మేము క్లౌడ్లో భద్రత గురించి మాట్లాడుతున్నాము
ఓవర్ ఎక్స్పోజర్
అది అలా ఉంచుదాం, మీరు ఎక్స్పోజింగ్ గురించి ఏమి ఆలోచిస్తారు? మీ అత్యంత విలువైన ఆస్తులు ఏమిటి? మీ సామాజిక భద్రత సంఖ్య? మీ బ్యాంక్ ఖాతా సమాచారం? ప్రైవేట్ పత్రాలు, లేదా ఛాయాచిత్రాలు? మీ క్రిప్టో సీడ్ పదబంధం? మీరు కంపెనీని మేనేజ్ చేసినట్లయితే లేదా డేటాను భద్రపరిచే బాధ్యతను కలిగి ఉంటే, అదే రకమైన సమాచారం రాజీపడటం గురించి మీరు ఆందోళన చెందుతారు, కానీ abroader స్కేల్. మీ కస్టమర్లు వారి డేటా రక్షణను మీకు అప్పగించారు.
వినియోగదారులుగా, మేము మా డేటా భద్రతను పెద్దగా తీసుకుంటాము. ఈ రోజుల్లో మరింత తరచుగా ఆ డేటా క్లౌడ్లో నిల్వ చేయబడుతుంది. అనేక మంది విక్రేతలు తమ స్థానిక కంప్యూటర్ల నుండి క్లౌడ్కు డేటాను బ్యాకప్ చేయడానికి వినియోగదారులను అనుమతించే సేవలను అందిస్తారు. దీన్ని ఆకాశంలో వర్చువల్ హార్డ్ డ్రైవ్గా భావించండి. ఇది మీ డేటాను రక్షించడానికి సురక్షితమైన మరియు అనుకూలమైన మార్గంగా ప్రచారం చేయబడింది. అనుకూలమైనది, అవును. మీరు అనుకోకుండా తొలగించిన ఫైల్ను తిరిగి పొందవచ్చు. మీరు డేటా పాడైన మొత్తం హార్డ్ డ్రైవ్ను పునరుద్ధరించవచ్చు.
అయితే ఇది సురక్షితమేనా? మీకు లాక్ మరియు కీ అందించబడ్డాయి. కీ, సాధారణంగా, వినియోగదారు పేరు మరియు పాస్వర్డ్. ఇది గుప్తీకరించబడింది మరియు మీకు మాత్రమే తెలుసు. అందుకే మీ పాస్వర్డ్ను సురక్షితంగా ఉంచుకోవాలని భద్రతా నిపుణులు సిఫార్సు చేస్తున్నారు. ఎవరైనా మీ పాస్వర్డ్కి యాక్సెస్ను పొందినట్లయితే, వారు మీ వర్చువల్ హౌస్కి వర్చువల్ కీని కలిగి ఉంటారు.
ఇదంతా నీకు తెలుసు. బ్యాకప్ క్లౌడ్ సేవకు మీ పాస్వర్డ్ 16 అక్షరాల పొడవు, పెద్ద అక్షరాలు మరియు చిన్న అక్షరాలు, సంఖ్యలు మరియు రెండు ప్రత్యేక అక్షరాలను కలిగి ఉంటుంది. మీరు దీన్ని ప్రతి ఆరు నెలలకు మారుస్తారు, ఎందుకంటే ఇది హ్యాకర్కు కష్టతరం చేస్తుందని మీకు తెలుసు. ఇది మీ ఇతర పాస్వర్డ్ల నుండి భిన్నంగా ఉంటుంది – మీరు ఒకే పాస్వర్డ్ని బహుళ సైట్లకు ఉపయోగించరు. ఏమి తప్పు కావచ్చు?
కొన్ని కంపెనీలు "వ్యక్తిగత క్లౌడ్"గా బ్రాండ్ చేసిన వాటిని అందిస్తాయి. పాశ్చాత్య Digital క్లౌడ్లో మీ వ్యక్తిగత స్థలానికి మీ డేటాను బ్యాకప్ చేయడానికి సులభమైన మార్గాన్ని అందించే కంపెనీలలో ఒకటి. ఇది ఇంటర్నెట్లో అందుబాటులో ఉన్న నెట్వర్క్ నిల్వ. ఇది మీ Wi-Fi రూటర్కి ప్లగ్ చేస్తుంది కాబట్టి మీరు మీ నెట్వర్క్లో ఎక్కడి నుండైనా దీన్ని యాక్సెస్ చేయవచ్చు. సౌకర్యవంతంగా, ఇది ఇంటర్నెట్కు కూడా కనెక్ట్ చేయబడినందున, మీరు మీ వ్యక్తిగత డేటాను ఇంటర్నెట్లో ఎక్కడి నుండైనా యాక్సెస్ చేయవచ్చు. సౌకర్యంతో పాటు ప్రమాదం కూడా వస్తుంది.
ఒక రాజీ స్థానం
ఈ సంవత్సరం ప్రారంభంలో, హ్యాకర్లు వెస్ట్రన్లోకి ప్రవేశించారు Digitalయొక్క సిస్టమ్లు మరియు సుమారుగా 10 Tb డేటాను డౌన్లోడ్ చేయగలిగారు. బ్లాక్ మెయిలర్లు విమోచన క్రయధనం కోసం డేటాను కలిగి ఉన్నారు మరియు డేటాను సురక్షితంగా తిరిగి పొందడం కోసం US $10,000,000 ఉత్తరాన ఒక ఒప్పందాన్ని చర్చించడానికి ప్రయత్నించారు. డేటా చమురు లాంటిది. లేదా బంగారం మంచి సారూప్యత కావచ్చు. హ్యాకర్లలో ఒకరు అజ్ఞాత పరిస్థితిపై మాట్లాడారు. హా! టెక్ క్రంచ్ అతను ఈ వ్యాపార ఒప్పందం ప్రక్రియలో ఉన్నప్పుడు అతనిని ఇంటర్వ్యూ చేసింది. ఆసక్తికరమైన విషయం ఏమిటంటే, రాజీపడిన డేటాలో పాశ్చాత్యం కూడా ఉంది Digitalయొక్క కోడ్ సంతకం సర్టిఫికేట్. ఇది రెటీనా స్కాన్కి సమానమైన సాంకేతికత. సర్టిఫికేట్ యజమాని లేదా బేరర్ను సానుకూలంగా గుర్తించడానికి ఉద్దేశించబడింది. ఈ వర్చువల్ రెటీనా స్కాన్తో, “సెక్యూర్డ్” డేటాకు యాక్సెస్ కోసం పాస్వర్డ్ అవసరం లేదు. మరో మాటలో చెప్పాలంటే, ఈ సర్టిఫికేట్తో ఈ నల్లటి టోపీ వ్యాపారవేత్త కుడివైపు ముందు తలుపులో నడవవచ్చు digital రాజభవనం.
పశ్చిమ Digital వారు ఇప్పటికీ WD యొక్క నెట్వర్క్లో ఉన్నారని హ్యాకర్ చేసిన వాదనలకు ప్రతిస్పందనగా వ్యాఖ్యానించడానికి నిరాకరించారు. పేరు తెలియని హ్యాకర్ వెస్ట్రన్ వద్ద ప్రతినిధులు నిరాశ వ్యక్తం చేశారు Digital అతని కాల్స్ తిరిగి ఇవ్వలేదు. అధికారికంగా, a పత్రికా విడుదల, పాశ్చాత్య Digital "ఇప్పటి వరకు జరిగిన విచారణ ఆధారంగా, అనధికారిక పార్టీ తన సిస్టమ్ల నుండి నిర్దిష్ట డేటాను పొందిందని కంపెనీ విశ్వసిస్తోంది మరియు ఆ డేటా యొక్క స్వభావం మరియు పరిధిని అర్థం చేసుకోవడానికి కృషి చేస్తోంది" అని ప్రకటించింది. కాబట్టి, పాశ్చాత్య Digital అమ్మ ఉంది, కానీ హ్యాకర్ కబుర్లు చెబుతున్నాడు. వారు దీన్ని ఎలా చేశారనే దాని గురించి, హ్యాకర్ వారు తెలిసిన దుర్బలత్వాలను ఎలా ఉపయోగించుకున్నారో మరియు గ్లోబల్ అడ్మినిస్ట్రేటర్గా క్లౌడ్లోని డేటాకు ప్రాప్యతను ఎలా పొందగలిగారో వివరిస్తారు.
గ్లోబల్ అడ్మినిస్ట్రేటర్, పాత్ర యొక్క స్వభావం ప్రకారం, ప్రతిదానికీ ప్రాప్యతను కలిగి ఉంటారు. అతనికి మీ పాస్వర్డ్ అవసరం లేదు. అతని వద్ద మాస్టర్ కీ ఉంది.
పశ్చిమ Digital ఒంటరిగా లేదు
A సర్వే గత సంవత్సరం సర్వేలో 83% కంపెనీలు కలిగి ఉన్నాయని కనుగొన్నారు ఒకటి కంటే ఎక్కువ డేటా ఉల్లంఘన, వీటిలో 45% క్లౌడ్ ఆధారితమైనవి. ది సగటు యునైటెడ్ స్టేట్స్లో డేటా ఉల్లంఘన ఖర్చు US $9.44 మిలియన్లు. ఖర్చులు నాలుగు వ్యయ వర్గాలుగా విభజించబడ్డాయి - లాస్ట్ బిజినెస్, డిటెక్షన్ మరియు ఎస్కలేషన్, నోటిఫికేషన్ మరియు పోస్ట్ ఉల్లంఘన ప్రతిస్పందన. (డేటా విమోచన క్రయధనం ఏ కేటగిరీలో ఉందో నాకు ఖచ్చితంగా తెలియదు. ప్రతివాదులు ఎవరైనా విమోచన డిమాండ్లు చెల్లించారా అనేది స్పష్టంగా లేదు.) డేటా ఉల్లంఘనను గుర్తించి, ప్రతిస్పందించడానికి ఒక సంస్థకు సగటున 9 నెలలు పడుతుంది. వెస్ట్రన్ తర్వాత చాలా నెలల తర్వాత ఇది ఆశ్చర్యం కలిగించదు Digital మొదట డేటా ఉల్లంఘనను అంగీకరించారు, వారు ఇంకా దర్యాప్తు చేస్తున్నారు.
ఎన్ని కంపెనీలు డేటా ఉల్లంఘనలకు గురయ్యాయో ఖచ్చితంగా చెప్పడం కష్టం. ransomware ద్వారా దాడి చేయబడిన ఒక పెద్ద ప్రైవేట్ కంపెనీ నాకు తెలుసు. యజమానులు చర్చలకు నిరాకరించారు మరియు చెల్లించలేదు. అంటే, బదులుగా, కోల్పోయిన ఇమెయిల్లు మరియు డేటా ఫైల్లు. వారు ఇన్ఫెక్ట్ చేయని బ్యాకప్ల నుండి అన్నింటినీ పునర్నిర్మించడానికి మరియు సాఫ్ట్వేర్ను మళ్లీ ఇన్స్టాల్ చేయడానికి ఎంచుకున్నారు. గణనీయమైన డౌన్-టైమ్ మరియు ఉత్పాదకత కోల్పోయింది. ఈ ఘటన మీడియాలో ఎప్పుడూ రాలేదు. ఎందుకంటే ఆ కంపెనీ అదృష్టవంతురాలైంది 66% ransomware దాడికి గురైన చిన్న మరియు మధ్య తరహా కంపెనీలు 6 నెలల్లో వ్యాపారం నుండి బయటపడతాయి.
- 30,000 వెబ్సైట్లు ఉన్నాయి హ్యాక్ రోజువారీ
- 4 లక్షల ఫైళ్లు ఉన్నాయి స్టోలెన్ ప్రతి రోజు
- 22 బిలియన్ల రికార్డులు ఉన్నాయి కోతకు లో 2021
మీరు ఎప్పుడైనా Capital One, Marriott, Equifax, Target లేదా Uber సేవలతో వ్యాపారం చేసి ఉంటే లేదా ఉపయోగించినట్లయితే, మీ పాస్వర్డ్ రాజీపడే అవకాశం ఉంది. ఈ ప్రధాన కంపెనీల్లో ప్రతి ఒక్కటి గణనీయమైన డేటా ఉల్లంఘనకు గురయ్యాయి.
- క్యాపిటల్ వన్: కంపెనీ క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్లోని దుర్బలత్వాన్ని ఉపయోగించడం ద్వారా హ్యాకర్ 100 మిలియన్ల కస్టమర్లు మరియు దరఖాస్తుదారులకు యాక్సెస్ని పొందాడు.
- మారియట్: డేటా ఉల్లంఘన 500 మిలియన్ల కస్టమర్లపై సమాచారాన్ని బహిర్గతం చేసింది (ఈ ఉల్లంఘన 4 సంవత్సరాలుగా గుర్తించబడలేదు).
- ఈక్విఫాక్స్: క్లౌడ్లోని 147 మిలియన్ల కస్టమర్లపై వ్యక్తిగత సమాచారం బహిర్గతమైంది.
- లక్ష్యం: సైబర్ నేరగాళ్లు 40 మిలియన్ల క్రెడిట్ కార్డ్ నంబర్లను యాక్సెస్ చేశారు.
- ఉబెర్: హ్యాకర్లు డెవలపర్ ల్యాప్టాప్తో రాజీపడి 57 మిలియన్ల వినియోగదారులు మరియు 600,000 మంది డ్రైవర్లకు యాక్సెస్ని పొందారు.
- LastPass[1]: ఈ పాస్వర్డ్ మేనేజర్ కంపెనీకి క్లౌడ్ స్టోరేజ్ ఉల్లంఘనలో హ్యాకర్లు 33 మిలియన్ల కస్టమర్ల వాల్ట్ డేటాను దొంగిలించారు. దాడి చేసే వ్యక్తి దాని డెవలపర్ ఎన్విరాన్మెంట్ నుండి దొంగిలించబడిన “క్లౌడ్ స్టోరేజ్ యాక్సెస్ కీ మరియు డ్యూయల్ స్టోరేజ్ కంటైనర్ డిక్రిప్షన్ కీలను” ఉపయోగించి లాస్ట్పాస్ క్లౌడ్ స్టోరేజ్కి యాక్సెస్ పొందాడు.
మీరు ఈ వెబ్సైట్లో డేటా ఉల్లంఘనకు గురైనట్లయితే మీరు చూసుకోవచ్చు: నేను pwned? మీ ఇమెయిల్ చిరునామాను టైప్ చేయండి మరియు ఇమెయిల్ చిరునామాలో ఎన్ని డేటా ఉల్లంఘనలు కనుగొనబడిందో అది మీకు చూపుతుంది. ఉదాహరణకు, నేను నా వ్యక్తిగత ఇమెయిల్ చిరునామాలలో ఒకదానిని టైప్ చేసాను మరియు Eviteతో సహా 25 విభిన్న డేటా ఉల్లంఘనలలో భాగమని గుర్తించాను. , డ్రాప్బాక్స్, అడోబ్, లింక్డ్ఇన్ మరియు ట్విట్టర్.
అవాంఛిత సూటర్లను అడ్డుకోవడం
పాశ్చాత్యులచే బహిరంగ అంగీకారం ఎప్పుడూ ఉండకపోవచ్చు Digital సరిగ్గా ఏమి జరిగిందో. ఈ సంఘటన రెండు విషయాలను వివరిస్తుంది: క్లౌడ్లోని డేటా దాని కీపర్ల వలె సురక్షితంగా ఉంటుంది మరియు కీల కీపర్లు ప్రత్యేకించి జాగ్రత్తగా ఉండాలి. పీటర్ పార్కర్ సూత్రాన్ని పారాఫ్రేజ్ చేయడానికి, రూట్ యాక్సెస్తో గొప్ప బాధ్యత వస్తుంది.
మరింత ఖచ్చితంగా చెప్పాలంటే, రూట్ యూజర్ మరియు గ్లోబల్ అడ్మినిస్ట్రేటర్ సరిగ్గా ఒకేలా ఉండరు. ఇద్దరికీ చాలా శక్తి ఉంది కానీ విడివిడిగా ఖాతాలు ఉండాలి. అతి తక్కువ స్థాయిలో కార్పొరేట్ క్లౌడ్ ఖాతాను రూట్ వినియోగదారు కలిగి ఉన్నారు మరియు యాక్సెస్ కలిగి ఉన్నారు. అలాగే, ఈ ఖాతా మొత్తం డేటా, VMలు, కస్టమర్ సమాచారం — క్లౌడ్లో వ్యాపారం భద్రపరిచిన ప్రతిదాన్ని తొలగించగలదు. AWSలో, మాత్రమే ఉన్నాయి పనులు, మీ AWS ఖాతాను సెటప్ చేయడం మరియు మూసివేయడంతో సహా, దీనికి నిజంగా రూట్ యాక్సెస్ అవసరం.
అడ్మినిస్ట్రేటర్ అకౌంట్లు అడ్మినిస్ట్రేటివ్ టాస్క్లను (దుహ్) నిర్వహించడానికి సృష్టించాలి. ఒకే రూట్ ఖాతా వలె కాకుండా సాధారణంగా వ్యక్తి ఆధారితంగా ఉండే బహుళ అడ్మినిస్ట్రేటర్ ఖాతాలు సాధారణంగా ఉంటాయి. అడ్మినిస్ట్రేటర్ ఖాతాలు ఒక వ్యక్తితో ముడిపడి ఉన్నందున, పర్యావరణంలో ఎవరు ఎలాంటి మార్పులు చేశారో మీరు సులభంగా పర్యవేక్షించవచ్చు.
గరిష్ట భద్రత కోసం కనీస హక్కు
డేటా ఉల్లంఘన సర్వే డేటా ఉల్లంఘన యొక్క తీవ్రతపై 28 కారకాల ప్రభావాన్ని అధ్యయనం చేసింది. AI భద్రత, DevSecOps విధానం, ఉద్యోగి శిక్షణ, గుర్తింపు మరియు యాక్సెస్ నిర్వహణ, MFA, భద్రతా విశ్లేషణలు అన్నీ ఒక సంఘటనలో కోల్పోయిన సగటు డాలర్ మొత్తాన్ని తగ్గించడంలో సానుకూల ప్రభావాన్ని చూపాయి. అయితే, సమ్మతి వైఫల్యాలు, భద్రతా వ్యవస్థ సంక్లిష్టత, భద్రతా నైపుణ్యాల కొరత మరియు క్లౌడ్ మైగ్రేషన్ డేటా ఉల్లంఘన యొక్క సగటు వ్యయంలో అధిక నికర పెరుగుదలకు దోహదపడే కారకాలు.
మీరు క్లౌడ్కి మారుతున్నప్పుడు, మీ డేటాను రక్షించడంలో మీరు గతంలో కంటే మరింత అప్రమత్తంగా ఉండాలి. మీ ప్రమాదాన్ని తగ్గించడానికి మరియు సురక్షితమైన వాతావరణాన్ని అమలు చేయడానికి ఇక్కడ కొన్ని అదనపు మార్గాలు ఉన్నాయి భద్రతా దృక్కోణం:
1. ములి-కారకం ప్రమాణీకరణ: రూట్ మరియు అన్ని అడ్మినిస్ట్రేటర్ ఖాతాల కోసం MFAని అమలు చేయండి. ఇంకా మంచిది, భౌతిక హార్డ్వేర్ MFA పరికరాన్ని ఉపయోగించండి. సంభావ్య హ్యాకర్కు ఖాతా పేరు మరియు పాస్వర్డ్ మాత్రమే కాకుండా, సమకాలీకరించబడిన కోడ్ను రూపొందించే భౌతిక MFA కూడా అవసరం.
2. తక్కువ సంఖ్యలో శక్తి: రూట్కి యాక్సెస్ ఉన్నవారిని పరిమితం చేయండి. కొంతమంది భద్రతా నిపుణులు 3 మంది కంటే ఎక్కువ మంది వినియోగదారులను మించకూడదని సూచిస్తున్నారు. రూట్ యూజర్ యాక్సెస్ను శ్రద్ధగా నిర్వహించండి. మీరు గుర్తింపు నిర్వహణ మరియు ఆఫ్-బోర్డింగ్ను మరెక్కడా అమలు చేయకపోతే, ఇక్కడ చేయండి. ట్రస్ట్ సర్కిల్లోని ఒకరు సంస్థను విడిచిపెట్టినట్లయితే, రూట్ పాస్వర్డ్ను మార్చండి. MFA పరికరాన్ని పునరుద్ధరించండి.
3. డిఫాల్ట్ ఖాతా ప్రత్యేకతలు: కొత్త వినియోగదారు ఖాతాలు లేదా పాత్రలను ప్రొవిజన్ చేస్తున్నప్పుడు, డిఫాల్ట్గా వారికి కనీస అధికారాలు మంజూరు చేయబడినట్లు నిర్ధారించుకోండి. కనిష్ట ప్రాప్యత విధానంతో ప్రారంభించి, ఆపై అవసరమైన అదనపు అనుమతులను మంజూరు చేయండి. పనిని పూర్తి చేయడానికి తక్కువ భద్రతను అందించే సూత్రం SOC2 భద్రతా సమ్మతి ప్రమాణాలను ఆమోదించే మోడల్. ఏదైనా వినియోగదారు లేదా అప్లికేషన్ అవసరమైన ఫంక్షన్ను నిర్వహించడానికి అవసరమైన కనీస భద్రతను కలిగి ఉండాలనేది భావన. రాజీపడే అధిక హక్కు, ఎక్కువ ప్రమాదం. దీనికి విరుద్ధంగా, బహిర్గతం చేయబడిన హక్కు తక్కువ, తక్కువ ప్రమాదం.
4. ఆడిటింగ్ అధికారాలు: మీ క్లౌడ్ వాతావరణంలో వినియోగదారులు, పాత్రలు మరియు ఖాతాలకు కేటాయించిన అధికారాలను క్రమం తప్పకుండా ఆడిట్ చేయండి మరియు సమీక్షించండి. వ్యక్తులు వారి నియమించబడిన విధులను నిర్వహించడానికి అవసరమైన అనుమతిని మాత్రమే కలిగి ఉంటారని ఇది నిర్ధారిస్తుంది.
5. గుర్తింపు నిర్వహణ మరియు జస్ట్-ఇన్-టైమ్ ప్రివిలేజెస్: అనధికారిక యాక్సెస్ ప్రమాదాన్ని తగ్గించడానికి ఏవైనా అధికమైన లేదా ఉపయోగించని అధికారాలను గుర్తించి, రద్దు చేయండి. నిర్దిష్ట పని లేదా పరిమిత వ్యవధి కోసం వినియోగదారులు అవసరమైనప్పుడు మాత్రమే యాక్సెస్ హక్కులను అందించండి. ఇది దాడి ఉపరితలాన్ని తగ్గిస్తుంది మరియు సంభావ్య భద్రతా బెదిరింపుల కోసం అవకాశాల విండోను తగ్గిస్తుంది.
6. పొందుపరిచిన ఆధారాలు: స్క్రిప్ట్లు, జాబ్లు లేదా ఇతర కోడ్లో ఎన్క్రిప్ట్ చేయని ప్రమాణీకరణ (యూజర్ పేరు, పాస్వర్డ్, యాక్సెస్ కీలు) హార్డ్-కోడింగ్ను నిషేధించండి. బదులుగా a లోకి చూడండి రహస్య నిర్వాహకుడు ప్రోగ్రామాటిక్గా ఆధారాలను తిరిగి పొందడానికి మీరు ఉపయోగించవచ్చు.
7. ఇన్ఫ్రాస్ట్రక్చర్-యాజ్-కోడ్ (IaC) కాన్ఫిగరేషన్: AWS CloudFormation లేదా Terraform వంటి IaC సాధనాలను ఉపయోగించి మీ క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్ను కాన్ఫిగర్ చేసేటప్పుడు భద్రతా ఉత్తమ పద్ధతులకు కట్టుబడి ఉండండి. డిఫాల్ట్గా పబ్లిక్ యాక్సెస్ను మంజూరు చేయడాన్ని నివారించండి మరియు విశ్వసనీయ నెట్వర్క్లు, వినియోగదారులు లేదా IP చిరునామాలకు మాత్రమే వనరులకు ప్రాప్యతను పరిమితం చేయండి. కనీస అధికార సూత్రాన్ని అమలు చేయడానికి ఫైన్-గ్రెయిన్డ్ అనుమతులు మరియు యాక్సెస్ కంట్రోల్ మెకానిజమ్లను ఉపయోగించండి.
8. చర్యల లాగ్ చేయడం: మీ క్లౌడ్ వాతావరణంలో చర్యలు మరియు ఈవెంట్ల సమగ్ర లాగింగ్ మరియు పర్యవేక్షణను ప్రారంభించండి. ఏదైనా అసాధారణమైన లేదా సంభావ్య హానికరమైన కార్యకలాపాల కోసం లాగ్లను క్యాప్చర్ చేయండి మరియు విశ్లేషించండి. భద్రతా సంఘటనలను వెంటనే గుర్తించడానికి మరియు ప్రతిస్పందించడానికి బలమైన లాగ్ నిర్వహణ మరియు భద్రతా సమాచారం మరియు ఈవెంట్ మేనేజ్మెంట్ (SIEM) పరిష్కారాలను అమలు చేయండి.
9. సాధారణ దుర్బలత్వ అంచనాలు: మీ క్లౌడ్ వాతావరణంలో భద్రతా బలహీనతలను గుర్తించడానికి సాధారణ దుర్బలత్వ అంచనాలు మరియు వ్యాప్తి పరీక్షలను నిర్వహించండి. గుర్తించబడిన ఏవైనా దుర్బలత్వాలను తక్షణమే పరిష్కరించండి మరియు పరిష్కరించండి. మీ క్లౌడ్ ప్రొవైడర్ విడుదల చేసిన సెక్యూరిటీ అప్డేట్లు మరియు ప్యాచ్లను ట్రాక్ చేయండి మరియు తెలిసిన బెదిరింపుల నుండి రక్షించడానికి అవి తక్షణమే వర్తింపజేయబడిందని నిర్ధారించుకోండి.
<span style="font-family: arial; ">10</span> విద్య మరియు శిక్షణ: భద్రతా అవగాహన సంస్కృతిని ప్రోత్సహించండి మరియు ఉద్యోగులకు కనీస హక్కు సూత్రం యొక్క ప్రాముఖ్యత గురించి క్రమ శిక్షణను అందించండి. క్లౌడ్ ఎన్విరాన్మెంట్లో వనరులను యాక్సెస్ చేసేటప్పుడు మరియు నిర్వహించేటప్పుడు మితిమీరిన అధికారాలతో సంబంధం ఉన్న సంభావ్య ప్రమాదాల గురించి మరియు అనుసరించాల్సిన ఉత్తమ పద్ధతుల గురించి వారికి అవగాహన కల్పించండి.
<span style="font-family: arial; ">10</span> పాచెస్ మరియు నవీకరణలు: అన్ని సర్వర్ సాఫ్ట్వేర్లను క్రమం తప్పకుండా నవీకరించడం ద్వారా హానిని తగ్గించండి. తెలిసిన దుర్బలత్వాల నుండి రక్షించడానికి మీ క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్ మరియు అనుబంధిత అప్లికేషన్లను తాజాగా ఉంచండి. క్లౌడ్ ప్రొవైడర్లు తరచుగా సెక్యూరిటీ ప్యాచ్లు మరియు అప్డేట్లను విడుదల చేస్తారు, కాబట్టి వారి సిఫార్సులతో ప్రస్తుతానికి ఉండటం చాలా ముఖ్యం.
ట్రస్ట్
ఇది విశ్వాసానికి సంబంధించినది - మీ సంస్థలోని వారికి మాత్రమే వారి పనిని పూర్తి చేయడానికి వారు చేయవలసిన పనులను పూర్తి చేయడానికి ట్రస్ట్ను అందించడం. భద్రతా నిపుణులు సిఫార్సు చేస్తున్నారు జీరో ట్రస్ట్. జీరో ట్రస్ట్ సెక్యూరిటీ మోడల్ మూడు కీలక సూత్రాలపై ఆధారపడి ఉంటుంది:
- స్పష్టంగా ధృవీకరించండి – వినియోగదారు గుర్తింపు మరియు ప్రాప్యతను ధృవీకరించడానికి అందుబాటులో ఉన్న అన్ని డేటా పాయింట్లను ఉపయోగించండి.
- తక్కువ-ప్రత్యేక యాక్సెస్ని ఉపయోగించండి - కేవలం సమయానికి మరియు తగినంత భద్రత.
- ఉల్లంఘనను ఊహించండి - ప్రతిదీ గుప్తీకరించండి, క్రియాశీల విశ్లేషణలను ఉపయోగించుకోండి మరియు అత్యవసర ప్రతిస్పందనను కలిగి ఉండండి.
క్లౌడ్ మరియు క్లౌడ్ సేవల వినియోగదారుగా, ఇది కూడా నమ్మకంగా వస్తుంది. "నా విలువైన డేటాను క్లౌడ్లో నిల్వ చేయడానికి నా విక్రేతను నేను విశ్వసిస్తున్నానా?" అని మీరే ప్రశ్నించుకోవాలి. విశ్వాసం, ఈ సందర్భంలో, మేము పైన వివరించిన విధంగా భద్రతను నిర్వహించడానికి మీరు ఆ కంపెనీపై లేదా అలాంటి వాటిపై ఆధారపడతారని అర్థం. ప్రత్యామ్నాయంగా, మీరు ప్రతికూలంగా సమాధానం ఇస్తే, మీ ఇంటి వాతావరణంలో అదే రకమైన భద్రతా నిర్వహణ కార్యకలాపాలను నిర్వహించడానికి మీరు సిద్ధంగా ఉన్నారా. మిమ్మల్ని మీరు విశ్వసిస్తున్నారా?
క్లౌడ్లో సేవలను అందించే కంపెనీగా, కస్టమర్లు మీ క్లౌడ్ ఇన్ఫ్రాస్ట్రక్చర్లో తమ డేటాను కాపాడుకోవడానికి మీపై నమ్మకం ఉంచారు. ఇది నిరంతర ప్రక్రియ. ఉద్భవిస్తున్న బెదిరింపుల గురించి తెలుసుకోండి, మీ భద్రతా చర్యలను తదనుగుణంగా స్వీకరించండి మరియు ఎప్పటికప్పుడు అభివృద్ధి చెందుతున్న క్లౌడ్ ల్యాండ్స్కేప్లో మీ వ్యాపారానికి అత్యంత రక్షణను నిర్ధారించడానికి అనుభవజ్ఞులైన నిపుణులు లేదా భద్రతా సలహాదారులతో సహకరించండి.
- https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑