Deși angajații, colaboratorii externi și fluxurile de lucru automatizate trimit în mod constant fișiere către spațiul de stocare în cloud al companiei, puține dintre acestea sunt supuse unor verificări de securitate în timp real.
Este posibil să existe politici privind scanările programate, dar acest lucru duce la situații în care fișierele dăunătoare rămân într-un bucket S3 sau într-o bibliotecă SharePoint zile sau săptămâni întregi înainte de a fi detectate. În acest interval, ele ar putea fi deja accesate, distribuite sau procesate de sistemele din aval.
Pe lângă potențialul de risc, scanările programate tradiționale pot duce la încălcări ale conformității, întrucât cadrele globale de securitate a informațiilor, precum PCI DSS v4.0, impun organizațiilor să stabilească o frecvență de scanare bazată pe o analiză a riscurilor țintită (TRA), care este revizuită și actualizată atunci când apar modificări semnificative sau la o frecvență periodică prestabilită.
Pentru multe echipe de securitate, aceasta înseamnă o scanare completă periodică a întregului spațiu de stocare: fiecare fișier, fiecare folder, la fiecare 60 de zile. Este o operațiune obositoare, costisitoare și din ce în ce mai greu de gestionat la o scară de petabytes.
Există o soluție mai bună.
Scanarea bazată pe evenimente, scanarea identităților și fluxurile de lucru flexibile de scanareMetaDefender permit organizațiilor să asigure o protecție în timp real, să reducă scanările redundante și să genereze genul de jurnal de audit pe utilizator pe care auditorii doresc să îl vadă.
De ce Cloud necesită mai mult decât scanări programate
Scanările programate ale întregului spațiu de stocare au fost concepute pentru o lume în care spațiul de stocare în cloud era o destinație de rezervă, nu o platformă principală de colaborare. Acea lume nu mai există.
În prezent, o instituție financiară poate avea 50 de milioane de fișiere într-un singur bucket S3. O organizație din domeniul sănătății poate folosi SharePoint Online ca depozit de documente pentru mii de medici.
O scanare completă împotriva programelor malware a întregului parc IT, efectuată la fiecare 30 sau 60 de zile, consumă mult timp de procesare, generează API enorm și, adesea, se finalizează după ce amenințarea s-a răspândit deja pe orizontală.
În plus, există și o problemă structurală:scanarea periodică reprezintă doar o imagine instantanee, nu un diagnostic complet. Deși arată ce era curat la un moment dat, nu oferă nicio informație despre fișierele încărcate după finalizarea ultimei scanări. Iar până când veți rula următoarea scanare, s-ar putea să fie deja prea târziu.
Privind lucrurile în mod realist, dacă scanările programate consumă prea multă putere de calcul, oferă o imagine incompletă și riscă să conducă la nerespectarea normelor de conformitate, următoarea soluție logică este protecția în timp real a datelor stocate în cloud. Combinarea declanșării bazate pe evenimente cu scanarea care ține cont de identitate schimbă modul în care se manifestă conformitatea în practică.
Protejarea fișierelor noi prin scanarea bazată pe evenimente cu ajutorul soluției MetaDefender Storage Security
MetaDefender Storage Security scanări bazate pe evenimente, schimbând modelul de detectare de la „verificarea tuturor elementelor conform unui program” la „scanarea imediată la apariția oricărei modificări”. În loc să interogheze un bucket la intervale fixe, funcțiasa RTP (Real Time Processing)monitorizează evenimentele legate de fișiere direct de pe platforma cloud și procesează fișierele noi sau modificate pe măsură ce acestea apar.
Pentru Amazon S3, scanarea bazată pe evenimente este implementată prin intermediulAWS EventBridge. Când un fișier este încărcat într-un bucket monitorizat, EventBridge trimite o notificare către webhook-ulStorage Security, care declanșează scanarea imediat, fără latența unei bucle de interogare. Acest model bazat pe notificări generează mai puține API decât interogarea, ceea ce reduce atât timpul de răspuns, cât și costurile de operare la scară largă.
Pentru Azure Blob Storage,Storage Security Security a introdus funcția de detectare automată a containerelor; atunci când conectați un cont de stocare, platforma detectează automat toate containerele, aplicând o politică RTP uniformă fără a fi necesară o configurare manuală. O gestionare similară, bazată pe evenimente, este disponibilă în întreaga bibliotecă de conectori de stocare acceptați, inclusiv SharePoint Online, Microsoft Teams, NetApp, Box și altele.
Înpractică:
- Un fișier încărcat de un utilizator al cărui cont a fost compromis la ora 2:47 dimineața este scanat și, dacă este dăunător, pus în carantină înainte de a putea fi accesat sau distribuit
- Noile fișiere încărcate de la parteneri externi ajung într-o stare curată, înainte ca vreun proces intern să le modifice
- Intervalul dintre primirea fișierului și emiterea verdictului de securitate se măsoară în secunde, nu în ore sau zile
Din punct de vedere al conformității, scanarea bazată pe evenimente generează o înregistrarecontinuă, cu marcaj temporal, a fiecărui fișier evaluat în timp real. Această înregistrare este disponibilă în rapoartele de scanare, poate fi filtrată în funcție de unitatea de stocare și intervalul de date și oferă un sprijin direct pentru solicitările de audit.
Scanarea identităților: scanarea fișierelor în funcție de activitatea utilizatorului, de risc și de prioritate
Una dintre cele mai importante funcționalități din punct de vedere operaționalStorage Security scanarea identităților, adică capacitatea de a asocia rezultatele scanării cu identitateaspecifică a utilizatorului care a încărcat sau a modificat unfișier.
Astfel, discuția privind conformitatea nu mai se rezumă la „am scanat folderul”, ci la „știm care utilizator a încărcat fiecare fișier care a declanșat o detectare, când s-a întâmplat acest lucru și ce măsuri s-au luat”.
Cum scanarea identității reduce scanarea redundantă
Să luăm în considerare abordarea tradițională: programarea unei scanări complete a întregului spațiu de stocare, scanarea fiecărui fișier indiferent de momentul în care a fost scanat ultima dată sau de cine l-a încărcat, generarea unui raport care să arate că totul a fost verificat. Această metodă consumă multe resurse, este lentă și nu face distincție între un fișier care este curat și neschimbat de 18 luni și un fișier încărcat ieri de un cont care a fost compromis săptămâna trecută.
Scanarea identității permite o abordare mai inteligentă:
- Fișierele provenite de la utilizatori cunoscuți și de încredere sau de la conturi de serviciu care au fost scanate în cadrul ciclului anterior pot fi tratate cu un grad mai mare de încredere.
- Fișierele noi sau cele modificate de entități cu risc ridicat, cum ar fi conturile externe, datele de autentificare ale colaboratorilor externi, utilizatorii semnalizați recent etc., pot fi tratate cu prioritate sau rescanate imediat
- Rapoartele de audit pot indica, pentru fiecare identitate de utilizator, ce fișiere au fost scanate, când și cu ce rezultat; un format care corespunde exact cerințelor auditorilor PCI DSS și evaluatorilor ISO 27001.
Rezultatul este o strategie de conformitate mai solidă și mai eficientă. În loc să scanați în mod repetat aceleași fișiere statice, reacționați la evenimente contextuale: ce anume a fost modificat și de către cine.
Fluxuri de lucru la cerere, programate și RTP: alegerea abordării potrivite pentru fiecare scenariu
Storage Security trei moduri de scanare, iar programele eficiente de conformitate le utilizează de obicei pe toate trei în combinație.
Procesarea în timp real asigură o protecție continuă pentru spațiul de stocare activ
Prelucrarea în timp real estemecanismul principal de detectare a amenințărilor imediat ce acestea apar. Este bazată pe evenimente, funcționează permanent pentru unitățile de stocare monitorizate și este concepută pentru a gestiona volumul și viteza fluxurilor de lucru moderne cu fișiere în cloud.
Începând cu actualizarea MetaDefender Storage Security .4.1, administratorii pot utiliza noul selector de date „Alege fișierele modificate începând cu” din modelul de scanare RTP pentru a include fișiere create înainte de configurarea actuală a RTP. Acest lucru îmbunătățește acoperirea conformității pentru fișierele încărcate anterior, cum ar fi fișierele OneDrive care păstrează data inițială de modificare („LastModified” ) în locul marcajului temporal al încărcării.
În cazul ciclurilor de conformitate de 60 de zile, aceasta înseamnă că puteți selecta în mod explicit fișierele modificate în ultimele 60 de zile, fără a declanșa o scanare completă a containerului începând de la începutul istoricului de stocare.
Scanare programată, adaptată calendarului dvs. de audit
Pentru cerințele periodice de conformitate (PCI DSS, HIPAA, SOC 2, cicluri de audit intern),Storage Security programarea flexibilă a scanărilor, configurabilă cu precizie de minut începând cuversiunea 4.3.0. Acest lucru permite echipelor de securitate să definească intervale precise de scanare care se aliniază cu perioadele de audit, să ruleze în afara orelor de program pentru a minimiza impactul și să genereze rapoarte cu marcaj temporal care corespund direct perioadei de conformitate supuse revizuirii.
Scanările programate pot fi configurate în mod eficient. În loc să se scaneze din nou întregul spațiu de stocare de ordinul petabyte-lor, scanarea poate viza anumite compartimente, containere, biblioteci de documente sau dosare și, cu funcția de scanare a identităților activată, fișierele asociate anumitor utilizatori sau roluri.
Scanare la cerere pentru remedierea problemelor specifice și gestionarea incidentelor
Scanarea la cerere este utilizată în anumite situații: a fost identificat un incident de securitate și echipa trebuie să evalueze imediat o unitate de stocare specifică, se apropie un audit de conformitate și un anumit bucket nu a fost inclus în ultima scanare programată sau tocmai a fost conectată o nouă integrare de stocare care necesită o evaluare inițială completă.
Storage Security a introdus funcția „Reprocess Failed Files”(Reanalizarefișiere respinse), care permite administratorilor să creeze noi scanări care vizează doar fișierele respinse anterior, evitând astfel efortul suplimentar generat de o scanare completă și remediind în același timp anumite lacune de acoperire. De asemenea, scanările în curs pot fi oprite direct din fila „Report” (Raport), fără a fi necesară navigarea în alte secțiuni ale interfeței.
Detectarea automată și integrarea rolurilor IAM pentru eliminarea lacunelor din configurarea manuală
Unul dintre cele mai frecvente riscuri legate de conformitate în mediile de stocare în cloud îl reprezintă stocarea nesupravegheată. Printre exemple se numără un bucket sau un container care nu a fost niciodată conectat la un instrument de securitate, o unitate de stocare nouă alocată în afara proceselor IT obișnuite sau un container generat automat în urma unei integrări cu un furnizor terț.
Storage Security această problemă prin detectarea automată a dispozitivelor la mai mulți furnizori de servicii cloud:
- Azure Blob Storage: Conectați un cont de stocare și toate containerele sunt detectate și adăugate automat la politica de scanare; nu este necesară nicio intervenție manuală
- SharePoint Online: Conectați-vă la tenant, iar toate site-urile vor fi detectate automat la conectare
- Alibaba Cloud cu autentificare prin roluri RAM (Resource Access Management) și AWS S3 cu rolul IAM (Identity and Access Management),Storage Security se autentifice folosind credențiale de scurtă durată, cu privilegii minime, în loc de chei de acces statice, reducând riscul de expunere a credențialelor și simplificând rotația acestora
Pentru organizațiile care își desfășoară activitatea în conformitate cu cerința 12.3.1 din standardul PCI DSS (analiza bazată pe risc a frecvenței controalelor de securitate) sau cu controalele din Anexa A a standardului ISO 27001 pentru mediile cloud, funcția de detectare automată reduce în mod direct riscul apariției unor lacune de acoperire care, în caz contrar, ar rămâne nedetectate până la efectuarea unui audit sau până la producerea unui incident.
Funcția de generare automată a scripturilor Terraformpentru configurarea AWS EventBridge, disponibilă prin interfațaStorage Security , înseamnă că chiar și configurarea inițială a gestionării bazate pe evenimente necesită permisiuni minime și nu implică scrierea de scripturi personalizate de către echipa de securitate.
Storage Security: conceput special pentru protecția Cloud
Storage Security soluția OPSWAT pentru detectarea și prevenirea amenințărilor bazate pe fișiere în medii de stocare locale, în cloud și hibride. Aceasta aplică succesiv mai multe tehnologii de prevenire fiecărui fișier pe care îl procesează:
- Tehnologia Metascan™Multiscanning utilizeazăsimultan zeci de motoare anti-malware, sporind rata de detectare a amenințărilor cunoscute și necunoscute, fără a se baza pe semnăturile unui singur furnizor
- Tehnologia Deep CDR™ reconstruiește fișierele într-o versiune sigură și funcțional echivalentă, eliminând conținutul activ potențial dăunător — eficientă împotriva amenințărilor care evită detectarea bazată pe semnături
- Proactive DLP™ inspectează și redactează fișierele pentru a elimina datele sensibile: numere de carduri de plată, informații de identificare personală (PII) și dosare medicale înainte ca acestea să fie stocate, asigurând atât securitatea datelor, cât și respectarea obligațiilor de conformitate
- File-Based Vulnerability Assessment identifică vulnerabilitățile cunoscute din fișiere, cum ar fi programele de instalare și pachetele, înainte ca acestea să intre în mediu
- Adaptive Sandbox oferă analize comportamentale pentru fișierele suspecte care necesită o inspecție mai aprofundată
Toate aceste funcționalități se bazează pe o bibliotecă extinsă de conectori care include Amazon S3, Azure Blob Storage, SharePoint Online, Microsoft Teams, OneDrive, Google Cloud , NetApp, Dell EMC Isilon, Box, Scality RING și altele, iar la fiecare versiune se adaugă noi integrări.
Pentru echipele axate pe conformitate,Storage Security rapoarte centralizate de scanare, atribuirea identității pentru fiecare utilizator, jurnale de audit cu marcaj temporal și acțiuni de remediere configurabile (permitere, blocare, ștergere, mutare, curățare); toate acestea corespunzând cerințelor de documentare ale PCI DSS v4.0.1, HIPAA, ISO 27001 și SOC 2.
Platforma este disponibilă sub formă de implementare locală sau ca MetaDefender Storage Security Cloud. Aceasta din urmă a adăugat suport pentru multitenancy pentru organizațiile care gestionează mai multe unități de afaceri sau medii ale clienților în cadrul unei singure implementări.
De la scanarea reactivă laStorage Security proactivăStorage Security Cloud
Cerințele de conformitate au devenit mai stricte, întrucât auditorii nu se mai mulțumesc doar cu dovada că ați efectuat o scanare. Aceștia doresc să vadă o acoperire continuă, atribuirea identității și o politică clară privind modul în care sunt gestionate fișierele noi din momentul în care intră în mediul dumneavoastră.
- Scanarea bazată pe evenimente oferă răspunsul la întrebările legate de ritm și sincronizare.
- Scanarea identității oferă un răspuns la problema responsabilității.
- Fluxurile de lucru flexibile, programate și la cerere, rezolvă problema documentației periodice privind conformitatea. Funcția de detectare automată rezolvă problema acoperirii.
Storage Security aceste funcționalități într-o platformă concepută special pentru a răspunde cerințelor de scalabilitate, complexitate și conformitate ale mediilor de stocare în cloud din mediul enterprise.
Indiferent dacă prioritatea dumneavoastră este detectarea unei amenințări în timp real, respectarea termenului de 60 de zile pentru audit sau demonstrarea faptului că fiecare fișier dintr-un compartiment reglementat a fost scanat de un anumit utilizator, platforma vă oferă suportul necesar.
