Мониторинг активности облачных приложений для повышения безопасности данных: пять ключевых советов

262

Оцифровка кардинально изменила порядок работы. Важнейшие бизнес-приложения и данные находятся на расстоянии нажатия клавиш, независимо от того, где находится сотрудник или в какое время. Возможно, именно это знакомство с данными заставляет сотрудников чувствовать себя настолько связанными с ними, что, когда они меняют работу, они часто берут часть их с собой. Может быть, поэтому большинство из них не считают это преступным деянием.

Каковы бы ни были причины такой преднамеренной фильтрации данных, отсутствие безопасности может повлиять на рост организации и ее способность сохранять конкурентное преимущество. Но благодаря большей видимости внутренних угроз организации могут изгнать плохих игроков и улучшить общее состояние безопасности.

Ниже приведены пять основных событий, за которыми организации следят за облачными приложениями, и то, как их внимание может помочь в обеспечении надлежащей гигиены в компании.

Посмотрите на активность входа

Узнайте, кто входит в систему, откуда и когда, вероятно, появятся некоторые сюрпризы, связанные с взаимодействием приложений. Прекращенные пользователи, которые не были должным образом депровизированы, могут получить доступ к конфиденциальным данным после трудоустройства, в случае ушедшего сотрудника или по окончании контракта с третьей стороной. Активность при входе в систему также может определять местоположение пользователя, часы, устройства и многое другое - все это может раскрыть потенциальные инциденты безопасности, нарушения или возможности обучения.

Организации могут защитить данные от тех, у кого больше нет доступа, например, от бывшего сотрудника или подрядчика, отслеживая неактивные логины пользователей. Активность при входе также может указывать, входят ли сотрудники в нерабочее время или из удаленного местоположения. Это может быть индикатором сверхурочной работы сотрудника, но также может быть красным флажком для увольняющегося сотрудника, входящего в нерабочее время для кражи данных или скомпрометированных учетных данных.

Изучите, что экспортируется

Экспорт отчетов - это простой способ для сотрудников извлекать большие объемы конфиденциальных данных из Salesforce и других облачных приложений. Пользователи могут создавать отчеты практически обо всем в Salesforce, от контактов и потенциальных клиентов. И эти отчеты могут быть экспортированы для удобства использования и анализа.

Другая сторона медали в том, что эта способность также может сделать компанию уязвимой для кражи данных и взлома. Уходящие сотрудники могут выбрать экспорт отчета о клиентах, используя этот список, чтобы присоединиться или начать конкурентный бизнес.

Но если компания отслеживает экспорт, эта деятельность помогает:

  • Защищайте конфиденциальную информацию о клиентах, партнерах и потенциальных клиентах, что повысит доверие ваших клиентов и будет соответствовать основным нормам и стандартам безопасности (например, PCI-DSS).
  • Найдите сотрудников, которые могут получать данные для личной или финансовой выгоды, и прекратите удаление данных до того, как будет причинен больший ущерб.
  • Уменьшите серьезность и стоимость взлома данных, быстрее обнаруживая и исправляя экспортную деятельность.
  • Найдите вероятные случаи скомпрометированных учетных данных и деактивируйте скомпрометированных пользователей.

Исследуйте все отчеты

Компании концентрируют свои усилия по обеспечению безопасности на том, какие отчеты экспортируются, но простое создание отчета может создать потенциальную проблему безопасности. Принцип наименьших привилегий предполагает, что людям предоставляется только минимальное количество разрешений, необходимых для выполнения их работы, - и это относится к данным, которые можно просматривать. Но многие компании предоставляют широкий доступ по всей организации, даже тем, чья работа не зависит от просмотра конкретной конфиденциальной информации.

Объем работ является важным соображением, в котором уместны отчеты. Если вы посмотрите, какие отчеты были запущены, главные исполнители отчетов и объем отчетов, вы можете отслеживать случаи, когда пользователи могли запускать отчеты, чтобы получить доступ к информации, выходящей за рамки их работы. Пользователи также могут запускать - но не обязательно экспортировать - большие отчеты, чем они обычно делают или чем их коллеги.

Третье преимущество заключается в мониторинге личных и несохраненных отчетов, которые могут помочь устранить любую уязвимость безопасности, созданную пользователями, пытающимися выполнить фильтрацию данных, не оставляя следов. Будь то пользователь, который пытается украсть данные, пользователь с более высоким уровнем доступа, чем необходимо, или пользователь, который случайно запустил отчет, мониторинг доступа к отчету поможет вам обнаружить любые дополнительные пробелы в безопасности или возможности обучения.

Следите за созданием и деактивацией

Создание и деактивация пользователей является частью управления пользователями. Организации могут отслеживать деактивацию - что, если не выполнено должным образом после ухода сотрудника из организации, может привести к тому, что неактивный пользователь получит доступ к конфиденциальным данным или внешний злоумышленник получит свои все еще активные учетные данные. Для этого и других облачных приложений проблема безопасности также может возникнуть, когда человек с правами администратора создает «оболочку» или фальшивого пользователя, под которым он может красть данные. После этого они могут деактивировать пользователя, чтобы скрыть свои треки.

Мониторинг создания пользователей - это дополнительный шаг, который могут предпринять группы безопасности, чтобы следить за любыми потенциальными внутренними угрозами. И, отслеживая, когда пользователи деактивированы, вы можете запустить отчет о деактивированных пользователях в течение определенного периода времени и соотнести их с вашими бывшими сотрудниками (или подрядчиками), чтобы обеспечить надлежащее удаление. Мониторинг для создания и / или деактивации пользователей также требуется правилами, такими как SOX, и структурами, такими как ISO 27001.

Проверьте изменения в профилях и разрешениях

То, что пользователь может и не может делать в облачных приложениях, регулируется профилями и разрешениями. Например, в Salesforce каждый пользователь имеет один профиль, но может иметь несколько наборов разрешений. Они обычно объединяются с использованием профилей для предоставления минимальных разрешений и настроек доступа для определенной группы пользователей, а затем наборов разрешений для предоставления дополнительных разрешений отдельным пользователям по мере необходимости. Профили управления объектом, полем, приложением и правами доступа пользователя; настройки вкладок; Доступ к классам Apex и Visualforce; макеты страниц; типы записей; часы входа и IP-адреса.

Уровень разрешений зависит от организации. Некоторые дают всем пользователям дополнительные разрешения; другие предоставляют только те разрешения, которые необходимы для конкретных рабочих ролей и обязанностей этого пользователя. Но, например, при наличии более 170 разрешений в Salesforce - и сотнях или тысячах пользователей - может быть трудно понять весь спектр возможностей, которые ваши пользователи могут выполнять в Salesforce.

Контролировать эти данные

Цифровая трансформация принесла большую свободу и производительность, позволяя сотрудникам работать из любого места в любое время. Облачные бизнес-приложения стали нормой, данные передаются туда и обратно по бесчисленному количеству конечных точек, связанных с сотрудниками с разным уровнем ответственности.

Чтобы контролировать всю эту деятельность, многие компании сегодня отслеживают взаимодействие пользователей с облачными приложениями и данными. Это обеспечивает большую прозрачность, что помогает как вашей организации, так и вашим клиентам быть более уверенными в том, что приняты меры безопасности для защиты данных.

К списку публикаций