7与广泛的云安全监管和合规框架的影响

安全团队负责实施监管和合规要求一个可伸缩的和一致的方式经常挑战一般的立法指导原则和控制转化为具体的政策、工具和流程。

网络攻击不仅对一个组织构成金融或品牌风险。他们也可以破坏的国家安全问题关键的供应链,在关键基础设施的情况下,甚至导致生命损失。

地缘政治因素,如战争在乌克兰,有大胆发起的攻击在过去的一年。根据2022年威胁环境报告从欧盟机构网络安全(ENISA),政府威胁演员已经在42个国家的128个政府组织目标支持乌克兰。目标包括美国、波兰、丹麦、挪威、芬兰、瑞典、土耳其和其他北约国家。

世界各地的政府和行业组织一直致力于加大立法和监管环境着眼于限制攻击。最近的事件,如2020年SolarWinds供应链软件攻击,影响超过18000个公共和私营部门的组织以及那些针对关键基础设施运营商殖民管道等引发了一连串的新规定。

在所有方面的攻击表面都处于危险之中,云基础设施和应用程序已成为一个特定的目标区域。在一个LinkedIn的博客蒂埃里布列塔尼人,欧盟内部市场专员表示,“攻击云基础设施在一年内增加了五倍。”

“攻击云基础设施在一年内增加了五倍。”

蒂埃里布列塔尼人,欧盟内部市场专员

在这个博客中,我们探索:

• 通过增加立法协调风险
• 法规和惩罚与云安全的影响
• 风险框架,如何控制和标准支持合规吗
• 云安全自动化控制和合规:站得住脚的如何帮助

通过增加立法协调风险

为了应对网络威胁的增加,政府制定的规定和立法。例如,在美国,行政命令14028专注于改善供应链的安全软件。在欧盟,网络弹性行为——欧盟委员会(European Commission)发布的2022年9月——看起来,确保硬件和软件产品被放置在市场上用更少的弱点。这些措施不仅针对政府机构的新要求,他们广泛地扩展到组织这些机构做业务,包括云服务提供商、软件开发组织,软件即服务(SaaS)提供者,硬件制造商和几乎任何组织创建数字产品和服务。

美国的立法和监管变化并不局限于联邦政府,他们也倾泻下来的州和地方政府。同样的,除了欧盟法规,国家联盟内也有自己的需求。在美国,例如,36个州颁布了新的网络安全法律在过去的两年里,更多的是公共部门看起来减轻网络威胁的风险。

增加政府法规,行业也开始定义自己的授权,以改善安全状况,消费者和投资者的风险最小化。这方面的一个例子是PCI DSS支付卡行业。

的安全团队必须实现这些要求时,面临的挑战是在翻译往往一般立法指导原则和控制到具体政策,工具和流程。此外,安全团队负责实施这些政策在一个可伸缩的和一致的方式在整个企业。在跨国企业工作的安全团队,这些挑战是复合指数增长。

监管环境影响网络安全的各个方面,包括传统的IT基础设施和操作技术。为了理解如何监管环境影响云安全,首先需要了解的规定适用于您的特定业务。下表强调几个法规广泛全面的云安全的影响和风险的行为。法规和惩罚与云安全的影响

监管	源	要求	点球	例子
通用数据保护监管(GDPR)	2016年欧盟批准的,GDPR看起来实施数据保护个人信息的收集和处理指南对于任何生活在欧盟。	适用于任何实体与一个网站,吸引欧洲游客流量,该实体是否积极营销欧盟居民。72小时内必须上报数据泄露。	组织可以被罚款€2000万或4%的公司的全球营业额(哪个更大)。	2020年,英国航空公司(British Airways)需要支付2600万美元因为安全控制不足导致429000客户记录被破坏。
纽约网络安全监管,部分500(500年23日纽约哭泣)	2017年,纽约州金融服务部门开始执行网络安全监管500条款(23 NYCRR 500),旨在保护消费者通过定义最小网络安全监管机构标准。	适用于近3000金融机构的监管,要求他们实现一个网络安全项目相结合NIST网络安全框架。	网络安全事件必须在72小时内报告。违规行为可能导致金融和其他处罚从至少500美元/天/不符合事件根据行业2500美元。基于故意违反处罚从那里可以增加和持续时间。	2022年,嘉年华公司被罚款500万美元,必须支付125万美元的和解协议,服务——失去许可销售保险的四个单独的违反。破坏发生在2019 - 2022年,包括ransomware和钓鱼攻击暴露的非公开个人信息(NPI)的消费者和员工。
健康保险流通与责任法案(HIPAA)	美国国会通过的目的HIPAA隐私规则限制使用和披露的电子保护医疗信息(ePHI),如医疗记录,个人没有明确的授权。	规定适用于卫生保健提供者,健康计划和医疗电子医疗业务的清算所。	可以两个民事和刑事处罚违反。每违反民事范围可以高达63000美元,每年190万美元的上限。犯罪可以高达100000美元,10年有期徒刑,如果经济利益的目的是出售信息。	2021年,Excellus卫生计划被罚款510万美元未能把必要的安全控制,使黑客访问的个人记录930万人一年多了。
支付卡行业数据安全标准(PCI DSS)	公布的2004年12月,PCI DSS是一个积蓄倡议创建更好地管理持卡人数据和减少信用卡欺诈。这是定义的PCI安全标准委员会(PCI SSC),其中包括美国运通、签证,万事达卡,发现和其他人。	虽然不是一个联邦规定,所有实体店的行业标准是强制性的,过程,和/或传输持卡人数据。此项标准具体包括云计算的指导方针使用云技术提供指导和维护控制在云环境中。	不一致的组织经验数据泄露可能面临罚款500000美元,损失的商业账户和损害赔偿金。	2017年,目标是需要支付1850万美元在结算与47个国家,它花了2.02亿美元的律师费。4000万年违反导致信用卡记录,是最明显的PCI DSS违反之一。

来源:成立,2023年4月

风险框架,如何控制和基准可以帮助

幸运的是,许多已经建立了联邦赞助和行业组织来帮助企业和政府组织改善他们的网络安全态势。这些组织收集最佳实践和定义风险框架,以及支持网络安全控制和基准。

框架提供一套流程、最佳实践和规范来帮助组织评估和管理风险。他们为有效的网络安全方案奠定基础。

控制识别“应该怎样”,以减轻一个特定类别的风险。库存的软件资产,数据保护和安全配置的控制类。每个控件类别有一组保障概述应采取什么步骤。

基准控制到下一个层次的概念,提供规定性指南如何实现和配置特定的技术,例如云实例,应用程序和身份,以安全的方式。

尽管一些标准可能由特定的政府机构,最具有广泛的适用性,不管国家原产地或身体,和许多人直接对齐或重叠的控制。下面我们强调五个值得注意。

国家标准和技术研究所的网络安全框架

美国商务部的一部分国家标准与技术研究院(NIST)开发了众多网络安全标准和最佳实践,包括NIST网络安全框架,一本40页的文档提供高水平的指导如何优化,管理和降低网络安全风险。框架引用了很多详细的文件规范的控制。这些是最全面的一个NIST的特殊出版800 - 53年修订5。460页的出版物提供了基于云计算的深度控制系统以及其他计算平台,包括通用计算机系统,cyber-physical系统、移动设备、物联网(物联网)设备及其他。NIST还发布网络资源指南,如实现健康保险流通与责任法案(HIPAA)安全规则帮助组织遵守具体的规定。

独联体基准

网络安全中心(CIS)是一个非营利组织发展众包,全球公认的最佳实践来保护系统和数据。类似于NIST网络安全框架,独联体关键安全控制(顺式控制)是一套优先保障措施旨在减少网络攻击。控件映射到不同的法规和行业规定,如NYDFS 500。此外,独联体基准提供具体配置超过25种不同供应商产品家庭指南,如亚马逊网络服务(AWS),微软Azure云和谷歌云平台(GCP)。基准测试是非常重要的因为他们提供规定性必须采取步骤,以达到推荐的配置对于一个给定的供应商提供。

国际组织的标准27001 (IS027001)

类似于CIS,国际标准组织(ISO)是一个独立的国际组织,发展基于共识的最佳实践和标准。最有目共睹的ISO 27001广泛的公认标准,信息安全管理系统(主义)。虽然不是直接由ISO,组织可以获得第三方认证符合ISO 27001。虽然有很多重叠标准ISO 27001和NIST控制框架,有差异。一般来说,NIST提供更细粒度的控制,但自己并不解决需求所需的全谱ISO 27001认证。在这方面,这两个框架都是免费。

云安全自动化控制和合规:站得住脚的如何帮助

法规,控制和这里所讨论的基准都是只有一小部分的许多企业和政府组织必须面对。这使得扩展专业知识的挑战。

超过二十年,站得住脚的研究带来了承担其专业法规和标准来帮助组织满足他们独特的安全需求。这个专业是嵌入在许多站得住脚的解决方案,以预定义的审计的形式、政策和合规报告。例如,成立一个云安全帮助组织强化他们的云安全姿势跨multicloud环境提供开箱即用的政策直接映射到流行的控制、标准和规定,如NIST 800 - 53年,独联体基准AWS和GDPR分别。

这大大减少了需要专业知识为每个不同的标准或法规。安保人员可以应用政策对于一个给定的标准或法规通过选择从一个下拉菜单和扫描不一致的配置。他们还可以建立主动的护栏,防止部署不一致的配置。下面是一些例子的类型的合规报告功能可在站得住脚的云安全。

AWS的合规报告:独联体1.2

来源:成立,2023年4月

使用一个基于目录的方法,组织可以选择并运行合规报告对于一个给定的标准或法规和补救与资产所有者分享这些报告,以及治理风险和合规(GRC)团队和外部审计人员以满足持续合规要求。

合规报告:GDPR

来源:成立,2023年4月

因为成立一个云安全支持混合环境中除了multicloud,组织可以运行政策审计和报告合规为本地环境——包括它和私有云——提供合规的端到端视图。

更多地了解如何站得住脚的帮助,看看事件的三个站得住脚的云安全咖啡系列,Multicloud合规的挑战,你会听到来自菲利普·海耶斯,成立信息安全主管,我们地址multicloud遵从自己的基于saas解决方案和看到现场演示的政策和法规遵循报告。

了解更多

• 参观站得住脚的解决方案云安全的姿势管理页面:tenable.com/cspm
• 查看解决方案图:打开今天的可伸缩的云安全的混合,multicloud世界