Zrychlení zmírnění ohrožení zabezpečení (Secure Future Initiative)

Název pilíře: Zrychlení odpovědi a nápravy
Název vzoru: Zrychlení zmírnění ohrožení zabezpečení

Kontext a problém

Zranitelnosti jsou nevyhnutelnou realitou ve složitých digitálních prostředích. Organizace musí rychle a systematicky reagovat, aby snížily riziko, ale mnoho zápasí s pomalým koordinacem, ručním tříděním a nekonzistentními pracovními postupy nápravy.

Tradiční modely oprav a starší struktury vytváření sestav často zpožďují odpovědi, zejména když bezpečnostní a IT týmy pracují v silach. Mezitím aktéři hrozeb upřednostňují nepatchované systémy a chybné konfigurace za účelem eskalace oprávnění, pozdějšího přesunu nebo exfiltrace dat.

Řešení

Za účelem řešení těchto problémů microsoft implementoval komplexní program pro správu ohrožení zabezpečení zaměřený na automatizaci a rychlejší zpřístupnění. Tyto snahy byly provedeny jako součást urychlení reakce a nápravného pilíře iniciativy SFI (Secure Future Initiative). Celkově tento program podporuje včasné zjišťování, konzistentní stanovení priorit a zrychlený čas pro zmírnění (TTM) a je zvláště účinný pro problémy s vysokou závažností. Společnost Microsoft ve skutečnosti umožnila omezit TTM na 73% ohrožení zabezpečení a zároveň rozšířit rozsah programu.

Mezi klíčové komponenty přístupu Microsoftu patří:

• Automatizace detekce a třídění ohrožení zabezpečení pomocí správy ohrožení zabezpečení v programu Microsoft Defender a interních nástrojů AI

• Vytváření strojově čitelných hlášení o zranitelnostech pomocí souborů Common Security Advisory Framework (CSAF)

• Rychlejší publikování CVE pro ohrožení zabezpečení cloudových služeb, včetně případů, kdy není nutný žádný zákaznický patch

• Poskytování cílených upozornění prostřednictvím služby Azure Service Health a Centra pro správu Microsoftu 365 s použitelnými pokyny doručovanými na úrovni tenanta nebo předplatného

• Centralizace zpracování incidentů, zapojení zákazníků a zpřístupnění prostřednictvím pracovních postupů napříč společnostmi

• Vydávání oznámení o ohrožení států (NSN) k upozorňování ovlivněných organizací cílených nebo úspěšných útoků

Vodítko

Organizace můžou použít podobný model pomocí následujících postupů, které je možné provést:

Případ použití	Doporučená akce	Zdroj
Vytvoření robustního programu pro správu zranitelností	Jmenovat vlastníky zodpovědné za zjišťování, stanovení priorit a nápravu Zajištění konzistentní viditelnosti prostředků a základních linií konfigurace Sladění pracovních postupů zabezpečení a IT od zjišťování prostřednictvím řešení	Průvodce připraveností na incidenty
Automatizace detekce a třídění	Použijte nástroje, jako je Správa ohrožení zabezpečení v programu Microsoft Defender, ke skenování systémů a prioritizaci CVE. Propojte se s informačními kanály o hrozbách ke stanovení aktivně zneužívaných zranitelností. Použití vyhodnocování na základě rizika k zaměření na zranitelnosti, které jsou nejdůležitější	Správa zranitelnosti v Microsoft Defender
Standardizace a zrychlení komunikace	Publikování CVE i v případě, že se nevyžaduje akce zákazníka, protože transparentnost vytváří důvěru   Použijte soubory CSAF a rozhraní API aktualizací zabezpečení od Microsoftu ke zpracování mezi stroji. Vytváření pracovních postupů upozorňování ve službě Azure Service Health a v Centru pro správu Microsoftu 365 pro zajištění reakce na incidenty	Centrum odpovědí zabezpečení Microsoftu
Vytvoření viditelnosti a odpovědnosti	Monitorování a hlášení o čase na zmírnění hrozeb (TTM), stárnoucích zranitelnostech a pokrytí opravami Navrhněte řídicí panely pro sledování průběhu a označování zpoždění. Implementujte interní eskalační postupy pro zranitelnosti s vysokou prioritou	Správa incidentů v programu Microsoft Defender
Příprava na národní činnost	Seznamte se s programem NSN společnosti Microsoft a připravte se na odpověď v případě oznámení. Konfigurace směrování výstrah tak, aby týmy SOC a zabezpečení okamžitě dostávaly analýzu hrozeb Pravidelně kontrolujte pokyny k NSN na portálech Microsoftu a ve zprávách o digitální obraně.	Zpráva o ohrožení národních států
Neustále se zlepšovat	Použijte zprávy z red teaming, analýzy po incidentech a zpětnou vazbu od zákazníků k upřesnění procesů reakce na události. Hledejte příležitosti k automatizaci pracovních postupů, snížení předání a zlepšení cílení oznámení.	Zkoumání a reakce pomocí XDR v programu Microsoft Defender

Výsledky

Výhody

• Větší povědomí o ohroženích zabezpečení v cloudu prostřednictvím rozšířených publikací CVE a doporučení týkajících se toho, jestli se vyžaduje oprava zákazníka

• Vyšší transparentnost a důvěryhodnost prostřednictvím rozšířených dat CVE (CWE/CPE tagging) a automatizovaného doručování výstrah spolu s rozšířeným zpřístupněním ohrožení zabezpečení

• Rychlejší a efektivnější komunikace prostřednictvím zákaznických portálů produktů

• Rychlejší časové harmonogramy řešení zranitelností pomocí automatizace a umělé inteligence, které zjednodušují přechod od odhalení zranitelnosti k její opravě.

• Proaktivní obrana, která využívá rozšířenou analýzu hrozeb k podpoře dřívější detekce a reakce na stanovení priority

Kompromisy

• Stanovení priority odpovědi na ohrožení zabezpečení na základě potenciálního dopadu, aktivity hrozeb a požadované akce zákazníka

• Vymezení rozsahu investic do automatizované kontroly, klasifikace a orchestrace pracovních postupů za účelem řešení nejvýraznějších ohrožení zabezpečení jako nejvyšší priority

• Zajištění zaměření lidských a organizačních faktorů při změně návrhu procesů, které sjednocují bezpečnostní, IT a komunikační týmy

Klíčové faktory úspěchu

Sledujte následující klíčové ukazatele výkonu, které měří průběh:

• Průměrná doba zmírnění zranitelností vysoké závažnosti (TTM)

• Procento CVEs vyřešených v rámci SLA

• Stav konfigurace upozornění napříč cloudovými předplatnými

Shrnutí

Organizace můžou výrazně zlepšit, jak rychle reagují na známá ohrožení zabezpečení. Díky automatizaci, rozšířené komunikaci a integrovaným pracovním postupům ohrožení zabezpečení můžou týmy omezit vystavení, rychleji zavřít známé mezery a vytvořit odolnost potřebnou k tomu, aby zůstaly před aktivními hrozbami.

Začněte urychlit odpověď na ohrožení zabezpečení ještě dnes – předtím, než útočník zneužije zpoždění.