English
Français
Deutsch
中文
Русский
Einführung und ein bisschen Geschichte
Vor weiteren 20 bis 25 Jahren, als die IT-Sicherheit zu einem neuen Fachgebiet wurde, arbeitete die überwiegende Mehrheit der Menschen bereits in der IT-Infrastruktur oder im Netzwerk, und es waren diejenigen, die den Übergang zu Cyber-Operational-Rollen vollzogen haben.
Sobald das Internet über den rein akademischen Zustand hinausging und sich im Laufe seiner Entwicklung entwickelte, sind Sicherheitsvorkehrungen wie Hardware-Firewall-Software entstanden. Es ist häufiger geworden und etwas demokratisiert. Bei Bedarf wurden dem Netzwerkteam zusätzliche sicherheitsrelevante Aufgaben zugewiesen.
Nach und nach werden diese Aufgaben so wichtig und teuer, dass Unternehmen dedizierte Vollzeit-Sicherheitspositionen geschaffen haben.
Die Rollen wurden natürlich schlecht identifiziert, die gleichen Personen spielten mehrere parallel, zwischen der Überprüfung der Anwendungssicherheit, manchmal der Analyse von Code, dem Schreiben von Sicherheitsrichtlinien, der Durchführung von Intrusion Detection, der Überwachung und Analyse möglicher Schwachstellen und sogar Durchführung von Schulungen zur Sensibilisierung für Cybersicherheit für Teammitglieder.
Menschen, die diese Erfahrungen gemacht haben, haben sich „Allround“-Wissen über Cybersicherheit angeeignet. Dies war insbesondere in ihrem Arbeitskontext notwendig. Seitdem hat sich das Feld so sehr entwickelt, auch die Technologie hat sich weiterentwickelt und die meisten dieser Generalisten haben sich auf ein technisches Gebiet spezialisiert, das sie am meisten interessiert, oder im Gegenteil, sie haben sich in eine Führungsposition entwickelt. < /p>
Bei so vielen neuen Dingen, so vielen Entwicklungen, hat ein „Insider“ einfach keine Zeit, das historische Wissen von Generalisten nachzuholen. In den letzten zehn Jahren steht also jeder, der das Cyber-Gebiet betritt, vor der Wahl einer Spezialität.
Dies wurde möglich, als eine Vielzahl von Sicherheitsspezialisierungen auftauchten, die es neuen Leuten ermöglichten, diesen Beruf ihren Fähigkeiten und Interessen anzupassen. Mit jeder Spezialisierung kamen neue Positionen.
Die Hauptfunktionen drehen sich um die drei Hauptsäulen
- technische Abwehrmethoden,
- Sicherheitstests
- Reaktion auf Cyberangriffe
Spielt Cyber Matter eine Rolle?
Leider ist es in einigen Organisationen nicht ungewöhnlich, dass all diese Rollen bestenfalls einer einzigen Person zugewiesen werden: Computeringenieur“. Zu viele kleine Unternehmen werden gehackt. Mangelndes Wissen, veraltete Strukturen, Schwachstellen haben immer wieder großen Schaden angerichtet.
Erinnern Sie sich an Wanna Cry , den berühmten Ransomware-Angriff von 2017?
Unternehmen müssen nicht nur ihre eigenen Daten verlieren und gehackt werden, sondern auch alle von ihnen verarbeiteten Daten berücksichtigen, die andere Unternehmen oder Einzelpersonen gefährden könnten. Jedes Unternehmen sollte alle sensiblen oder persönlichen Daten, die es sammelt, verwendet oder offenlegt, genau beachten und dabei regionale oder internationale Vorschriften einhalten. Die Nichteinhaltung von Vorschriften kann große Auswirkungen auf das Image oder sogar die Existenz von Unternehmen haben.
Spezifische Fähigkeiten oder nur Standard-Computerkenntnisse
Aus Effizienzgesichtspunkten sind spezifische Fähigkeiten für Mitarbeiter, die Cyberschutzaspekte von Unternehmen verwalten, wirklich notwendig geworden. Sehr unterschiedliche Bedürfnisse …
- um die organisatorische Infrastruktur, die Arbeitsabläufe der Akteure zu verstehen,
- für allgemeine Cyberangriffe,
- Seien Sie am Vorabend von Techno und Bedrohungen,
- wissen, wie man eine Risikoanalyse durchführt, Kontrollen implementiert und Risiken kontrolliert, </ span>
- eine gesunde Skepsis haben und bei Bedrohungsanalysen alles hinterfragen,
- Ruhe bewahren unter Druck,
- kennen und wenden die Vorschriften an, wissen, wie man sich an spezifische lokale Vorschriften für verschiedene Kunden anpasst,
- wissen, wie man Programmteams und Unternehmensleitern Cyberrisiken erklärt und kommuniziert.
Riesiger Sprung
Die Cyberwelt schien gut etabliert zu sein, bis eine Sache diese Umgebung auf den Kopf stellen würde … es war die Elastic Compute Cloud – ein Service-Web, das sollte eine sichere, skalierbare und in der Cloud gehostete Rechenkapazität bereitstellen.
Für Entwickler gedacht, um den Zugriff auf Cloud-Computing-Ressourcen im gesamten Web zu erleichtern. Kaum vorstellbar, aber neue Dienste sind so schnell entstanden, dass Amazon im Jahr 2020 den Cloud-Markt auf 100 Milliarden und ein Drittel des Marktanteils anführte.
Alles (oder fast) wird zu einem Service: Hardware, Backend, Infrastruktur, Datenbanken aller Art, Video, Sicherheit und sogar Hacking. Alles ist eins … „aaS“…
Welche Trends gibt es heute
Die Migration in die Cloud wird sich in den kommenden Jahren zwangsläufig fortsetzen ….
Cloud im Vergleich zu herkömmlicher Infrastruktur trägt in der Regel dazu bei, das IT-Budget zu optimieren und die Benutzererfahrung zu verbessern, indem Skalierbarkeit und praktisch vereinfachter Zugriff auf Daten „überall, jederzeit und auf jedem Gerät“ bereitgestellt werden. Die Wahl zwischen Public, Hybrid oder Private Cloud hängt von der Sensibilität der Daten oder der Notwendigkeit ab, bestimmte Vorschriften einzuhalten.
In diesem Zusammenhang kann die Wahl des Cloud-Anbieters immer komplexer werden.
Unternehmen oder Einzelpersonen müssen die spezifischen Cloud-Sicherheitsanforderungen bewerten und die mit der Cloud verbundenen Risiken verstehen. Sie müssen dem Cloud-Sicherheitsmanagement besondere Aufmerksamkeit schenken, sie bewerten und verstehen, aber auch die wesentlichen Klauseln des Cloud-Vertrags, rechtliche Aspekte und die Einhaltung von Vorschriften kennen …
Durch den Einsatz von Virtualisierung erzielen immer mehr Unternehmen erhebliche Einsparungen bei den Kosten für die erforderliche Hardware. Eine virtuelle Umgebung kann jedoch nicht mit Lösungen abgesichert werden, die an traditionelle physische Umgebungen angepasst sind. Von einem Standard-Antivirus und einer Standard-Firewall müssen Unternehmen zu neuen Lösungen migrieren.
Um diesem Bedarf gerecht zu werden, haben Unternehmen und Cloud-Anbieter neue Funktionen implementiert, darunter WAN- und Netzwerksicherheitsdienste, Firewalls Generation (NGFW), Secure Web Gateways (SWG), Zero-Trust Network Access Profiles (ZTNA), Cloud Access Security Agents (CASB) und zuletzt Secure Access Service Edges (SASE) – eine aufkommende Strategie, die alle bisherigen Netzwerk- und Sicherheitsfunktionen mit WAN-Fähigkeiten kombiniert.
Und Must?
Obwohl Must noch ein junges Startup ist, waren Datenschutz und Sicherheit eines der Dinge, die wir sehr ernst nahmen ernst von Anfang an. Must verbessert ständig seine Cyber-Haltung.
Mustzzz hat strenge Richtlinien und Vertragsklauseln für den Datenzugriff eingeführt. Die Mitarbeiter von Mustzzz oder die Partner von Mustzzz haben möglicherweise Zugriff auf personenbezogene oder sensible Daten, Anwendungsschnittstellen, Datenbanken oder Quellcode usw. kann nur auf diese (einschließlich Daten, für die Mustzzz-Kunden die Datenverantwortlichen sind) im Rahmen des vorgesehenen Zwecks zugreifen, der streng an die technischen Bedürfnisse gebunden ist.
Der Zugriff wird überprüft und entzogen, sobald der Mitarbeiter (ob Festangestellter oder Dienstleister) seine Position wechselt oder verlässt.
Auch verpflichtende Schulungen für Mitarbeiter und Dienstleister zur Sensibilisierung für Sicherheitsvorkehrungen und die Einhaltung der regulatorischen Verpflichtungen der Verordnung 2016/679 (RGPD) wurden umgesetzt.
Must ist von der Leistungsfähigkeit neuer Technologien überzeugt. Aus diesem Grund haben wir uns entschieden, unsere Implementierungen auf einem französischen Cloud-Anbieter zu basieren, der es uns ermöglicht, Folgendes anzubieten:
- Anwendungs- und Datensicherheit unter Wahrung der Vertraulichkeit, Ihrer Privatsphäre und der Einhaltung von Vorschriften,
- Leistung und ein innovatives Benutzererlebnis,
- eine skalierbare Infrastruktur, die die Anforderungen virtueller Ausstellungen und KI-Algorithmen für die Forschung von Partnerunternehmen erfüllt,
- geeigneter Speicher mit weltweitem Zugriff…,
- Effizienter, hochwertiger Schutz vor Denial-of-Service-Angriffen (DDoS),
- Monatliche Verfügbarkeit von & gt; 99,999 % für Cloud-Instanzen,
- Monatliche Verfügbarkeitsrate & gt; 99,9 % für Objektspeicher-Container (Bilder / Videos),
- 100 % monatliche Datenausfallsicherheitsrate
Muss Cognix-Systeme für das Informationsmanagement und die Datenbankarchivierung (Backup) auswählen. Gemeinsam mit ihnen stellen wir die kontinuierliche Überwachung jeder der virtuellen Maschinen in der Infrastruktur sicher.
Es wurden nur wenige zusätzliche Partner ausgewählt, um unseren Kunden Reichweiteninhalte bereitzustellen:
- CometChat, verantwortlich für die Verarbeitung und Archivierung von Audiodaten, Videochats und Anrufen, die innerhalb der Instant Messaging-Funktion verwendet werden. >
- Eyeson GmbH – für Audio-/Videokonferenzdienste und Archivierung von Konferenzvideos
- Dacast, LLC. – zum Streamen von Meetings und Konferenzen
Um nur einige der vorhandenen Sicherheitskontrollen zu nennen, unter vielen anderen: </ span> </ span>
- Muss eine öffentliche Cloud-Infrastruktur mit der Einrichtung eines privaten Netzwerks verwenden, das durch Lastausgleichsserver geschützt ist und den Zugriff auf das interne private Netzwerk beschränkt. Der gesamte Datenverkehr zur und von der Plattform unterliegt einer ständigen Kontrolle, indem nur legitime Datenflüsse zugelassen werden.
- Die gesamte interne und externe Kommunikation wird verschlüsselt. Alle mit unseren Partnern ausgetauschten Daten werden ebenfalls mit starken Verschlüsselungsmechanismen verschlüsselt.
- Alle sensiblen Daten werden im Ruhezustand zusätzlich geschützt.
- Es ist notwendig, die Schwachstellen des Betriebssystems und der SOUP zu überwachen und mit Unterstützung von Cognix Systems und OVH die Sicherheitspatches innerhalb der Plattform auf ihren Servern bereitzustellen, ohne Verzögerung.
Es werden immer mehr kommen…
Bleiben Sie dran und willkommen zu virtuellen Must-Events!
Folgen Sie uns auf LinkedIn
