Mặc dù nhân viên, nhà thầu và các quy trình làm việc tự động liên tục gửi tệp tin lên hệ thống lưu trữ đám mây của doanh nghiệp, nhưng rất ít tệp tin được kiểm tra bảo mật theo thời gian thực.
Có thể đã có các chính sách quét theo lịch trình được áp dụng, nhưng điều này dẫn đến việc các tệp độc hại có thể tồn tại trong một S3 bucket hoặc thư viện SharePoint trong nhiều ngày hoặc nhiều tuần trước khi bị phát hiện. Trong khoảng thời gian đó, các tệp này có thể đã bị truy cập, chia sẻ hoặc xử lý bởi các hệ thống ở giai đoạn sau.
Ngoài nguy cơ tiềm ẩn, các cuộc quét theo lịch trình truyền thống có thể dẫn đến vi phạm các quy định tuân thủ, bởi các khung tiêu chuẩn an ninh thông tin toàn cầu như PCI DSS phiên bản 4.0 yêu cầu các tổ chức phải thiết lập tần suất quét dựa trên Phân tích Rủi ro Mục tiêu (TRA), được rà soát và cập nhật khi có những thay đổi đáng kể hoặc theo một chu kỳ định kỳ đã được xác định.
Đối với nhiều đội ngũ an ninh, điều đó có nghĩa là phải thực hiện quét toàn bộ hệ thống định kỳ: mọi tệp tin, mọi thư mục, cứ sau 60 ngày. Điều này rất tốn công, tốn kém và ngày càng khó quản lý trên quy mô hàng petabyte.
Có một cách tốt hơn.
Tính năng quét dựa trên sự kiện, quét danh tính và các quy trình quét linh hoạtMetaDefender ™ giúp các tổ chức duy trì khả năng bảo vệ theo thời gian thực, giảm thiểu việc quét trùng lặp và tạo ra loại nhật ký kiểm toán theo từng người dùng mà các kiểm toán viên mong muốn.
Tại sao Cloud cần nhiều hơn chỉ các lần quét theo lịch trình
Các tác vụ quét toàn bộ kho dữ liệu theo lịch trình được thiết kế cho một bối cảnh mà lưu trữ đám mây chỉ là nơi lưu trữ dự phòng, chứ không phải là nền tảng hợp tác chính. Bối cảnh đó đã không còn tồn tại.
Ngày nay, một tổ chức tài chính có thể lưu trữ tới 50 triệu tệp trong một bucket S3 duy nhất. Một tổ chức y tế có thể sử dụng SharePoint Online làm kho lưu trữ tài liệu cho hàng nghìn nhân viên y tế.
Việc quét phần mềm độc hại toàn diện trên toàn bộ hệ thống mỗi 30 hoặc 60 ngày sẽ tiêu tốn một lượng lớn thời gian xử lý, tạo ra API khổng lồ và thường chỉ hoàn tất khi mối đe dọa đã lây lan sang các hệ thống khác.
Hơn nữa, còn có một vấn đề về cơ chế:việc quét định kỳ chỉ là một "bức ảnh chụp nhanh", chứ không phải là một chẩn đoán toàn diện. Mặc dù nó cho thấy hệ thống đã sạch sẽ vào một thời điểm cụ thể, nhưng nó không thể cung cấp bất kỳ thông tin nào về các tệp đã được tải lên sau khi lần quét cuối cùng hoàn tất. Và đến khi bạn thực hiện lần quét tiếp theo, có thể đã quá muộn.
Nói một cách thực tế, nếu các lần quét theo lịch trình tiêu tốn quá nhiều tài nguyên máy tính, cung cấp thông tin không đầy đủ và có nguy cơ dẫn đến việc không tuân thủ, thì giải pháp hợp lý tiếp theo chính là bảo vệ thời gian thực đối với dữ liệu lưu trữ trên đám mây. Việc kết hợp cơ chế kích hoạt dựa trên sự kiện và quét dựa trên nhận diện người dùng sẽ thay đổi cách thức tuân thủ được thực hiện trên thực tế.
Bảo vệ các tệp mới bằng tính năng quét dựa trên sự kiện thông qua MetaDefender Storage Security
MetaDefender Storage Security quét dựa trên sự kiện, chuyển đổi mô hình phát hiện từ "kiểm tra mọi thứ theo lịch trình" sang "quét ngay lập tức khi có thay đổi". Thay vì kiểm tra một bucket theo các khoảng thời gian cố định, tính năngRTP (Xử lý Thời gian Thực) của nósẽ theo dõi các sự kiện tệp trực tiếp từ nền tảng đám mây và xử lý các tệp mới hoặc đã được sửa đổi ngay khi chúng xuất hiện.
Đối với Amazon S3, tính năng quét dựa trên sự kiện được triển khai thông quaAWS EventBridge. Khi một tệp được tải lên một bucket được giám sát, EventBridge sẽ gửi thông báo đến webhookStorage Security, từ đó kích hoạt quá trình quét ngay lập tức, mà không có độ trễ của vòng lặp kiểm tra định kỳ. Mô hình dựa trên thông báo đẩy này tạo ra ít API hơn so với phương pháp kiểm tra định kỳ, giúp giảm cả thời gian phản hồi và chi phí vận hành khi triển khai trên quy mô lớn.
Đối với Azure Blob Storage,Storage Security Security đã giới thiệu tính năng tự động phát hiện thùng chứa; khi bạn kết nối một tài khoản lưu trữ, nền tảng sẽ tự động phát hiện tất cả các thùng chứa và áp dụng chính sách RTP nhất quán mà không cần cấu hình thủ công. Cơ chế xử lý dựa trên sự kiện tương tự cũng được hỗ trợ trên toàn bộ thư viện trình kết nối lưu trữ được hỗ trợ, bao gồm SharePoint Online, Microsoft Teams, NetApp, Box và các nền tảng khác.
Trongthực tế:
- Một tệp được tải lên bởi một người dùng bị xâm nhập vào lúc 2 giờ 47 phút sáng sẽ được quét; nếu phát hiện chứa mã độc, tệp đó sẽ được cách ly trước khi có thể được truy cập hoặc chia sẻ
- Các tệp mới được tải lên từ các đối tác bên ngoài sẽ ở trạng thái nguyên vẹn trước khi bất kỳ quy trình nội bộ nào xử lý chúng
- Khoảng thời gian từ khi tệp tin được nhận đến khi có kết quả kiểm tra bảo mật chỉ tính bằng giây, chứ không phải giờ hay ngày
Từ góc độ tuân thủ, việc quét dựa trên sự kiện tạo ra một bản ghiliên tục, có ghi thời gian cho từng tệp được đánh giá theo thời gian thực. Bản ghi này được hiển thị trong các báo cáo quét, có thể lọc theo đơn vị lưu trữ và khoảng thời gian, đồng thời hỗ trợ trực tiếp cho các yêu cầu kiểm toán.
Quét danh tính: Quét tệp dựa trên hoạt động, mức độ rủi ro và mức độ ưu tiên của người dùng
Một trong những tính năng quan trọng nhất về mặt vận hànhStorage Security tính năng quét danh tính, cho phép liên kết kết quả quét với danh tínhngười dùng cụ thể đã tải lên hoặc sửa đổi tệptin.
Điều này giúp chuyển hướng cuộc thảo luận về tuân thủ từ "chúng tôi đã quét kho lưu trữ" sang "chúng tôi biết chính xác người dùng nào đã tải lên từng tệp gây ra cảnh báo, thời điểm xảy ra và biện pháp xử lý đã được thực hiện."
Cách quét nhận dạng giúp giảm thiểu việc quét trùng lặp
Hãy xem xét phương pháp truyền thống: lên lịch quét toàn bộ hệ thống, quét mọi tệp tin bất kể lần quét gần nhất là khi nào hay ai đã tải lên, sau đó tạo báo cáo cho thấy mọi thứ đã được kiểm tra. Phương pháp này tiêu tốn nhiều tài nguyên, chậm chạp và không phân biệt được giữa một tệp tin đã sạch và không thay đổi trong 18 tháng với một tệp tin được tải lên hôm qua từ một tài khoản đã bị xâm nhập vào tuần trước.
Quét thông tin nhận dạng cho phép áp dụng một phương pháp thông minh hơn:
- Các tệp từ những người dùng hoặc tài khoản dịch vụ đã biết và đáng tin cậy, vốn đã được quét trong chu kỳ trước, có thể được xử lý với mức độ tin cậy cao hơn.
- Các tệp mới hoặc các tệp được sửa đổi bởi các tài khoản có rủi ro cao như tài khoản bên ngoài, thông tin đăng nhập của nhà thầu, người dùng vừa bị đánh dấu cảnh báo, v.v., có thể được ưu tiên xử lý hoặc quét lại ngay lập tức
- Báo cáo kiểm toán có thể hiển thị, theo từng tài khoản người dùng, những tệp nào đã được quét, vào thời điểm nào và kết quả ra sao; đây là định dạng hoàn toàn phù hợp với những yêu cầu mà các kiểm toán viên PCI DSS và chuyên gia đánh giá ISO 27001 tìm kiếm.
Kết quả là một cơ chế tuân thủ vừa vững chắc hơn vừa hiệu quả hơn. Thay vì quét đi quét lại cùng một tập tin tĩnh, bạn sẽ phản ứng với các sự kiện dựa trên ngữ cảnh: những gì đã thay đổi và do ai thực hiện.
Các quy trình làm việc theo yêu cầu, theo lịch trình và RTP: Lựa chọn phương pháp phù hợp cho từng tình huống
Storage Security ba chế độ quét, và các chương trình tuân thủ hiệu quả thường kết hợp sử dụng cả ba chế độ này.
Xử lý thời gian thực mang lại sự bảo vệ liên tục cho bộ nhớ đang hoạt động
Xử lý thời gian thực làcơ chế chính để phát hiện các mối đe dọa ngay khi chúng xuất hiện. Cơ chế này hoạt động dựa trên sự kiện, luôn hoạt động liên tục đối với các đơn vị lưu trữ được giám sát và được thiết kế để xử lý khối lượng và tốc độ của các luồng công việc tệp đám mây hiện đại.
Kể từ bản cập nhật MetaDefender Storage Security .4.1, các quản trị viên có thể sử dụng công cụ chọn ngày mới “Chọn tệp được sửa đổi kể từ” trong mô hình quét RTP để bao gồm các tệp được tạo trước thời điểm cấu hình RTP hiện tại. Điều này giúp nâng cao phạm vi tuân thủ đối với các tệp đã được tải lên trước đó, chẳng hạn như các tệp OneDrive vẫn giữ nguyên ngày “LastModified” ban đầu thay vì dấu thời gian tải lên.
Đối với chu kỳ tuân thủ 60 ngày, điều này có nghĩa là bạn có thể nhắm mục tiêu cụ thể vào các tệp đã được sửa đổi trong vòng 60 ngày qua mà không cần phải thực hiện quét toàn bộ kho lưu trữ từ đầu lịch sử lưu trữ.
Quét theo lịch trình phù hợp với tiến độ kiểm toán của bạn
Đối với các yêu cầu tuân thủ định kỳ (PCI DSS, HIPAA, SOC 2, chu kỳ kiểm toán nội bộ),Storage Security hỗ trợ tính năng lập lịch quét linh hoạt, có thể cấu hình chi tiết đến từng phút kể từphiên bản 4.3.0. Điều này cho phép các đội ngũ bảo mật xác định các khung thời gian quét chính xác phù hợp với các giai đoạn kiểm toán, thực hiện ngoài giờ làm việc để giảm thiểu tác động, và tạo ra các báo cáo có dấu thời gian tương ứng trực tiếp với giai đoạn tuân thủ đang được xem xét.
Có thể cấu hình các tác vụ quét theo lịch trình một cách hiệu quả. Thay vì quét lại toàn bộ hệ thống lưu trữ có dung lượng lên đến hàng petabyte, quá trình quét có thể được nhắm mục tiêu vào các bucket, container, thư viện tài liệu hoặc thư mục cụ thể, và khi tính năng quét danh tính được bật, có thể nhắm mục tiêu vào các tệp liên quan đến người dùng hoặc vai trò cụ thể.
Quét theo yêu cầu để khắc phục sự cố có mục tiêu và ứng phó sự cố
Quét theo yêu cầu được sử dụng trong các tình huống cụ thể: khi phát hiện sự cố an ninh và nhóm cần đánh giá ngay lập tức một đơn vị lưu trữ cụ thể; khi cuộc kiểm toán tuân thủ sắp diễn ra và một bucket cụ thể chưa được kiểm tra trong lần quét theo lịch trình gần nhất; hoặc khi một hệ thống lưu trữ mới vừa được tích hợp và cần được đánh giá toàn diện lần đầu tiên.
Storage Security đã bổ sung tính năng "Quét lại các tệp không qua kiểm tra", cho phép quản trị viên tạo các lần quét mới chỉ tập trung vào những tệp đã không qua kiểm tra trước đó, từ đó tránh được gánh nặng của việc quét lại toàn bộ hệ thống đồng thời khắc phục các lỗ hổng bảo mật cụ thể. Ngoài ra, người dùng có thể dừng các tác vụ quét đang chạy trực tiếp từ tab Báo cáo mà không cần chuyển sang các phần khác trong giao diện.
Tự động phát hiện và tích hợp vai trò IAM để loại bỏ các lỗ hổng do cấu hình thủ công
Một trong những rủi ro tuân thủ phổ biến nhất trong môi trường lưu trữ đám mây là việc lưu trữ không được giám sát. Ví dụ bao gồm một bucket hoặc container chưa bao giờ được kết nối với công cụ bảo mật, một đơn vị lưu trữ mới được cấp phát ngoài quy trình CNTT thông thường, hoặc một container được tạo tự động từ tích hợp của bên thứ ba.
Storage Security vấn đề này thông qua tính năng tự động phát hiện trên nhiều nhà cung cấp dịch vụ đám mây:
- Azure Blob Storage: Kết nối tài khoản lưu trữ và tất cả các thùng chứa sẽ được phát hiện và tự động thêm vào chính sách quét; không cần can thiệp thủ công
- SharePoint Online: Kết nối tài khoản của bạn và tất cả các trang web sẽ được tự động phát hiện ngay khi kết nối
- Alibaba Cloud với xác thực vai trò RAM (Quản lý truy cập tài nguyên) và AWS S3 với vai trò IAM (Quản lý danh tính và quyền truy cập),Storage Security thông tin đăng nhập có thời hạn ngắn và quyền hạn tối thiểu thay vì khóa truy cập tĩnh, từ đó giảm rủi ro lộ thông tin đăng nhập và đơn giản hóa việc xoay vòng thông tin đăng nhập
Đối với các tổ chức tuân thủ Yêu cầu 12.3.1 của PCI DSS (phân tích tần suất áp dụng các biện pháp kiểm soát an ninh dựa trên rủi ro) hoặc các biện pháp kiểm soát theo Phụ lục A của ISO 27001 dành cho môi trường đám mây, tính năng tự động phát hiện giúp giảm thiểu trực tiếp rủi ro về các lỗ hổng trong phạm vi bảo vệ – những lỗ hổng này nếu không có tính năng này sẽ không được phát hiện cho đến khi diễn ra cuộc kiểm toán hoặc xảy ra sự cố.
Tính năng tự động tạo tập lệnh Terraformcho cấu hình AWS EventBridge, có sẵn trên giao diệnStorage Security , giúp cho ngay cả việc thiết lập ban đầu cho việc xử lý dựa trên sự kiện cũng chỉ yêu cầu quyền truy cập tối thiểu và không cần đội ngũ bảo mật phải viết tập lệnh tùy chỉnh.
Storage Security: Giải pháp Chuyên biệt bảo vệ Cloud
Storage Security giải pháp OPSWAT nhằm phát hiện và ngăn chặn các mối đe dọa dựa trên tệp tin trong các môi trường lưu trữ tại chỗ, trên đám mây và kết hợp. Giải pháp này áp dụng nhiều công nghệ phòng ngừa theo trình tự lên từng tệp tin mà nó xử lý:
- Công nghệ Metascan™Multiscanning sử dụngđồng thời hàng chục bộ máy quét chống phần mềm độc hại, giúp nâng cao tỷ lệ phát hiện các mối đe dọa đã biết và chưa biết mà không phụ thuộc vào các bản dấu vân tay của một nhà cung cấp duy nhất
- Công nghệ Deep CDR™ tái tạo các tệp thành phiên bản an toàn và tương đương về chức năng bằng cách loại bỏ nội dung hoạt động có khả năng gây hại — hiệu quả chống lại các mối đe dọa lách qua hệ thống phát hiện dựa trên chữ ký
- Proactive DLP™ kiểm tra và che giấu dữ liệu nhạy cảm trong các tệp tin; số thẻ thanh toán, thông tin nhận dạng cá nhân (PII), hồ sơ y tế trước khi chúng được lưu trữ, hỗ trợ cả an ninh dữ liệu và các nghĩa vụ tuân thủ
- File-Based Vulnerability Assessment xác định các lỗ hổng đã biết trong các tệp như trình cài đặt và gói phần mềm trước khi chúng được đưa vào môi trường
- Adaptive Sandbox cung cấp phân tích hành vi cho các tệp đáng ngờ cần được kiểm tra kỹ lưỡng hơn
Tất cả những tính năng này đều được hỗ trợ bởi một thư viện kết nối đa dạng, bao gồm Amazon S3, Azure Blob Storage, SharePoint Online, Microsoft Teams, OneDrive, Google Cloud , NetApp, Dell EMC Isilon, Box, Scality RING và nhiều dịch vụ khác, với các tích hợp mới được bổ sung trong mỗi bản phát hành.
Đối với các nhóm tập trung vào tuân thủ,Storage Security báo cáo quét tập trung, xác định danh tính theo từng người dùng, nhật ký kiểm toán có dấu thời gian và các hành động khắc phục có thể tùy chỉnh (cho phép, chặn, xóa, di chuyển, làm sạch); tất cả đều đáp ứng các yêu cầu tài liệu của PCI DSS v4.0.1, HIPAA, ISO 27001 và SOC 2.
Nền tảng này có thể được triển khai tại chỗ hoặc dưới dạng MetaDefender Storage Security Cloud. Phiên bản sau đã bổ sung hỗ trợ đa người dùng cho các tổ chức quản lý nhiều đơn vị kinh doanh hoặc môi trường khách hàng trong cùng một triển khai.
Từ quét phản ứng sangStorage Security Cloud chủ động
Các yêu cầu về tuân thủ ngày càng trở nên khắt khe hơn, bởi các kiểm toán viên không còn chấp nhận chỉ bằng chứng cho thấy bạn đã thực hiện quét hệ thống. Họ muốn thấy phạm vi bảo vệ liên tục, việc xác định nguồn gốc của các tệp tin, cùng với một chính sách rõ ràng về cách xử lý các tệp tin mới ngay khi chúng xâm nhập vào môi trường của bạn.
- Quét dựa trên sự kiện giải quyết vấn đề về tần suất và thời điểm.
- Việc quét thông tin nhận dạng giúp giải quyết vấn đề về trách nhiệm giải trình.
- Các quy trình làm việc linh hoạt theo lịch trình và theo yêu cầu giúp giải quyết vấn đề liên quan đến việc lập hồ sơ tuân thủ định kỳ. Tính năng tự động phát hiện giúp giải quyết vấn đề về phạm vi bao phủ.
Storage Security các tính năng này vào một nền tảng được thiết kế riêng để đáp ứng quy mô, độ phức tạp và các yêu cầu tuân thủ của các môi trường lưu trữ đám mây doanh nghiệp.
Cho dù ưu tiên của bạn là phát hiện mối đe dọa theo thời gian thực, đáp ứng yêu cầu kiểm toán trong vòng 60 ngày, hay chứng minh rằng mọi tệp tin trong kho lưu trữ được quản lý đều đã được một người dùng cụ thể quét, nền tảng này đều hỗ trợ bạn.
