Sebbene dipendenti, collaboratori esterni e flussi di lavoro automatizzati inviano costantemente file all'archivio cloud aziendale, pochi di essi vengono sottoposti a controlli di sicurezza in tempo reale.
È possibile che siano in vigore politiche di scansione programmata, ma ciò comporta che i file dannosi rimangano in un bucket S3 o in una libreria SharePoint per giorni o settimane prima di essere individuati. Nel frattempo, potrebbero già essere stati consultati, condivisi o elaborati da sistemi a valle.
Oltre al potenziale rischio, le scansioni pianificate tradizionali possono comportare violazioni della conformità, poiché i quadri normativi globali in materia di sicurezza delle informazioni, come lo standard PCI DSS v4.0, richiedono alle organizzazioni di stabilire una cadenza delle scansioni basata su un'analisi mirata dei rischi (TRA), che viene rivista e aggiornata in caso di cambiamenti significativi o a intervalli periodici prestabiliti.
Per molti team di sicurezza, ciò comporta una scansione completa e ricorrente dell'intero archivio: ogni file, ogni cartella, ogni 60 giorni. È un'operazione estenuante, costosa e sempre più difficile da gestire su una scala dell'ordine dei petabyte.
C'è un modo migliore.
La scansione basata sugli eventi, la scansione delle identità e i flussi di lavoro di scansione flessibiliMetaDefender consentono alle organizzazioni di garantire una protezione in tempo reale, ridurre le scansioni ridondanti e generare il tipo di tracciato di controllo per singolo utente che i revisori desiderano vedere.
Perché Cloud richiede più di semplici scansioni programmate
Le scansioni periodiche dell'intero bucket sono state concepite per un'epoca in cui l'archiviazione su cloud era una destinazione di backup, non una piattaforma di collaborazione primaria. Quell'epoca non esiste più.
Oggi, un istituto finanziario potrebbe avere 50 milioni di file in un unico bucket S3. Un'organizzazione sanitaria potrebbe utilizzare SharePoint Online come archivio di documenti per migliaia di medici.
Una scansione completa alla ricerca di malware su tutta l'infrastruttura ogni 30 o 60 giorni richiede un notevole tempo di elaborazione, genera API enorme e spesso si conclude quando la minaccia si è già diffusa lateralmente.
Inoltre, c'è un problema di fondo:la scansione periodica è un'istantanea, non una diagnosi completa. Sebbene mostri cosa era pulito in un determinato momento, non fornisce alcuna informazione sui file caricati dopo il completamento dell'ultima scansione. E quando si esegue la scansione successiva, potrebbe essere già troppo tardi.
A ben vedere, se le scansioni programmate consumano troppa potenza di calcolo, forniscono un quadro incompleto e rischiano di comportare una mancata conformità, la soluzione logica successiva è la protezione in tempo reale dei dati archiviati nel cloud. La combinazione di attivazioni basate sugli eventi e scansioni sensibili all'identità cambia il modo in cui la conformità si concretizza nella pratica.
Protezione dei nuovi file tramite la scansione basata sugli eventi con MetaDefender Storage Security
MetaDefender Storage Security scansioni basate sugli eventi, trasformando il modello di rilevamento da "controllo periodico di tutti i dati" a "scansione immediata in caso di modifiche". Anziché eseguire il polling di un bucket a intervalli fissi,la sua funzionalità RTP (Real Time Processing)rileva gli eventi relativi ai file direttamente dalla piattaforma cloud ed elabora i file nuovi o modificati non appena vengono ricevuti.
Per Amazon S3, la scansione basata sugli eventi viene implementatatramite AWS EventBridge. Quando un file viene caricato in un bucket monitorato, EventBridge invia una notifica al webhookStorage Security, che avvia immediatamente la scansione, senza la latenza di un ciclo di polling. Questo modello basato su push genera un numero inferiore API rispetto al polling, riducendo sia i tempi di risposta che i costi operativi su larga scala.
Per Azure Blob Storage,Storage Security Security ha introdotto il rilevamento automatico dei contenitori; quando si collega un account di archiviazione, la piattaforma rileva automaticamente tutti i contenitori, applicando una politica RTP coerente senza necessità di configurazione manuale. Una gestione simile basata sugli eventi è disponibile in tutta la libreria dei connettori di archiviazione supportati, tra cui SharePoint Online, Microsoft Teams, NetApp, Box e altri.
Inpratica:
- Un file caricato da un utente compromesso alle 2:47 del mattino viene sottoposto a scansione e, se dannoso, messo in quarantena prima che sia possibile accedervi o condividerlo
- I nuovi file caricati dai partner esterni vengono inseriti in uno stato "pulito" prima che qualsiasi processo interno li modifichi
- Il tempo che intercorre tra l'arrivo di un file e la valutazione della sua sicurezza si misura in secondi, non in ore o giorni
Dal punto di vista della conformità, la scansione basata sugli eventi genera una registrazionecontinua e contrassegnata da data e ora di ogni file valutato in tempo reale. Tale registrazione è disponibile nei rapporti di scansione, è filtrabile per unità di archiviazione e intervallo di date e supporta direttamente le richieste di audit.
Analisi delle identità: scansione dei file in base all'attività dell'utente, al rischio e alla priorità
Una delle funzionalità più rilevanti dal punto di vista operativoStorage Security la scansione delle identità, ovvero la possibilità di associare i risultati della scansione all'identitàspecifica dell'utente che ha caricato o modificato unfile.
Questo sposta il focus della discussione sulla conformità da "abbiamo analizzato il bucket" a "sappiamo quale utente ha caricato ogni file che ha attivato un rilevamento, quando è successo e quale azione è stata intrapresa".
In che modo la scansione delle identità riduce le scansioni superflue
Si consideri l'approccio tradizionale: pianificare una scansione completa dell'archivio, scansionare ogni file indipendentemente da quando è stato scansionato l'ultima volta o da chi lo ha caricato, generare un rapporto che attesti che tutto è stato controllato. Si tratta di un processo che richiede molte risorse, è lento e non distingue tra un file che risulta pulito e immutato da 18 mesi e un file caricato ieri da un account che è stato compromesso la settimana scorsa.
La scansione delle identità consente un approccio più intelligente:
- I file provenienti da utenti noti e affidabili o da account di servizio che sono stati sottoposti a scansione durante il ciclo precedente possono essere considerati più affidabili.
- I file nuovi o quelli modificati da identità ad alto rischio, come account esterni, credenziali di collaboratori esterni, utenti segnalati di recente ecc., possono essere considerati prioritari o sottoposti a una nuova scansione immediata
- I rapporti di audit possono indicare, per ogni identità utente, quali file sono stati sottoposti a scansione, quando e con quale esito; un formato che corrisponde esattamente a ciò che cercano i revisori PCI DSS e i valutatori ISO 27001.
Il risultato è un approccio alla conformità più solido ed efficiente. Anziché eseguire ripetutamente la scansione degli stessi file statici, si reagisce a eventi contestuali: cosa è stato modificato e da chi.
Flussi di lavoro on-demand, programmati e RTP: scegliere l'approccio giusto per ogni scenario
Storage Security tre modalità di scansione e i programmi di conformità efficaci solitamente le utilizzano tutte e tre in combinazione.
L'elaborazione in tempo reale garantisce una protezione continua per lo storage attivo
L'elaborazione in tempo reale èil meccanismo principale per individuare le minacce non appena si presentano. È basata sugli eventi, sempre attiva per le unità di archiviazione monitorate ed è progettata per gestire il volume e la velocità dei moderni flussi di lavoro dei file nel cloud.
A partire dall'aggiornamentoStorage Security .4.1 MetaDefender Storage Security , gli amministratori possono utilizzare il nuovo selettore di date "Seleziona file modificati a partire dal" nel modello di scansione RTP per includere i file precedenti alla configurazione RTP corrente. Ciò migliora la copertura di conformità per i file caricati in precedenza, come i file di OneDrive che mantengono la data di ultima modifica originale anziché il timestamp di caricamento.
Per i cicli di conformità di 60 giorni, ciò significa che è possibile selezionare in modo esplicito i file modificati negli ultimi 60 giorni, senza attivare una scansione completa del bucket a partire dall'inizio della cronologia di archiviazione.
Scansioni programmate in linea con il calendario delle verifiche
Per soddisfare i requisiti di conformità periodici (PCI DSS, HIPAA, SOC 2, cicli di audit interni),Storage Security una pianificazione flessibile delle scansioni, configurabile con precisione al minuto a partiredalla versione 4.3.0. Ciò consente ai team di sicurezza di definire finestre di scansione precise in linea con i periodi di audit, eseguire le operazioni al di fuori dell'orario di lavoro per ridurre al minimo l'impatto e generare report con indicazione dell'ora che corrispondono direttamente al periodo di conformità oggetto di revisione.
È possibile configurare in modo efficiente le scansioni pianificate . Anziché eseguire una nuova scansione dell'intero archivio di dati, che può raggiungere l'ordine dei petabyte, è possibile limitare la scansione a bucket, contenitori, raccolte di documenti o cartelle specifici e, se è abilitata la scansione delle identità, ai file associati a utenti o ruoli specifici.
Scansione su richiesta per la risoluzione mirata dei problemi e la risposta agli incidenti
La scansione su richiesta viene utilizzata in casi specifici: è stato individuato un incidente di sicurezza e il team deve valutare immediatamente un'unità di archiviazione specifica; è imminente un audit di conformità e un determinato bucket non è stato incluso nell'ultima esecuzione pianificata; oppure è stata appena collegata una nuova integrazione di archiviazione che richiede una valutazione completa iniziale.
Storage Security ha aggiunto la funzione "Riprocess Failed Files", che consente agli amministratori di creare nuove scansioni che coprono solo i file che in precedenza non sono stati analizzati correttamente, evitando così il sovraccarico di una nuova scansione completa e colmando al contempo specifiche lacune di copertura. È inoltre possibile interrompere le scansioni in corso direttamente dalla scheda "Report", senza dover navigare in altre sezioni dell'interfaccia.
Rilevamento automatico e integrazione dei ruoli IAM per eliminare le lacune nella configurazione manuale
Uno dei rischi di conformità più comuni negli ambienti di archiviazione cloud è rappresentato dall'archiviazione non monitorata. Tra gli esempi figurano un bucket o un contenitore che non è mai stato collegato a uno strumento di sicurezza, una nuova unità di archiviazione fornita al di fuori dei normali processi IT, oppure un contenitore generato automaticamente da un'integrazione di terze parti.
Storage Security questo problema grazie al rilevamento automatico su più fornitori di servizi cloud:
- Azure Blob Storage: Collega un account di archiviazione e tutti i contenitori vengono individuati e aggiunti automaticamente alla politica di scansione; non è richiesto alcun intervento manuale
- SharePoint Online: collega il tuo tenant e tutti i siti verranno rilevati automaticamente al momento della connessione
- Alibaba Cloud con l'autenticazione tramite ruolo RAM (Resource Access Management) e AWS S3 con il ruolo IAM (Identity and Access Management),Storage Security autenticarsi utilizzando credenziali a breve durata e con privilegi minimi anziché chiavi di accesso statiche, riducendo il rischio di esposizione delle credenziali e semplificandone la rotazione
Per le organizzazioni che operano in conformità al requisito 12.3.1 dello standard PCI DSS (analisi basata sul rischio della frequenza dei controlli di sicurezza) o ai controlli dell'Allegato A della norma ISO 27001 per gli ambienti cloud, il rilevamento automatico riduce direttamente il rischio di lacune nella copertura che altrimenti rimarrebbero inosservate fino al momento di un audit o di un incidente.
La generazione automatica di script Terraformper la configurazione di AWS EventBridge, disponibile dall'interfacciaStorage Security , fa sì che anche la configurazione iniziale della gestione basata sugli eventi richieda autorizzazioni minime e non necessiti di script personalizzati da parte del team di sicurezza.
Storage Security: progettato appositamente per la protezione Cloud
Storage Security la soluzione OPSWAT per il rilevamento e la prevenzione delle minacce basate sui file in ambienti di archiviazione on-premise, cloud e ibridi. Applica in sequenza diverse tecnologie di prevenzione a ciascun file che elabora:
- Metascan™Multiscanning utilizzacontemporaneamente decine di motori anti-malware, aumentando i tassi di rilevamento delle minacce note e sconosciute senza fare affidamento sulle firme di un unico fornitore
- Tecnologia Deep CDR™ ricostruisce i file in una versione sicura e funzionalmente equivalente rimuovendo i contenuti attivi potenzialmente dannosi — efficace contro le minacce che eludono il rilevamento basato sulle firme
- Proactive DLP™ ispeziona e maschera i file alla ricerca di dati sensibili, quali numeri di carte di pagamento, PII (informazioni di identificazione personale) e cartelle cliniche, prima che vengano archiviati, garantendo sia la sicurezza dei dati che il rispetto degli obblighi di conformità
- File-Based Vulnerability Assessment identifica le vulnerabilità note presenti in file quali programmi di installazione e pacchetti prima che entrino nell'ambiente
- Adaptive Sandbox fornisce un'analisi comportamentale dei file sospetti che richiedono un'ispezione più approfondita
Il tutto si basa su un'ampia libreria di connettori che include Amazon S3, Azure Blob Storage, SharePoint Online, Microsoft Teams, OneDrive, Google Cloud , NetApp, Dell EMC Isilon, Box, Scality RING e altri, con nuove integrazioni aggiunte ad ogni versione.
Per i team che si occupano di conformità,Storage Security report di scansione centralizzati, attribuzione dell'identità per singolo utente, registri di audit con data e ora e azioni correttive configurabili (consenti, blocca, elimina, sposta, pulisci); tutte caratteristiche che soddisfano i requisiti di documentazione previsti da PCI DSS v4.0.1, HIPAA, ISO 27001 e SOC 2.
La piattaforma è disponibile sia in versione on-premise che come MetaDefender Storage Security Cloud. Quest'ultima versione ha aggiunto il supporto multitenancy per le organizzazioni che gestiscono più unità aziendali o ambienti cliente all'interno di un'unica implementazione.
Dalla scansione reattiva allaStorage Security proattivaStorage Security Cloud
I requisiti di conformità sono diventati più rigorosi, poiché i revisori non si accontentano più della semplice prova che sia stata eseguita una scansione. Vogliono vedere una copertura continua, l'attribuzione delle identità e una politica chiara su come vengono gestiti i nuovi file nel momento stesso in cui entrano nel vostro ambiente.
- La scansione basata sugli eventi risponde alle questioni relative alla cadenza e alla tempistica.
- La verifica dell'identità risponde alla questione della responsabilità.
- I flussi di lavoro flessibili, sia pianificati che su richiesta, risolvono il problema della documentazione periodica di conformità. Il rilevamento automatico risolve il problema della copertura.
Storage Security queste funzionalità in un'unica piattaforma progettata appositamente per le dimensioni, la complessità e gli obblighi di conformità degli ambienti di archiviazione cloud aziendali.
Che la tua priorità sia individuare una minaccia in tempo reale, rispettare un periodo di revisione di 60 giorni o dimostrare che ogni file contenuto in un archivio soggetto a normative è stato analizzato da un utente specifico, la piattaforma ti supporta in ogni caso.
