçam senhas e credenciais para sistemas críticos de dados corporativos e de negócios. Maneiras de evitar isso:um programa eficaz de treinamento de funcionários e monitoramento de funcionários que investiga ativamente o sistema

2. Nunca pare de aprender. Em um setor que está em constante mudança e adaptação, é importante estar atualizado sobre as últimas tendências e vulnerabilidades. Por exemplo, com a Internet das Coisas (IoT), estamos apenas começando a ver a “ponta do iceberg” quando se trata de proteger dados por meio de conexões Wi-Fi aumentadas e serviços de armazenamento de dados online. Há mais a desenvolver com esta história, e isso terá um impacto direto nas pequenas empresas no futuro.

3. Pesquise e entenda como o armazenamento funciona, depois eduque. Ouvimos as histórias – quando os dados são expostos através da nuvem, muitas vezes é devido à configuração incorreta das configurações da nuvem. Os funcionários precisam entender a natureza de segurança do aplicativo e que as configurações podem ser facilmente adulteradas e ativadas, expondo dados externamente. Educar a conscientização sobre segurança por meio de programas de treinamento.

4. Limite seus pontos de acesso. Uma maneira fácil de mitigar isso é limitar seus pontos de acesso. Um erro comum com a exposição na nuvem ocorre quando funcionários com acesso por engano habilitam permissões globais permitindo que os dados expostos a uma conexão aberta. Para mitigar, entenda quem e o que tem acesso à nuvem de dados – todos os pontos de acesso – e monitore essas conexões minuciosamente.

5. Monitoramento dos sistemas. Progressivo e completo. Para proteção de dados a longo prazo na nuvem, use uma plataforma de análise e monitoramento do usuário para detectar violações mais rapidamente. O monitoramento e a análise do usuário simplificam os dados e criam um “perfil” padrão do usuário – funcionário e computador. Essas análises são integradas e seguem seus depósitos de dados mais importantes, que você, como administrador, indicou no software de detecção. Quando dados específicos da nuvem são adulterados, movidos ou violados, o sistema “pingará” um administrador imediatamente indicando uma mudança de caráter.

5. Considere soluções híbridas


Michael V.N. Hall, diretor de operações da Turbot

Há várias coisas vitais para entender sobre segurança na nuvem:

1. As senhas são poderosas – 80% de todas as violações de senha poderiam ter sido evitadas pela identificação multifatorial:ao verificar sua identidade pessoal por meio de texto para seu telefone ou um e-mail para sua conta, agora você pode ser alertado quando alguém está tentando acessar seu detalhes.

Um dos maiores culpados no momento são as credenciais enfraquecidas. Isso significa que senhas, senhas e senhas são roubadas por meio de golpes de phishing, keylogging e ataques de força bruta.

As senhas são as novas senhas. Senhas aleatórias e fáceis de lembrar são muito melhores do que senhas, pois tendem a ser mais longas e complicadas.

MyDonkeysEatCheese47 é uma senha complicada e, a menos que você seja dono de burro ou queijeiro, não tem relação com você. Lembre-se de usar letras maiúsculas e minúsculas, bem como toda a gama de pontuação.

2. Mantenha contato com seu provedor de hospedagem. Escolha o provedor de hospedagem certo – uma empresa respeitável com altos padrões de segurança. Comunique-se com eles regularmente, pois a interação frequente permite que você fique a par de quaisquer alterações ou problemas em desenvolvimento.

3. Considere uma solução híbrida. As soluções híbridas permitem que sistemas estáticos e seguros armazenem dados críticos internamente e, ao mesmo tempo, abrem dados de menor prioridade para a maior versatilidade da nuvem.

6. Saiba como funcionam os sistemas de segurança em nuvem


Tom DeSot, CIO da Digital Defense, Inc.

As empresas precisam avaliar os riscos e os benefícios da segurança da computação em nuvem. É para garantir que eles se informem sobre o que significa migrar para a nuvem antes de dar esse grande salto ao executar sistemas em seu próprio datacenter.

Com muita frequência, vejo uma empresa migrar para a nuvem sem um plano ou qualquer conhecimento sobre o que isso significa para ela e a segurança de seus sistemas. Eles precisam reconhecer que seu software estará “vivendo” em sistemas compartilhados com outros clientes, portanto, se houver uma violação da plataforma de outro cliente, o invasor também poderá comprometer seu sistema.

Da mesma forma, os clientes de nuvem precisam entender onde seus dados serão armazenados, se será apenas nos EUA, ou se o provedor replica para outros sistemas que estão em diferentes continentes. Isso pode causar um problema real se as informações forem confidenciais, como PII ou informações protegidas pela HIPAA ou algum outro estatuto regulatório. Por fim, o cliente de nuvem precisa prestar muita atenção aos acordos de nível de serviço (SLA) aos quais o provedor de nuvem adere e garantir que ele reflita seu próprio SLA.

Mudar para a nuvem é uma ótima maneira de liberar recursos de computação e garantir tempo de atividade, mas sempre aconselho meus clientes a fazer uma mudança em pequenos passos para que tenham tempo de apreciar o que significa estar “na nuvem. ”

7. Faça sua devida diligência na proteção da nuvem


Ken Stasiak, CEO da SecureState

Entenda o tipo de dados que você está colocando na nuvem e os requisitos de segurança obrigatórios em torno desses dados.

Uma vez que uma empresa tenha uma ideia do tipo de dados que deseja armazenar na nuvem, ela deve ter um entendimento firme do nível de due diligence necessário ao avaliar diferentes provedores de nuvem. Por exemplo, se você estiver escolhendo um provedor de serviços em nuvem para hospedar suas Informações de Saúde Protegidas (PHI), deverá exigir uma avaliação dos padrões de segurança e conformidade com HIPAA antes de mover quaisquer dados para a nuvem.

Algumas boas perguntas a serem feitas ao avaliar se um provedor de serviços de nuvem é adequado para uma organização preocupada em proteger esses dados incluem:Você realiza auditorias e avaliações regulares de SOC? Como você se protege contra atividades maliciosas? Você realiza verificações de antecedentes de todos os funcionários? Que tipos de sistemas você possui para monitoramento de funcionários, determinação de acesso e trilhas de auditoria?

8. Configurar controles de acesso e permissões de segurança


Michael R. Durante, presidente da Tie National, LLC.

Embora a nuvem seja uma força crescente na computação por sua flexibilidade de dimensionamento para atender às necessidades de uma empresa e aumentar a colaboração entre locais, ela também levanta preocupações de segurança com seu potencial de expor vulnerabilidades relativamente fora de seu controle.

Por exemplo, BYOD pode ser um desafio para proteger se os usuários não estiverem aplicando patches e atualizações de segurança regularmente. A dica número um que eu daria é fazer o melhor uso dos controles de acesso disponíveis.

As empresas precisam utilizar controles de acesso para limitar as permissões de segurança para permitir apenas as ações relacionadas às funções de trabalho dos funcionários. Ao limitar o acesso, as empresas garantem que os arquivos críticos estejam disponíveis apenas para a equipe que precisa deles, reduzindo assim as chances de exposição às partes erradas. Esse controle também facilita a revogação dos direitos de acesso imediatamente após a rescisão do contrato de trabalho para proteger qualquer conteúdo confidencial, independentemente de onde o funcionário tente acessar remotamente.

9. Compreender o pedigree e os processos do fornecedor ou fornecedor


Paul Evans, CEO da Redstor

O uso de tecnologias em nuvem permitiu que empresas de todos os tamanhos promovessem melhorias de desempenho e ganhassem eficiência com mais trabalho remoto, maior disponibilidade e mais flexibilidade.

No entanto, com um número crescente de sistemas díspares implantados e tantos fornecedores de nuvem e software para escolher, manter o controle sobre a segurança dos dados pode se tornar um desafio. Ao procurar implementar um serviço em nuvem, é essencial entender completamente o pedigree e os processos do fornecedor/fornecedor que fornecerá o serviço. As certificações de segurança padrão do setor são um ótimo ponto de partida. Os fornecedores que possuem a certificação ISO 27001 provaram que atendem aos padrões internacionais de gerenciamento de segurança da informação e devem ser mais respeitados do que aqueles que não possuem.

Obter uma compreensão completa de onde seus dados irão geograficamente, quem terá acesso a eles e se eles serão criptografados é a chave para poder protegê-los. Também é importante saber quais são os processos do fornecedor em caso de violação ou perda de dados ou se houver tempo de inatividade. O tempo de inatividade aceitável deve ser estabelecido em Contratos de Nível de Serviço (SLAs) contratados, que devem ser apoiados financeiramente por eles para fornecer garantia.

Para organizações que desejam utilizar plataformas de nuvem, existem ameaças de segurança na nuvem estar ciente, quem terá acesso aos dados? Onde os dados são armazenados? Meus dados são criptografados? Mas, na maioria das vezes, as plataformas de nuvem podem responder a essas perguntas e ter altos níveis de segurança. As organizações que utilizam as nuvens precisam garantir que estejam cientes das leis e regulamentos de proteção de dados que afetam os dados e também obter um entendimento preciso dos acordos contratuais com os provedores de nuvem. Como os dados são protegidos? Muitos regulamentos e padrões do setor fornecerão orientações sobre a melhor maneira de armazenar dados confidenciais.

Manter cópias de dados não seguras ou não criptografadas pode colocá-los em maior risco. Obter conhecimento dos níveis de segurança dos serviços em nuvem é vital.

Quais são as políticas de retenção e tenho um backup? As plataformas de nuvem podem ter usos amplamente variados e isso pode causar (ou evitar) problemas. Se os dados estiverem sendo armazenados em uma plataforma na nuvem, eles poderão ficar vulneráveis ​​a riscos de segurança na nuvem, como ransomware ou corrupção. Portanto, garantir que várias cópias dos dados sejam retidas ou tenham backup feito pode evitar isso. Garantir que esses processos foram executados melhora os níveis de segurança das plataformas de nuvem de uma organização e fornece uma compreensão de onde qualquer risco pode vir

10. Use senhas fortes e autenticação multifator


Fred Reck, InnoTek Computer Consulting

Certifique-se de exigir senhas fortes para todos os usuários da nuvem e, de preferência, use a autenticação multifator.

De acordo com o Relatório de Investigações de Violação de Dados da Verizon de 2017, 81% de todas as violações relacionadas a hackers alavancaram senhas roubadas e/ou fracas. Um dos benefícios mais significativos da nuvem é a capacidade de acessar os dados da empresa de qualquer lugar do mundo em qualquer dispositivo. Por outro lado, do ponto de vista da segurança, qualquer pessoa (também conhecida como “bandidos”) com um nome de usuário e senha pode acessar os dados da empresa. Forçar os usuários a criar senhas fortes torna muito mais difícil para os hackers usar um ataque de força bruta (adivinhar a senha a partir de vários caracteres aleatórios).

Além de senhas seguras, muitos serviços em nuvem hoje podem utilizar o celular de um funcionário como a peça de autenticação de segurança física secundária em uma estratégia multifatorial, tornando isso acessível e acessível para uma organização implementar. Os usuários não só precisariam saber a senha, mas precisariam de acesso físico ao celular para acessar sua conta.

Por fim, considere implementar um recurso que bloquearia a conta de um usuário após uma quantidade predeterminada de logins malsucedidos.

11. Ativar bloqueio de localização de IP


Chris Byrne é cofundador e CEO da Sensorpro

As empresas devem habilitar a autenticação de dois fatores e o bloqueio de localização de IP para acessar os aplicativos em nuvem que usam.

Com o 2FA, você adiciona outro desafio à combinação usual de e-mail/senha por mensagem de texto. Com o bloqueio de IP, você pode delimitar o acesso do IP do seu escritório ou do IP de funcionários remotos. Se a plataforma não suportar isso, considere pedir ao seu provedor para habilitá-lo.

Em relação ao fornecimento real da plataforma de nuvem, forneça uma opção de criptografia de dados em repouso. Em algum momento, isso se tornará tão onipresente quanto o https (SSL/TLS). Se o impensável acontecer e os dados acabarem nas mãos erradas, ou seja, um dispositivo for roubado ou esquecido em um trem, a criptografia de dados em repouso é a última linha de defesa para impedir que alguém acesse seus dados sem as chaves de criptografia corretas. Mesmo que eles consigam roubá-lo, eles não podem usá-lo. Isso, por exemplo, teria melhorado a recente violação da Equifax.

12. Soluções de segurança de armazenamento em nuvem com VPNs


Eric Schlissel, presidente e CEO da GeekTek

Use VPNs (redes privadas virtuais) sempre que se conectar à nuvem. As VPNs costumam ser usadas para semi-anonimizar o tráfego da Web, geralmente por espectadores bloqueados geograficamente ao acessar serviços de streaming como Netflix USA ou BBC Player. Eles também fornecem uma camada crucial de segurança para qualquer dispositivo conectado à sua nuvem. Sem uma VPN, qualquer invasor em potencial com um farejador de pacotes pode determinar quais membros estão acessando sua conta na nuvem e potencialmente obter acesso às credenciais de login.

Criptografe dados em repouso. Se, por qualquer motivo, uma conta de usuário for comprometida em sua nuvem pública, privada ou híbrida, a diferença entre os dados em texto simples e o formato criptografado pode ser medida em centenas de milhares de dólares — especificamente US$ 229.000, o custo médio de um ataque cibernético relatado por respondentes de uma pesquisa realizada pela seguradora Hiscox. Como os eventos recentes mostraram, o processo de criptografar e descriptografar esses dados será muito mais fácil do que suportar sua alternativa.

Use autenticação de dois fatores e logon único para todas as contas baseadas em nuvem. Google, Facebook e PayPal utilizam autenticação de dois fatores, que exige que o usuário insira um código exclusivo gerado por software em um formulário antes de entrar em sua conta. Quer sua empresa aspire ou não a estatura, ela pode e deve emular esse componente central de sua estratégia de segurança. O logon único simplifica o gerenciamento de acesso, portanto, um par de credenciais de usuário conecta o funcionário a todas as contas. Dessa forma, os administradores do sistema têm apenas uma conta para excluir, em vez de várias que podem ser esquecidas e posteriormente acessadas novamente pelo ex-funcionário.

13. Cuidado com o Risco do Elemento Humano


Steven J.J. Weisman, advogado e professor da Bentley University

Parafraseando Shakespeare, a culpa não está na nuvem; a responsabilidade está em nós.

Armazenar dados confidenciais na nuvem é uma boa opção para segurança de dados em vários níveis. No entanto, independentemente de quão segura uma tecnologia possa ser, o elemento humano sempre apresentará um potencial perigo de segurança a ser explorado por cibercriminosos. Muitas violações de segurança na nuvem anteriores provaram não ser devido a lapsos de segurança da tecnologia de nuvem, mas sim por ações de usuários individuais da nuvem.

Eles, sem saber, forneceram seus nomes de usuário e senhas a cibercriminosos que, por meio de e-mails de phishing, telefonemas ou mensagens de texto, persuadiram as pessoas a fornecer as informações críticas necessárias para acessar a conta na nuvem.

A melhor maneira de evitar esse problema, juntamente com uma melhor educação dos funcionários para reconhecer e evitar o spear phishing, é usar a autenticação de dois fatores, como enviar um código único para o celular do funcionário sempre que tentar acessar a conta na nuvem.

14. Garanta a recuperação de dados de um fornecedor de nuvem


Bob Herman, cofundador e presidente da IT Tropolis.

1. A autenticação de dois fatores protege contra fraudes na conta. Muitos usuários não são vítimas de tentativas de phishing por e-mail, nas quais os agentes mal-intencionados enganam a vítima para que ela insira suas informações de login em um site falso. O agente mal-intencionado pode fazer login no site real como vítima e causar todos os tipos de danos, dependendo do aplicativo do site e do acesso do usuário. A 2FA garante que um segundo código seja inserido ao fazer login no aplicativo. Normalmente, um código enviado para o telefone do usuário.

2. Garantir que você possui seus dados e que pode recuperá-los caso você não queira mais fazer negócios com o fornecedor de nuvem é imperativo. A maioria dos fornecedores de nuvem legítimos deve especificar em seus termos que o cliente possui seus dados. Em seguida, você precisa confirmar que pode extrair ou exportar os dados em algum formato utilizável ou que o fornecedor da nuvem os fornecerá a você mediante solicitação.

15. Monitoramento em tempo real e contínuo


Sam Bisbee, diretor de segurança da Threat Stack

1. Criar observabilidade de segurança em tempo real e monitoramento contínuo de sistemas

Embora o monitoramento seja essencial em qualquer ambiente de dados, é fundamental enfatizar que as mudanças em ambientes de nuvem modernos, especialmente os de ambientes SaaS, tendem a ocorrer com mais frequência; seus impactos são sentidos imediatamente.

Os resultados podem ser dramáticos devido à natureza da infraestrutura elástica. A qualquer momento, as ações acidentais ou maliciosas de alguém podem afetar gravemente a segurança de seus sistemas de desenvolvimento, produção ou teste.

Executar uma infraestrutura moderna sem observabilidade de segurança em tempo real e monitoramento contínuo é como voar às cegas. Você não tem informações sobre o que está acontecendo em seu ambiente e não tem como iniciar a mitigação imediata quando surge um problema. Você precisa monitorar o aplicativo e o acesso baseado em host para entender o estado do seu aplicativo ao longo do tempo.

2. Definir e monitorar continuamente as definições de configuração

As configurações de segurança em ambientes de nuvem como o Amazon Direct Connect podem ser complicadas e é fácil deixar inadvertidamente o acesso aos seus sistemas e dados abertos ao mundo, como foi comprovado por todas as histórias recentes sobre vazamentos do S3.

Dada a natureza mutável (e às vezes volátil) dos ambientes SaaS, onde os serviços podem ser criados e removidos em tempo real de forma contínua, a falha em configurar os serviços adequadamente e a falha no monitoramento das configurações podem comprometer a segurança. Em última análise, isso acabará com a confiança que os clientes depositam em você para proteger seus dados.

Ao definir as configurações em relação a uma linha de base estabelecida e monitorá-las continuamente, você pode evitar problemas ao configurar serviços e detectar e responder a problemas de configuração mais rapidamente quando eles ocorrerem.

3. Alinhar as prioridades de segurança e operações para soluções e infraestrutura de segurança em nuvem

A boa segurança é indistinguível das operações adequadas. Muitas vezes, essas equipes estão em desacordo dentro de uma organização. Às vezes, a segurança é vista como desacelerando um negócio – excessivamente focada no policiamento das atividades das equipes de desenvolvimento e operações. Mas a segurança pode ser um facilitador de negócios.

A segurança deve alavancar ferramentas de teste de automação, controles de segurança e monitoramento dentro de uma organização - em gerenciamento de rede, acesso de usuários, configuração de infraestrutura e gerenciamento de vulnerabilidades em toda a camada de aplicativo - impulsionará os negócios, reduzindo o risco na superfície de ataque e mantendo a disponibilidade operacional .

16. Use ferramentas de auditoria para proteger dados na nuvem


Jeremey Vance, nuvem dos EUA

1. Use uma ferramenta de auditoria para saber tudo o que você tem na nuvem e o que todos os usuários estão usando na nuvem. Você não pode proteger dados que você não conhece.

2. Além de descobrir quais serviços estão sendo executados em sua rede, descubra como e por que esses serviços estão sendo usados, por quem e quando.

3. Faça desse processo de auditoria uma parte rotineira do monitoramento de sua rede, não apenas um evento único. Além disso, se você não tiver largura de banda para isso, terceirize essa rotina de auditoria para um terceiro qualificado como o US Cloud.

17. A maioria das violações começa em pontos simples não seguros


Marcus Turner, arquiteto-chefe e CTO da Enola Labs

A nuvem é muito segura, mas para garantir que você mantenha os dados da empresa seguros, é importante configurar a nuvem corretamente.

Especificamente para a AWS, o AWS Config é a ferramenta mais utilizada para fazer isso. A AWS, quando configurada da maneira correta, é um dos ambientes de computação em nuvem mais seguros do mundo. No entanto, a maioria das violações de dados não são hackers que utilizam programas complexos para obter acesso a dados críticos, mas sim os pontos simples não seguros, os frutos mais fáceis, que tornam os dados da empresa vulneráveis.

Mesmo com a melhor segurança na nuvem, o erro humano costuma ser o culpado pela lacuna ou violação mais crítica na proteção. Ter rotinas para validar a precisão da configuração contínua é a métrica mais subutilizada e subestimada para manter os dados da empresa seguros na nuvem.

18. Faça perguntas sobre segurança de chave do seu fornecedor de nuvem


Brandan Keaveny, Ed.D., fundador da Data Ethics LLC

Ao explorar as possibilidades de migrar para uma solução baseada em nuvem, você deve garantir que haja suporte adequado caso ocorra uma violação. Certifique-se de fazer as seguintes perguntas antes de assinar um contrato com um provedor baseado em nuvem:

Pergunta:Quantos terceiros o provedor utiliza para facilitar seu atendimento?

Motivo da pergunta (Motivo):Os processos e a documentação precisarão ser atualizados para incluir salvaguardas processuais e coordenação com a solução baseada em nuvem. Além disso, o nível de segurança fornecido pelo provedor baseado em nuvem deve ser claramente entendido. Maiores níveis de segurança precisam ser adicionados para atender aos requisitos de privacidade e segurança dos dados armazenados.

Pergunta:Como você será notificado se ocorrer uma violação de seus sistemas e eles auxiliarão sua empresa na notificação de seus clientes/clientes?

Motivo:Ao adicionar uma solução baseada em nuvem ao armazenamento de seus dados, também adiciona uma nova dimensão de tempo para levar em consideração os requisitos de notificação que podem ser aplicados aos seus dados caso ocorra uma violação. These timing factors should be incorporated into breach notification procedures and privacy policies.

When switching to the cloud from a locally hosted solution your security risk assessment process needs to be updated. Before making the switch, a risk assessment should take place to understand the current state of the integrity of the data that will be migrated.

Additionally, research should be done to review how data will be transferred to the cloud environment. Questions to consider include:

Question:Is your data ready for transport?

Reason:The time to conduct a data quality assessment is before migrating data to a cloud-based solution rather than after the fact.

Question:Will this transfer be facilitated by the cloud provider?

Reason:It is important to understand the security parameters that are in place for the transfer of data to the cloud provider, especially when considering large data sets.

19. Secure Your Cloud Account Beyond the Password


Contributed by the team at Dexter Edward

Secure the cloud account itself. All the protection on a server/os/application won’t help if anyone can take over the controls.

Secure access to the compute instances in the cloud.

Use as much of the private cloud network as you can.

Take advantage of monitoring, file auditing, and intrusion detection when offered by cloud providers.

20. Consider Implementing Managed Virtual Desktops


Michael Abboud, CEO, and Founder of TetherView

Natural disasters mixed with cyber threats, data breaches, hardware problems, and the human factor, increase the risk that a business will experience some type of costly outage or disruption.

Moving towards managed virtual desktops delivered via a private cloud, provides a unique opportunity for organizations to reduce costs and provide secure remote access to staff while supporting business continuity initiatives and mitigating the risk of downtime.

Taking advantage of standby virtual desktops, a proper business continuity solution provides businesses with the foundation for security and compliance.

The deployment of virtual desktops provides users with the flexibility to work remotely via a fully-functional browser-based environment while simultaneously allowing IT departments to centrally manage endpoints and lock down business critical data. Performance, security, and compliance are unaffected.

Standby virtual desktops come pre-configured and are ready to be deployed instantaneously, allowing your team to remain “business as usual” during a sudden disaster.

In addition to this, you should ensure regular data audits and backups

If you don’t know what is in your cloud, now is the time to find out. It’s essential to frequently audit your data and ensure everything is backed up. You’ll also want to consider who has access to this data. Old employees or those who no longer need access should have permissions provoked.

It’s important to also use the latest security measures, such as multi-factor authentication and default encryption. Always keep your employees up to speed with these measures and train them to spot potential threats that way they know how to deal with them right away.

21. Be Aware of a Provider’s Security Policies


Jeff Bittner, Founder and President of Exit technologies

Many, if not most, businesses will continue to expand in the cloud, while relying on on-premise infrastructure for a variety of reasons, ranging from a simple cost/benefit advantages to reluctance to entrust key mission-critical data or systems into the hands of third-party cloud services providers. Keeping track of what assets are where in this hybrid environment can be tricky and result in security gaps.

Responsibility for security in the cloud is shared between the service provider and the subscriber. So, the subscriber needs to be aware not only of the service provider’s security policies, but also such mundane matters as hardware refresh cycles.

Cyber attackers have become adept at finding and exploiting gaps in older operating systems and applications that may be obsolete, or which are no longer updated. Now, with the disclosure of the Spectre and Meltdown vulnerabilities, we also have to worry about threats that could exploit errors or oversights hard-coded at the chip level.

Hardware such as servers and PCs has a limited life cycle, but often businesses will continue to operate these systems after vendors begin to withdraw support and discontinue firmware and software updates needed to counter new security threats.

In addition to being aware of what their cloud provider is doing, the business must keep track of its own assets and refresh them or decommission them as needed. When computer systems are repurposed for non-critical purposes, it is too easy for them to fall outside of risk management and security oversight.

22. Encrypt Backups Before Sending to the Cloud


Mikkel Wilson, CTO at Oblivious.io

1. File metadata should be secured just as vigilantly as the data itself. Even if an attacker can’t get at the data you’ve stored in the cloud, if they can get, say, all the filenames and file sizes, you’ve leaked important information. For example, if you’re a lawyer and you reveal that you have a file called “michael_cohen_hush_money_payouts.xls” and it’s 15mb in size, this may raise questions you’d rather not answer.

2. Encrypt your backups *before* you upload them to the cloud. Backups are a high-value target for attackers. Many companies, even ones with their own data centers, will store backups in cloud environments like Amazon S3. They’ll even turn on the encryption features of S3. Unfortunately, Amazon stores the encryption keys right along with the data. It’s like locking your car and leaving the keys on the hood.

23. Know Where Your Data Resides To Reduce Cloud Threats


Vikas Aditya, Founder of QuikFynd Inc,

Be aware of where their data is stored these days so that they can proactively identify if any of the data may be at risk of a breach.

These days, data is being stored in multiple cloud locations and applications in addition to storage devices in business. Companies are adopting cloud storage services such as Google Drive, Dropbox, OneDrive, etc. and online software services for all kind of business processes. This has led to vast fragmentation of company data, and often managers have no idea where all the data may be.

For example, a confidential financial report for the company may get stored in cloud storage because devices are automatically synching with cloud or a sensitive business conversation may happen in cloud-based messaging services such as Slack. While cloud companies have all the right intentions to keep their customer data safe, they are also the prime target because hackers have better ROI in targeting such services where they can potentially get access to data for millions of subscribers.

So, what should a company do?

While they will continue to adopt cloud services and their data will end up in many, many locations, they can use some search and data organization tools that can show them what data exists in these services. Using full-text search capabilities, they can then very quickly find out if any of this information is a potential risk to the company if breached. You cannot protect something if you do not even know where it is. And more importantly, you will not even know if it is stolen. So, companies looking to protect their business data need to take steps at least to be aware of where all their information is.

24. Patch Your Systems Regularly To Avoid Cloud Vulnerabilities


Adam Stern, CEO of Infinitely Virtual

Business users are not defenseless,  even in the wake of recent attacks on cloud computing like WannaCry or Petya/NotPetya.

The best antidote is patch management. It is always sound practice to keep systems and servers up to date with patches – it is the shortest path to peace of mind. Indeed, “patch management consciousness” needs to be part of an overarching mantra that security is a process, not an event — a mindset, not a matter of checking boxes and moving on. Vigilance should be everyone’s default mode.

Spam is no one’s friend; be wary of emails from unknown sources – and that means not opening them. Every small and midsize business wins by placing strategic emphasis on security protections, with technologies like clustered firewalls and intrusion detection and prevention systems (IDPS).

25. Security Processes Need Enforcement as Staff Often Fail to Realize the Risk


Murad Mordukhay, CEO of Qencode

1. Security as a Priority

Enforcing security measures can become difficult when working with deadlines or complex new features. In an attempt to drive their products forward, teams often bend the rules outlined in their own security process without realizing the risk they are putting their company into. A well thought out security process needs to be well enforced in order achieve its goal in keeping your data protected. Companies that include cloud security as a priority in their product development process drastically reduce their exposure to lost data and security threats.

2. Passwords &Encryption

Two important parts of securing your data in the cloud are passwords and encryption.

Poor password management is the most significant opportunity for bad actors to access and gain control of company data. This usually accomplished through social engineering techniques (like phishing emails) mostly due to poor employee education. Proper employee training and email monitoring processes go a long way in helping expose password information. Additionally, passwords need to be long, include numbers, letters, and symbols. Passwords should never be written down, shared in email, or posted in chat and ticket comments. An additional layer of data protection is achieved through encryption. If your data is being stored for in the cloud for long periods, it should be encrypted locally before you send it up. This makes the data practically inaccessible in the small chance it is compromised.

26. Enable Two-factor Authentication


Tim Platt, VP of IT Business Services at Virtual Operations, LLC

For the best cloud server security, we prefer to see Two Factor Authentication (also known as 2FA, multi-factor authentication, or two-step authentication) used wherever possible.

O que é isto? 2 Factor combines “something you know” with “something you have.” If you need to supply both a password and a unique code sent to your smartphone via text, then you have both those things. Even if someone knows your password, they still can’t get into your account. They would have to know your password and have access to your cell phone. Not impossible, but you have just dramatically made it more difficult for them to hack your account. They will look elsewhere for an easier target. As an example, iCloud and Gmail support 2FA – two services very popular with business users. I recommend everyone use it.

Why is this important for cloud security?

Because cloud services are often not protected by a firewall or other mechanism to control where the service can be accessed from. 2FA is an excellent additional layer to add to security.  I should mention as well that some services, such as Salesforce, have a very efficient, easy to use implementation of 2FA that isn’t a significant burden on the user.

27. Do Not Assume Your Data in the Cloud is Backed-Up


Mike Potter, CEO &Co-Founder at Rewind

Backing up data that’s in the cloud:There’s a big misconception around how cloud-based platforms (ex. Shopify, QuickBooks Online, Mailchimp, WordPress) are backed up. Typically, cloud-based apps maintain a disaster recovery cloud backup of the entire platform. If something were to happen to their servers, they would try to recover everyone’s data to the last backup. However, as a user, you don’t have access to their backup to restore your data.

This means that you risk having to manually undo unwanted changes or permanently losing data if:

Having access to a secondary backup of your cloud accounts gives you greater control and freedom over your own data. If something were to happen to the vendor’s servers, or within your individual account, being able to quickly recover your data could save you thousands of dollars in lost revenue, repair costs, and time.

28. Minimize and Verify File Permissions


Randolph Morris, Founder & CTO at Releventure

1. If you are using a cloud-based server, ensure monitoring and patching the Spectre vulnerability and its variations. Cloud servers are especially vulnerable. This vulnerability can bypass any cloud security measures put in place including encryption for data that is being processed at the time the vulnerability is being utilized as an exploit.

2. Review and tighten up file access for each service. Too often accounts with full access are used to ensure software ‘works’ because they had permission issues in the past. If possible, each service should use its own account and only have restricted permission to access what is vital and just give the minimum required permissions.

29. When Securing Files in the Cloud,  Encrypt Data Locally First


Brandon Ackroyd, Founder and Mobile Security Expert at Tiger Mobiles 

Most cloud storage users assume such services use their own encryption. They do, Dropbox, for example, uses an excellent encryption system for files.

The problem, however, is because you’re not the one encrypting, you don’t have the decryption key either. Dropbox holds the decryption key so anyone with that same key can decrypt your data. The decryption happens automatically when logged into the Dropbox system so anyone who accesses your account, e.g., via hacking can also get your now non-encrypted data.

The solution to this is that you encrypt your files and data, using an encryption application or software, before sending them to your chosen cloud storage service.

30. Exposed Buckets in AWS S3 are Vulnerable


Todd Bernhard, Product Marketing Manager at CloudCheckr

1. The most common and publicized data breaches in the past year or so have been due to giving the public read access to AWS S3 storage buckets. The default configuration is indeed private, but people tend to make changes and forget about it, and then put confidential data on those exposed buckets. 

2. Encrypt data, both in traffic and at rest. In the data center, where end users, servers, and application servers might all be in the same building. By contrast, with the Cloud, all traffic goes over the Internet, so you need to encrypt data as it moves around in public. It’s like the difference between mailing a letter in an envelope or sending a postcard which anyone who comes into contact with it can read the contents.

31. Use the Gold-standard of Encryption


Jeff Capone, CEO of SecureCircle

There’s a false sense of privacy being felt by businesses using cloud-based services like Gmail and Dropbox to communicate and share information. Because these services are cloud-based and accessible by password, it’s automatically assumed that the communications and files being shared are secure and private. The reality is – they aren’t.

One way in which organizations can be sure to secure their data is in using new encryption methods such as end-to-end encryption for emailing and file sharing. It’s considered the “gold standard” method with no central points of attack – meaning it protects user data even when the server is breached.

These advanced encryption methods will be most useful for businesses when used in conjunction with well-aligned internal policies. For example, decentralizing access to data when possible, minimizing or eliminating accounts with privileged access, and carefully considering the risks when deciding to share data or use SaaS services.

32. Have Comprehensive Access Controls in Place


Randy Battat, Founder and CEO, PreVeil

All cloud providers have the capability of establishing access controls to your data. This is essentially a listing of those who have access to the data. Ensure that “anonymous” access is disabled and that you have provided access only to those authenticated accounts that need access.

Besides that, you should utilize encryption to ensure your data stays protected and stays away from prying eyes. There is a multitude of options available depending on your cloud provider. Balance the utility of accessing data with the need to protect it – some methods are more secure than others, like utilizing a client-side key and encryption process. Then, even if someone has access to the data (see point #1), they only have access to the encrypted version and must still have a key to decrypt it

Ensure continuous compliance to your governance policies. Once you have implemented the items above and have laid out your myriad of other security and protection standards, ensure that you remain in compliance with your policies. As many organizations have experienced with cloud data breaches, the risk is not with the cloud provider platform. It’s what their staff does with the platform. Ensure compliance by monitoring for changes, or better yet, implement tools to monitor the cloud with automated corrective actions should your environment experience configuration drift.

33. 5 Fundamentals to Keep Data Secure in the Cloud


David Gugick, VP of Product Management at CloudBerry

34. Ensure a Secure Multi-Tenant Environment


Anthony Dezilva, CISO at PhoenixNAP

When we think of the cloud, we think of two things.  Cost savings due to efficiencies gained by using a shared infrastructure, and cloud storage security risk.

Although many published breaches are attributed to cloud-based environment misconfiguration, I would be surprised if this number was more than, the reported breaches of non-cloud based environments.

The best cloud service providers have a vested interest in creating a secure multi-tenant environment.  Their aggregate spending on creating these environments are far more significant than most company’s IT budgets, let alone their security budgets.  Therefore I would argue that a cloud environment configured correctly, provides a far higher level of security than anything a small to medium-sized business can create an on-prem.

Furthermore, in an environment where security talent is at a grave shortage, there is no way an organization can find, let alone afford the security talent they need.  Resulting in the next best thing, create a business associate relationship with a provider that not only has a strong secure infrastructure but also provides cloud monitoring security solutions.

Cloud Computing Threats and Vulnerabilities:Need to know


Computação em Nuvem

  • Integrado
  • Sensor
  • Computação em Nuvem
  • Tecnologia da Internet das Coisas
    1. Recarregue, reinicie, reconfigure
    2. Três áreas críticas a serem consideradas antes de migrar dados para a nuvem
    3. 5 dicas de computação em nuvem para colocar tempo (e dinheiro) do seu lado
    4. Querida, está nublado lá fora
    5. O que é segurança em nuvem e por que é necessária?
    6. Dicas e truques de computação em nuvem
    7. Risco de segurança na nuvem que toda empresa enfrenta
    8. A segurança na nuvem é o futuro da cibersegurança
    9. Como se tornar um engenheiro de segurança em nuvem
    10. Por que o futuro da segurança de dados na nuvem é programável