MSSP/SaaS/computação em nuvem - confuso? sei quem eu sou

Há muita discussão em torno de MSSPs de segurança, SaaS (Segurança como Serviço) e Computação em Nuvem atualmente. Sempre achei que tinha um bom controle sobre MSSPs e SaaS. A meu ver, você tende a terceirizar toda a tarefa para MSSPs de segurança. Se você terceirizar a segurança do seu firewall, por exemplo, geralmente não terá ninguém na equipe que se preocupe com os logs do firewall e contará com o seu parceiro MSSP para mantê-lo seguro - pelo menos no que diz respeito ao firewall. O MSSP coleta, armazena e analisa os logs. Com o SaaS, usando o mesmo exemplo de firewall acima, você terceiriza a entrega da capacidade - a mecânica das tarefas de coleta e armazenamento e o software e hardware que a habilitam, mas ainda tem pessoal de TI responsável pela segurança do firewall. . Esses caras revisam os logs, executam os relatórios, etc. Essa definição geral é a mesma para qualquer tarefa de segurança, seja segurança de e-mail, firewall ou SIEM.

OK, até agora, tudo bem. Tudo isso é muito simples.

Então você adiciona Cloud Computing e tudo fica um pouco, bem, nublado. As pessoas começam a trocar conceitos livremente e, na verdade, quando você fala com alguém sobre computação em nuvem e o que ela significa para essa pessoa, muitas vezes é completamente diferente do que você pensava que fosse a computação em nuvem. Eu sempre tento perguntar - Você quer dizer segurança NA nuvem, ou seja, usar um provedor externo para gerenciar alguma parte da coleta, armazenamento e análise de seus dados de segurança (se sim, vá para SaaS ou MSSP)? Ou você quer dizer segurança DA nuvem - a coleta/gerenciamento de informações de segurança de aplicativos corporativos que são entregues via SaaS (Software as a Service, pense no Salesforce)?

O último caso não tem realmente nada a ver com SaaS de segurança ou MSSP, já que você pode coletar os dados de aplicativos como o Salesforce em uma solução de segurança que você possui e hospeda. O problema é totalmente diferente. Pense em como coletar e correlacionar dados de aplicativos sobre os quais você não tem controle ou como esses aplicativos terceirizados afetam seus requisitos de conformidade. Na maioria das vezes, os regulamentos de conformidade exigem que você analise o acesso a determinados tipos de dados críticos. Como você faz isso quando os ativos não estão sob seu controle? Você simplesmente confia que o provedor de serviços está fazendo certo? E o que o seu auditor fará quando aparecer para fazer uma auditoria? Como você garante a cadeia de custódia dos dados de log quando não tem controle sobre como, quando e onde eles foram criados? Rapidamente surgem muitas perguntas que parecem não haver respostas fáceis.

Então aqui vão algumas observações:

• A maioria dos padrões de conformidade não prevê a conformidade num mundo de computação em nuvem.
• A segurança da nuvem é indefinida.
• Os padrões de conformidade estão a chegar às empresas de dimensão mais modesta e o SaaS para aplicações empresariais está a tornar-se mais apelativo para empresas de todas as dimensões.
• Quando as pessoas pensam em computação em nuvem, tendem a equiparar “está na nuvem” a “não tenho responsabilidade”, e quando dados e aplicativos críticos migram para a nuvem isso não será aceitável.

A combinação dos itens acima provavelmente se tornará um problema cada vez maior e, se não for abordada, impedirá a adoção da computação em nuvem.