Bár az alkalmazottak, a külsősök és az automatizált munkafolyamatok folyamatosan fájlokat küldenek a vállalati felhőalapú tárolóba, ezek közül csak keveset vetnek alá valós idejű biztonsági ellenőrzésnek.
Lehet, hogy vannak érvényben ütemezett ellenőrzési szabályok, de ez oda vezet, hogy a rosszindulatú fájlok napokig vagy hetekig ott maradnak egy S3-tárolóban vagy SharePoint-könyvtárban, mielőtt észrevennék őket. Ezalatt az idő alatt előfordulhat, hogy a fájlokat már megnyitották, megosztották vagy feldolgozták a rendszer további részei.
A potenciális biztonsági kockázatokon túl a hagyományos, ütemezett vizsgálatok szabályszegésekhez is vezethetnek, mivel az olyan globális információbiztonsági keretrendszerek, mint a PCI DSS v4.0, előírják a szervezetek számára, hogy a célzott kockázatelemzés (TRA) alapján határozzák meg a vizsgálati gyakoriságot, amelyet jelentős változások bekövetkeztekor vagy meghatározott időközönként felül kell vizsgálni és frissíteni.
Számos biztonsági csapat számára ez azt jelenti, hogy 60 naponta teljes rendszerátvizsgálást kell végezniük: minden fájlt és minden mappát. Ez kimerítő, költséges, és petabájtos méretű adatállományok esetén egyre nehezebb kezelni.
Van egy jobb megoldás.
MetaDefender eseményalapú vizsgálatai, identitásvizsgálatai és rugalmas vizsgálati munkafolyamatai lehetővé teszik a szervezetek számára, hogy valós idejű védelmet biztosítsanak, csökkentsék a felesleges vizsgálatokat, és olyan felhasználónkénti ellenőrzési nyomvonalat állítsanak elő, amelyet az ellenőrök látni szeretnének.
Miért nem elég Cloud a rendszeres vírusellenőrzés?
Az ütemezett teljes adathordozó-ellenőrzések egy olyan világra lettek kialakítva, ahol a felhőalapú tárolás csupán biztonsági mentési célpont volt, nem pedig elsődleges együttműködési felület. Ez a világ már nem létezik.
Manapság egy pénzintézet akár 50 millió fájlt is tárolhat egyetlen S3-tárolóban. Egy egészségügyi szervezetnél pedig a SharePoint Online szolgálhat dokumentumtárként több ezer klinikus számára.
A teljes hálózati környezet 30 vagy 60 naponta történő átfogó kártevő-ellenőrzése jelentős számítási időt igényel, hatalmas API generál, és gyakran csak akkor fejeződik be, amikor a fenyegetés már továbbterjedt a hálózaton belül.
Ráadásul ott van még a strukturális probléma is:az időszakos vírusellenőrzés csupán egy pillanatfelvétel, nem pedig teljes körű diagnózis. Bár megmutatja, hogy egy adott időpontban mi volt vírusmentes, semmit sem árul el azokról a fájlokról, amelyeket az utolsó ellenőrzés befejezése után töltek fel. És mire elindítja a következő ellenőrzést, már túl késő lehet.
Reálisan nézve, ha a rendszeres vizsgálatok túl sok számítási kapacitást igényelnek, nem adnak teljes képet a helyzetről, és a szabályok be nem tartásának kockázatát hordozzák magukban, akkor a következő logikus megoldás a felhőalapú tárolók valós idejű védelme. Az eseményalapú kiváltás és az identitás-tudatos vizsgálat ötvözése gyakorlatilag megváltoztatja a szabályoknak való megfelelés gyakorlati megvalósítását.
Új fájlok védelme eseményalapú vizsgálattal a MetaDefender Storage Security segítségével
MetaDefender Storage Security eseményalapú vizsgálatotStorage Security , így az észlelési modell a „minden elem ütemezett ellenőrzése” helyett a „változás esetén azonnali vizsgálat” elvére épül. Ahelyett, hogy rögzített időközönként lekérdezné a tárolót,az RTP (Real Time Processing)funkciója közvetlenül a felhőalapú platformról figyeli a fájleseményeket, és az új vagy módosított fájlokat érkezésükkor azonnal feldolgozza.
Az Amazon S3 esetében az eseményalapú vizsgálataz AWS EventBridge segítségével valósul meg. Amikor egy fájl felkerül egy megfigyelt tárolóba, az EventBridge értesítést küldStorage Security webhookStorage Security, amely azonnal elindítja a vizsgálatot, a lekérdezési ciklus késleltetése nélkül. Ez a push-alapú modell kevesebb API generál, mint a lekérdezés, ami nagy léptékben csökkenti mind a válaszidőt, mind az üzemeltetési költségeket.
Az Azure Blob Storage esetébenStorage Security Security bevezette a konténerek automatikus felismerését; amikor egy tárolófiókot csatlakoztat, a platform automatikusan felismeri az összes konténert, és kézi beállítás nélkül egységes RTP-szabályzatot alkalmaz rájuk. Hasonló, eseményvezérelt kezelés érhető el a támogatott tárolócsatlakozó-könyvtárban, beleértve a SharePoint Online-t, a Microsoft Teams-t, a NetApp-ot, a Box-ot és másokat.
A gyakorlatban:
- A feltört felhasználó által hajnali 2:47-kor feltöltött fájlt a rendszer átvizsgálja, és amennyiben rosszindulatúnak bizonyul, karanténba helyezi, mielőtt azt megnyitnák vagy megosztanák
- A külső partnerektől érkező új feltöltések érintetlen állapotban érkeznek meg, mielőtt bármilyen belső folyamat feldolgozná őket
- A fájl beérkezése és a biztonsági értékelés közötti időtartamot másodpercekben mérik, nem pedig órákban vagy napokban
A szabályozási előírások betartásának szempontjából az eseményalapú vizsgálat valós időbenfolyamatos, időbélyeggel ellátott nyilvántartást készít minden vizsgált fájlról. Ez a nyilvántartás a vizsgálati jelentésekben elérhető, tárolóegység és dátumtartomány szerint szűrhető, és közvetlenül támogatja az ellenőrzési lekérdezéseket.
Azonosítás-szűrés: fájlok szűrése a felhasználói tevékenység, a kockázat és a prioritás alapján
Storage Security egyik legfontosabb működési funkciójaStorage Security identitás-ellenőrzés, vagyis az a képesség, hogy a vizsgálati eredményeket összekapcsolja azzal akonkrét felhasználóiidentitással,aki a fájlt feltöltötte vagy módosította.
Ezzel a megfelelésről szóló beszélgetés témája a „átnéztük a tárolót” helyett a „tudjuk, melyik felhasználó töltötte fel az egyes észlelést kiváltó fájlokat, mikor történt ez, és milyen intézkedést hoztunk” irányába változik.
Hogyan csökkenti az identitás-ellenőrzés a felesleges szkennelést
Vegyük szemügyre a hagyományos módszert: teljes rendszerátvizsgálást ütemezünk, minden fájlt átvizsgálunk függetlenül attól, hogy mikor vizsgálták át utoljára, vagy ki töltötte fel, majd jelentést készítünk, amelyből kitűnik, hogy mindent ellenőriztünk. Ez erőforrás-igényes, lassú, és nem tesz különbséget egy olyan fájl között, amely már 18 hónapja tiszta és változatlan, és egy olyan fájl között, amelyet tegnap töltött fel egy olyan fiókból, amelyet a múlt héten feltörtek.
Az identitás-elemzés egy hatékonyabb megközelítést tesz lehetővé:
- Az előző ellenőrzési ciklus során már átvizsgált, ismert és megbízható felhasználóktól vagy szolgáltatói fiókoktól származó fájlokat nagyobb bizalommal lehet kezelni.
- Az új fájlok, illetve az olyan magas kockázatú felhasználói fiókok által módosított fájlok, mint például a külső fiókok, a vállalkozói hitelesítő adatok vagy a nemrég jelzett felhasználók stb., azonnal prioritásba sorolhatók vagy újra ellenőrizhetők
- Az ellenőrzési jelentések felhasználónkénti bontásban megmutatják, mely fájlokat vizsgálták át, mikor és milyen eredménnyel; ez a formátum pontosan megfelel annak, amit a PCI DSS-ellenőrök és az ISO 27001-értékelők keresnek.
Az eredmény egy olyan megfelelési helyzet, amely egyszerre erősebb és hatékonyabb. Ahelyett, hogy ugyanazokat a statikus fájlokat vizsgálná meg újra és újra, a kontextusfüggő eseményekre reagál: arra, hogy mi változott, és ki változtatta meg.
On-demand, ütemezett és RTP munkafolyamatok: a megfelelő megközelítés kiválasztása az egyes esetekhez
Storage Security három vizsgálati módotStorage Security , és a hatékony megfelelési programok általában mindhármat együttesen alkalmazzák.
A valós idejű feldolgozás folyamatos védelmet biztosít az aktív tárolók számára
A valós idejű feldolgozásaz elsődleges mechanizmus a fenyegetések észlelésére azok megjelenésekor. Ez egy eseményvezérelt rendszer, amely a megfigyelt tárolóegységek esetében folyamatosan működik, és úgy lett kialakítva, hogy képes legyen kezelni a modern felhőalapú fájlkezelési munkafolyamatok adatmennyiségét és sebességét.
A MetaDefender Storage Security .4.1Storage Security frissítése óta a rendszergazdák az RTP-ellenőrzési modellben az új „Fájlok módosításának dátuma” dátumválasztó segítségével bevonhatják azokat a fájlokat is, amelyek a jelenlegi RTP-konfiguráció beállítását megelőzően készültek. Ez javítja a korábban feltöltött fájlok – például az OneDrive-fájlok – szabályozási megfelelését, mivel ezek az eredeti „LastModified” dátumot őrzik meg a feltöltés időbélyege helyett.
A 60 napos megfelelési ciklusok esetében ez azt jelenti, hogy kifejezetten az elmúlt 60 napon belül módosított fájlokat célozhatja meg anélkül, hogy a tárolási előzmények kezdetétől induló teljes tárolóhely-átvizsgálást indítana el.
Az ellenőrzési ütemtervhez igazított rendszeres ellenőrzés
Az időszakos megfelelési követelmények (PCI DSS, HIPAA, SOC 2, belső auditciklusok) tekintetébenStorage Security rugalmas vizsgálati ütemezést támogat, amelya 4.3.0-s verziótól kezdve percre pontosan beállítható. Ez lehetővé teszi a biztonsági csapatok számára, hogy pontos vizsgálati időintervallumokat határozzanak meg, amelyek igazodnak az audit időszakokhoz, az üzleti órákon kívül futnak a hatások minimalizálása érdekében, és időbélyeggel ellátott jelentéseket generálnak, amelyek közvetlenül megfelelnek a vizsgált megfelelési időszaknak.
Az ütemezett vizsgálatok hatékonyan beállíthatók . Ahelyett, hogy egy teljes, petabájt méretű tárolórendszert újra átvizsgálnánk, a vizsgálat célzottan elvégezhető meghatározott tárolócsoportokra, konténerekre, dokumentumtárakra vagy mappákra, illetve – az identitásvizsgálat engedélyezése esetén – bizonyos felhasználókhoz vagy szerepkörökhöz tartozó fájlokra.
Igény szerinti vizsgálat a célzott hibaelhárítás és az incidenskezelés érdekében
Az igény szerinti vizsgálatot meghatározott esetekben alkalmazzák: ha biztonsági incidenst azonosítottak, és a csapatnak azonnal fel kell mérnie egy adott tárolóegységet; ha közeledik egy megfelelőségi ellenőrzés, és egy bizonyos tárolócsomagot nem vizsgáltak át a legutóbbi ütemezett futtatás során; vagy ha éppen csatlakoztattak egy új tárolóintegrációt, és annak kezdeti teljes körű felmérésére van szükség.
Storage Security kiegészült a „Reprocess Failed Files” funkcióval, amely lehetővé teszi a rendszergazdák számára, hogy olyan új vizsgálatokat indítsanak, amelyek kizárólag a korábban sikertelen vizsgálatot eredményező fájlokat fedik le, így elkerülve a teljes újravizsgálat terhelését, miközben pótolják a konkrét hiányosságokat. A futó vizsgálatok leállítása közvetlenül a „Report” fülről is elvégezhető, anélkül, hogy máshová kellene navigálni a felületen.
Az automatikus felismerés és az IAM-szerepkörök integrációja a kézi konfigurációs hiányosságok kiküszöbölése érdekében
A felhőalapú tárolási környezetekben az egyik leggyakoribb megfelelési kockázat a felügyelet nélküli tárolás. Ilyen például egy olyan tároló vagy konténer, amelyet soha nem kapcsoltak össze biztonsági eszközzel, a szokásos IT-folyamatokon kívül létrehozott új tárolóegység, vagy egy harmadik fél integrációjából automatikusan generált konténer.
Storage Security ezt több felhőszolgáltatóra kiterjedő automatikus felderítésselStorage Security :
- Azure Blob Storage: Csatlakoztasson egy tárolófiókot, és az összes konténer automatikusan felismerésre kerül és hozzáadódik a vizsgálati szabályhoz; nincs szükség kézi beavatkozásra
- SharePoint Online: Csatlakoztassa a bérlőjét, és a csatlakozás után az összes webhely automatikusan felismerésre kerül
- Alibaba Cloud RAM (Resource Access Management) szerepkör-hitelesítéssel, valamint az AWS S3 IAM (Identity and Access Management) szerepkörrelStorage Security teszikStorage Security rövid élettartamú, minimális jogosultságú hitelesítő adatokkal hitelesítsen a statikus hozzáférési kulcsok helyett, ezzel csökkentve a hitelesítő adatok kiszivárgásának kockázatát és egyszerűsítve a hitelesítő adatok cseréjét
Azoknál a szervezeteknél, amelyek a PCI DSS 12.3.1. követelménye (a biztonsági ellenőrzések gyakoriságának kockázatalapú elemzése) vagy az ISO 27001 A. mellékletében foglalt, felhőalapú környezetekre vonatkozó előírások szerint működnek, az automatikus felderítés közvetlenül csökkenti azoknak a lefedettségi hiányosságoknak a kockázatát, amelyek egyébként csak egy audit vagy egy incidens során derülnének ki.
Storage Security felületén elérhető,az AWS EventBridge konfigurációjához készült Terraform szkript automatikus generálása azt jelenti, hogy még az eseményalapú feldolgozás kezdeti beállítása is csupán minimális jogosultságokat igényel, és a biztonsági csapatnak nem kell egyedi szkripteket írnia.
Storage Security: kifejezetten Cloud védelmére kifejlesztve
Storage Security OPSWAT megoldása a fájlalapú fenyegetések felismerésére és megelőzésére helyszíni, felhőalapú és hibrid tárolási környezetekben egyaránt. A rendszer minden feldolgozott fájlra egymást követően többféle megelőző technológiát alkalmaz:
- A Metascan™Multiscanning több tucat kártevőellenes motortfuttategyszerre, így növelve az ismert és ismeretlen fenyegetések felismerési arányát anélkül, hogy egyetlen gyártó szignatúráira támaszkodna
- Deep CDR™ technológia a potenciálisan rosszindulatú aktív tartalmak eltávolításával biztonságos, funkcionálisan egyenértékű verzióvá alakítja át a fájlokat — hatékonyan véd a szignatúra-alapú észlelést kijátszó fenyegetések ellen
- A Proactive DLP™ ellenőrzi és szerkeszti a fájlokat az érzékeny adatok – fizetési kártyaszámok, személyes azonosító adatok (PII), egészségügyi adatok – tárolása előtt, támogatva ezzel mind az adatbiztonságot, mind a megfelelőségi kötelezettségeket
- File-Based Vulnerability Assessment azonosítja az olyan fájlokban, mint például a telepítők és csomagok, található ismert sebezhetőségeket, mielőtt azok bekerülnének a környezetbe
- Adaptive Sandbox viselkedéselemzést nyújt azokról a gyanús fájlokról, amelyek alaposabb vizsgálatot igényelnek
Mindez egy széles körű csatlakozókönyvtáron keresztül valósul meg, amely magában foglalja az Amazon S3-at, az Azure Blob Storage-t, a SharePoint Online-t, a Microsoft Teams-t, az OneDrive-ot, Cloud Google Cloud , a NetApp-ot, a Dell EMC Isilon-t, a Box-ot, a Scality RING-et és más szolgáltatásokat, és minden új verzióban további integrációkkal bővül.
A szabályozási megfelelésre összpontosító csapatok számáraStorage Security központosított vizsgálati jelentéseket, felhasználónkénti azonosítási információkat, időbélyeggel ellátott ellenőrzési naplókat, valamint konfigurálható javító intézkedéseket (engedélyezés, blokkolás, törlés, áthelyezés, tisztítás)Storage Security ; melyek mindegyike megfelel a PCI DSS v4.0.1, a HIPAA, az ISO 27001 és a SOC 2 dokumentációs követelményeinek.
A platform helyszíni telepítésként vagy MetaDefender Storage Security Cloudváltozatban is elérhető. Ez utóbbi többfelhasználós támogatást biztosít azoknak a szervezeteknek, amelyek egyetlen telepítésen belül több üzleti egységet vagy ügyfélkörnyezetet kezelnek.
A reaktív vizsgálattól a proaktív Cloud Storage Security
A megfelelési követelmények szigorodtak, mivel az ellenőrök már nem elégednek meg azzal a bizonyítékkal, hogy elvégezték a vizsgálatot. Folyamatos lefedettséget, a fájlok tulajdonosának azonosítását, valamint egy egyértelmű szabályzatot várnak el arra vonatkozóan, hogy az új fájlokat hogyan kezelik abban a pillanatban, amikor azok bekerülnek a rendszerbe.
- Az eseményalapú vizsgálat ad választ a frekvencia és az időzítés kérdésére.
- Az identitás-ellenőrzés megoldást nyújt az elszámoltathatóság kérdésére.
- A rugalmas, ütemezett és igény szerinti munkafolyamatok megoldást nyújtanak az időszakos megfelelési dokumentációval kapcsolatos kérdésekre. Az automatikus felismerés pedig a lefedettség kérdését oldja meg.
Storage Security ezeket a funkciókat egy olyan platformbanStorage Security , amelyet kifejezetten a vállalati felhőalapú tárolási környezetek méretére, összetettségére és a szabályozási előírásokra szabtak.
Akár a fenyegetések valós idejű észlelése a legfontosabb számodra, akár egy 60 napos ellenőrzési időszaknak való megfelelés, akár annak igazolása, hogy egy szabályozott mappában található összes fájlt egy adott felhasználó ellenőrizte, a platform minden esetben támogatja ezeket a feladatokat.
