趋势与观点 | 最佳实践:可审计的安全控制

Varun Prasad, CISA, CISM, CIPM, PMP, CCSK, BDO的云安全和隐私保证专业人士,最近接受了@ISACA时事通讯的采访,分享了他对可审计安全控制、漏洞管理、解决云中安全错误配置等方面的见解。以下是我们对Varun的问答采访记录:

为什么对于早期阶段的公司或所有组织来说,了解并按照安全标准/框架的要求实施控制措施至关重要?

当今世界充斥着无数的安全威胁和长期数据泄露风险,几乎每一家公司——初创公司、正在扩大规模的早期公司,甚至大型组织——都会面临一个关键时刻,也就是接受独立的外部审计,从而获得SOC 2认证报告或ISO 27001证书,以证明其产品的数字信任和可靠的安全控制系统。当公司希望与企业客户开展业务或向风险投资公司推销时,他们会被问及安全证书,这往往会使他们没有那么多时间准备环境审计。工程团队在构建平台时,将关键安全控制作为系统设计的一部分,这一点非常重要。这些控制措施的持续有效实施不仅有助于改善平台的网络安全态势,还有助于满足各种合规标准的要求。

哪一个控制领域是大多数安全审计的首要重点,应该如何解决?

强大的身份和访问管理(IAM)流程和实践是建立强大安全态势的关键。此外,由于访问管理相关问题通常被认为是网络安全事件的首要原因之一,因此这一控制领域是许多安全审计的重点。建议实施集中的IAM工具来治理和管理对各种应用程序组件的访问,包括支持工具和实用程序,而不是单独授予对不同的单个系统的访问权限。需要注意的是,拥有集中的IAM体系结构不仅有助于简化管理、简化访问控制和始终如一地应用策略,而且还简化了证据收集,提高了审计效率。

始终建议对访问应用程序及其适用的基础云设施实施多因素身份验证(MFA),并遵循最小权限原则,采用精细的基于角色的访问控制(RBAC)——即仅向个人提供执行其任务所需的特定资源访问权限。必须全面且及时地进行用户访问需求的定期审查。这将涉及审查分配给每个用户的访问角色或权限是否适当。任何权限的更改或撤销都应立即记录并采取行动。

许多公司存储、经手或处理客户的数据。应该采取哪些关键控制措施来应对相关风险呢?

除了围绕访问管理和网络安全的典型控制以减少攻击面的方式保护数据库外,对静止和传输中的数据进行加密也很重要(除非基于数据类型的数据分类无加密的必要)。团队应确定云基础设施中可以存储数据的所有数据存储,包括为客户/用户分析收集的数据、可观察性数据和备份,并验证所有这些数据存储是否已开启加密。某些基于云的公共数据库默认不加密数据,必须手动开启(由云服务提供商承担费用)。此外,只有经批准的TLS版本和来自经批准的证书颁发机构的数字证书才能用于加密传输中的数据。在最初的系统设计过程中应考虑加密要求,因为以后实施起来会很复杂。

随着隐私法规的广泛普及,公司开始遵循数据隐私最佳实践,如数据最小化和遗忘权,这是件好事。在不再需要客户数据或客户要求时,应制定一个流程,以识别并删除所有数据存储中的客户数据。

围绕漏洞管理应采取何种措施,存在很多困惑。那么,最佳实践有哪些呢?

一种常见的误解是,漏洞管理是云服务提供商的责任,用户不必做任何事情。但云安全是一项共同的责任,使用公共云服务的公司有责任维护和监控云中托管的基础设施和数据的安全。实施全面的漏洞管理计划至关重要。这涉及到频繁扫描部署在云中的所有资产。通常,公司使用市场上众多第三方漏洞管理服务或工具中的一种来扫描其云基础设施,并提供具有可操作见解的报告。

定期运行这些漏洞扫描只是整体中的一部分。另一个也是更重要的部分是审查扫描报告,评估每个已识别漏洞适用于其环境的风险,并适当补救风险。从审计的角度来看,需要有明确的证据表明补救过程已经到位,并在每次扫描后遵循。建议在问题跟踪工具中跟踪每个已识别的漏洞,记录处理情况并跟踪直至解决。

最佳实践是至少每年聘请一家独立的第三方提供商对云环境进行渗透测试。这有助于向高级管理层和外部利益相关者提供强有力的安全态势的信心。

鉴于安全配置错误是云安全的首要风险之一,应该采取哪些预防措施?

在云中构建基础设施最有效、最具风险意识的方法是使用“基础设施即代码”技术自动创建必要的基础设施。这有助于减少人为错误,缩短部署时间,并以一致的方式应用所需的安全设置。云中的所有资源都必须遵守最低安全基线,该基线包括一组标准的安全配置。公司可以使用公认的标准——CIS基准——来构建这些基线配置。必须创建基础设施定义文件以包括这些基线配置,以确保云基础设施在一开始就具有必要的安全控制。

虽然变更管理本身是一个庞大而复杂的主题,需要单独进行审查,但出于本讨论的目的,需要注意的是,对云基础设施的所有变更都必须在部署之前得到正式批准(并记录在案)。当基础架构作为源代码存储库中的代码进行维护时,可以将版本控制软件配置为在将对代码的更改合并到主分支之前需要至少一次额外的批准。

您还有什么想法想和大家分享吗?

许多这样的安全实践可能已经被企业遵循,但常常发现它们并不完整或不足以帮助企业顺利通过审计。关键在于记录每一项活动,最好是让这一做法深深植根于公司的文化之中。虽然我们在这里讨论的内容绝非详尽无遗,但它确实能帮助企业在展现强大安全性和合规性姿态方面迈出坚实的步伐,从而满足利益相关者的要求并提升数字信任度。

编者按:本文于2024年3月18日首次发表于ISACA官网News and Trends/Newsletter/@isaca。文章内容仅代表作者本人观点。

翻译:杨皓然(AdySec),CISSP,CISM,CISA,CDPSE,CRISC,CGEIT,PMP,CCSK,CZTP,CDSP,CCSSP,RHCA,CCNP,ISO27001 Auditor,ISACA微信公众号特邀通讯员,CSA高级会员,ISC2北京分会会员,致力于云安全、零信任、数据安全、安全运营等方向

校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC,ISACA微信公众号特邀通讯员,华侨银行信息安全和数字化风险经理。