A person at a computer in contact with many people securely.


gnews




Τεχνολογία


Ο αυτοματισμός που βασίζεται στην παρατηρησιμότητα είναι απαραίτητος για τη συμμόρφωση



By

Marizas Dimitris


Τα τελευταία χρόνια έχει υπάρξει μια αυξανόμενη κίνηση προς τους κανονισμούς για τη διασφάλιση της ασφάλειας και της υπευθυνότητας, καθώς οι οργανισμοί συνεχίζουν να επιδιώκουν την ταχεία τεχνολογική καινοτομία. Η ΕΕ έχει πρωτοστατήσει σε αυτές τις προσπάθειες με τον

, και πιο πρόσφατα με την οδηγία NIS2.

Το NIS2 είναι η πιο ολοκληρωμένη οδηγία της ΕΕ, αν όχι παγκοσμίως, για την ασφάλεια στον κυβερνοχώρο μέχρι σήμερα. Πρόκειται για μια εξέλιξη ενός κανονισμού που εισήχθη αρχικά το 2016 για την επιβολή αυστηρότερων απαιτήσεων για τη διαχείριση κινδύνου και την αναφορά περιστατικών στον κυβερνοχώρο για ένα ευρύτερο φάσμα τομέων και με πολύ αυστηρότερες κυρώσεις για μη συμμόρφωση. Το NIS2 πρόκειται να μεταφερθεί στην εθνική νομοθεσία έως τις 17 Οκτωβρίου 2024, και έτσι οι οργανισμοί έχουν στη διάθεσή τους λίγο περισσότερο από ένα χρόνο για να προετοιμαστούν. Όμως, καθώς οι τυπικές διαδικασίες συμμόρφωσης χρειάζονται περίπου 12 μήνες και πολλοί εξακολουθούν να παλεύουν με τόσο αυστηρές απαιτήσεις, δεν υπάρχει χρόνος για χάσιμο.

Μια τρομακτική πρόκληση

Οι κυβερνοεπιθέσεις γίνονται όλο και πιο διαδεδομένες. Καθώς η τεχνολογία που χρησιμοποιείται για την προώθηση της καινοτομίας γίνεται πιο έξυπνη και ισχυρή, το ίδιο κάνουν και οι μέθοδοι που υιοθετούν οι φορείς απειλών.

Το NIS2 στοχεύει να διασφαλίσει ότι οι οργανισμοί προστατεύονται καλύτερα από την αυξανόμενη πολυπλοκότητα και την κανονικότητα των κυβερνοεπιθέσεων. Ωστόσο, οι αυστηρές απαιτήσεις είναι τρομακτικές, ειδικά για τους τομείς και τους οργανισμούς που δεν είχαν προηγουμένως υποχρεωθεί να συμμορφωθούν με τόσο αυστηρούς κανονισμούς.

Για παράδειγμα, το NIS2 έχει πολύ αυστηρές προθεσμίες για την αναφορά περιστατικών κυβερνοασφάλειας. Οι οργανισμοί υποχρεούνται να εκδίδουν έγκαιρη προειδοποίηση για περιστατικό κυβερνοασφάλειας εντός 24 ωρών και λεπτομερέστερη ειδοποίηση εντός 72 ωρών. Αυτό πρέπει να περιλαμβάνει μια αρχική αξιολόγηση του συμβάντος, υποδεικνύοντας τη σοβαρότητά του, τον αντίκτυπό του και τους δείκτες συμβιβασμού. Μια τελική έκθεση πρέπει να υποβληθεί μετά από ένα μήνα, η οποία πρέπει να διασφαλίζει ότι μπορούν να αντληθούν διδάγματα από προηγούμενα περιστατικά.

Αυτές οι απαιτήσεις υπογραμμίζουν ότι

πλέον αρκετό για έναν οργανισμό να αποδεικνύει ότι μπορεί να ελεγχθεί όταν καλείται, αλλά ότι τα περιστατικά ασφαλείας μπορούν να διερευνηθούν και να αντιμετωπιστούν γρήγορα και αποτελεσματικά. Στην τρέχουσα κατάσταση της κυβερνοασφάλειας, αυτές οι προθεσμίες είναι σχεδόν αδύνατο να τηρηθούν εάν οι ομάδες ασφαλείας δεν διαθέτουν τα κατάλληλα εργαλεία.


Μπεν Τοντ

RVP EMEA Security Sales στη Dynatrace.

Οι άνθρωποι μόνοι τους δεν θα το κόψουν

Πολύ συχνά, όταν οι οργανισμοί αντιμετωπίζουν νέες απαιτήσεις ασφάλειας και συμμόρφωσης, η πρώτη τους αντίδραση είναι να ρίξουν περισσότερους ανθρώπους στο

. Αν και είναι σημαντικό να διαθέτετε τις κατάλληλες δεξιότητες για την επίτευξη και τη διατήρηση της συμμόρφωσης, αυτή δεν είναι μια μακροπρόθεσμη ή βιώσιμη λύση, καθώς απλά δεν υπάρχουν αρκετοί ειδικοί σε θέματα ασφάλειας για να προχωρήσουν. Το NIS2 θα επιδεινώσει περαιτέρω αυτήν την έλλειψη δεξιοτήτων λόγω του τεράστιου αριθμού των οργανισμών που επηρεάζονται. Εκείνοι που έχουν την οικονομική δυνατότητα να προσλάβουν μεγάλες ομάδες ασφαλείας θα αποκτήσουν όλα τα ταλέντα για να αντιμετωπίσουν τις απαιτήσεις, προτού τους δοθεί η ευκαιρία.

Η περίπλοκη φύση των περιβαλλόντων υπολογιστικού νέφους και των εγγενών πρακτικών παράδοσης στο cloud προσθέτουν άλλη μια πρόκληση στη συμμόρφωση με το NIS2, καθώς έχει αλλάξει δραματικά τον τρόπο με τον οποίο οι ομάδες ασφαλείας προσεγγίζουν την ασφάλεια στον κυβερνοχώρο. Η ανάπτυξη λογισμικού είναι πλέον συνεχής, με περισσότερες εκδόσεις και συντομότερους κύκλους δοκιμών για τις ομάδες ασφαλείας. Ως αποτέλεσμα, οι ομάδες είναι πιο πιθανό να χάσουν ευπάθειες. Η έρευνα διαπίστωσε ότι μόνο το 50% των CISO είναι απολύτως βέβαιοι ότι το λογισμικό τους έχει ελεγχθεί πλήρως για τρωτά σημεία προτού τεθεί σε λειτουργία στην παραγωγή.

Μια έξυπνη λύση

Για τη συμμόρφωση με τις απαιτήσεις του NIS2 και την ενεργοποίηση ισχυρών δυνατοτήτων ευπάθειας και διαχείρισης συμβάντων, είναι ζωτικής σημασίας η βελτιστοποίηση και η αυτοματοποίηση των διαδικασιών ανάλυσης και αναφοράς ασφαλείας. Είναι ανθρωπίνως αδύνατο να παρέχουμε το επίπεδο λεπτομέρειας και ακρίβειας σχετικά με περιστατικά ασφάλειας στον κυβερνοχώρο που απαιτεί το NIS2 στο καθορισμένο χρονικό πλαίσιο μέσω μη αυτόματων προσεγγίσεων. Οι οργανισμοί χρειάζονται δεδομένα σε πραγματικό χρόνο σχετικά με τη στάση ασφαλείας τους και την ορατότητα από άκρο σε άκρο στο υβριδικό περιβάλλον πολλαπλών νέφους τους.

Αυτό μπορεί να επιτευχθεί μόνο με τη σύγκλιση της ασφάλειας με τα δεδομένα παρατηρησιμότητας και την αυτοματοποίηση της ανάλυσης ευπάθειας χρόνου εκτέλεσης για να ξεκλειδωθούν οι πληροφορίες σχετικά με τη σοβαρότητα και τον αντίκτυπο των συμβάντων. Οπλισμένες με αυτές τις πληροφορίες, οι ομάδες μπορούν να αξιολογήσουν άμεσα τον επείγοντα χαρακτήρα οποιωνδήποτε τρωτών σημείων και να προσδιορίσουν ποια συστήματα έχουν επηρεαστεί κατά τη διάρκεια ενός συμβάντος – απαραίτητο για τις αναφορές έγκαιρης προειδοποίησης. Μπορούν επίσης να έχουν πρόσβαση σε πληροφορίες σχετικά με τον τρόπο αξιολόγησης και επίλυσης προβλημάτων, βοηθώντας τους να ενεργούν γρήγορα. Ωστόσο, για να συγκεντρωθούν αυτές οι πληροφορίες στο σύντομο χρονικό διάστημα που απαιτείται για τη συμμόρφωση με το NIS2, οι ομάδες ασφαλείας πρέπει να αυτοματοποιήσουν τη διαδικασία για την εξαγωγή αυτών των πληροφοριών και τη σύνταξη τους σε αναφορές και ειδοποιήσεις συμβάντων.

Υπερβαίνοντας τη συμμόρφωση

Οι οργανισμοί θα πρέπει επίσης να εξετάσουν πώς μπορούν να επεκτείνουν αυτές τις δυνατότητες ώστε να προχωρήσουν πέρα ​​από τη συμμόρφωση με το NIS2. Αυτό σημαίνει μετακίνηση προς τα αριστερά για να διασφαλιστεί ότι η ασφάλεια είναι ένα κρίσιμο στοιχείο στον κύκλο ζωής ανάπτυξης λογισμικού. Πολλοί οργανισμοί θα ισχυρίζονταν ότι ήδη μετακινούνται προς τα αριστερά, αλλά οι περισσότεροι το κάνουν χειροκίνητα και χωρίς ορατότητα από άκρο σε άκρο, γεγονός που περιορίζει τον αντίκτυπό του.

Για παράδειγμα, οι ομάδες ασφάλειας και ανάπτυξης πρέπει να συνεργαστούν για να διασφαλίσουν ότι το λογισμικό δεν προωθείται από τα πρώτα στάδια του αγωγού, εκτός εάν και οι δύο ομάδες είναι σίγουρες ότι είναι ασφαλές. Οι αυτοματοποιημένες πύλες ποιότητας και ασφάλειας είναι ένας πολύ καλός τρόπος για να αφαιρέσετε το χειροκίνητο κόπο που εμπλέκεται σε αυτή τη διαδικασία. Συνδυάζοντας αυτές τις δυνατότητες με δεδομένα παρατηρησιμότητας, τα τρωτά σημεία ή τα σφάλματα μπορούν να εντοπιστούν αυτόματα, ώστε οι προγραμματιστές να μπορούν να τα επιλύσουν πριν ο κώδικας μεταβεί στο επόμενο στάδιο παράδοσης.

Ήρθε η ώρα να δράσουμε

Η προθεσμία για το NIS2 πλησιάζει γρήγορα και με άνευ προηγουμένου απαιτήσεις, οι οργανισμοί δεν έχουν την πολυτέλεια να καθυστερήσουν να ανταποκριθούν. Οι ρυθμιστικές αρχές θα συνεχίσουν να γίνονται αυστηρότεροι για την ασφάλεια στον κυβερνοχώρο, επομένως τώρα είναι η ώρα για τους οργανισμούς να δράσουν διασφαλίζοντας ότι έχουν την ορατότητα που χρειάζονται για να παραμείνουν μπροστά από τις απαιτήσεις συμμόρφωσης.


Παραθέσαμε το καλύτερο λογισμικό διαχείρισης ενημερώσεων κώδικα


.


VIA:

TechRadar.com/


Παρόμοια άρθρα



Χιλιάδες θύματα χτυπήθηκαν σε επίθεση κατά της…




Η ταχύτερη «συσκευή αποθήκευσης» που μπορείτε να…




Οι αμερικανικές αεροδιαστημικές εταιρείες…




Πολλές μικρομεσαίες επιχειρήσεις πιστεύουν ότι…






Pro






Marizas Dimitris



79645 posts


10 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.