Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie den Sicherheitsstatus und die Compliance mithilfe von Zero-Trust-Prinzipien als Teil des Microsoft-[Modells zur Sicherheitsimplementierung]((security-adoption-model.md) verbessern.
Dieses Geschäftsszenario hilft Ihnen, das folgende Ergebnis zu erzielen:
Kontinuierliche Verbesserung des Sicherheitsstatus und der Compliance
Als Geschäftsleiter müssen Sie Ihre treuhänderische Pflicht erfüllen, um vor Sicherheitsrisiken zu schützen. Der Schutz muss Sicherheitsvorfälle von sich entwickelnden Bedrohungen abdecken und gesetzliche Complianceanforderungen erfüllen, häufig mit denselben begrenzten Ressourcen.
Dieses Geschäftsszenario ist Teil unseres strukturierten Einführungsmodells, das Ihnen hilft, Geschäftsziele mithilfe eines modernen Sicherheitsansatzes zu erreichen, der auf Zero Trust Prinzipien basiert.
Dieser Leitfaden hilft Ihrer Organisation, den Sicherheitsstatus zu verbessern und die Compliance aufrechtzuerhalten, indem Risiken, Priorisierung von Korrekturen und Stärkung des Schutzes in der gesamten Organisation kontinuierlich identifiziert werden.
Funktionsweise dieser Anleitung
Dieser Artikel ist Teil eines strukturierten Einführungsmodells , das die Sicherheitsstrategie mit der Implementierung verbindet:
Beginnen Sie mit einem Geschäftsszenario wie diesem, um das Ergebnis zu definieren, das Sie erreichen möchten.
Identifizieren Sie die Sicherheitsdisziplinen , die für dieses Szenario gelten.
Verwenden Sie diese Disziplinen, um die erforderliche Strategie, Architektur, Prozesse und Steuerelemente für das Szenario zu definieren. Arbeiten Sie durch jede Disziplin, um zu verstehen, was geplant, entworfen und in der gesamten Organisation implementiert werden muss.
Verwenden Sie technische Lösungen, um diese Anforderungen mithilfe Microsoft Technologien zu implementieren und Steuerelemente auf technologie-Säulen anzuwenden wie Identität und Daten.
Dieser Ansatz stellt sicher, dass die Verbesserung der Sicherheitslage und die Compliance kontinuierlich als Teil Ihrer gesamten Zero-Trust-Architektur aufrechterhalten werden, anstatt als separater Aufwand behandelt zu werden.
Warum die Sicherheitslage einen neuen Ansatz erfordert
Organisationen stehen zwei sich überschneidende Herausforderungen gegenüber: Schutz vor immer anspruchsvolleren Bedrohungen bei gleichzeitiger Erfüllung von regulatorischen und Complianceverpflichtungen.
- Sicherheitsstatus: Ihr Sicherheitsstatus stellt die allgemeine Fähigkeit Ihrer Organisation dar, Cyberbedrohungen zu verhindern, zu erkennen und darauf zu reagieren. Ein starker Sicherheitsstatus ist messbar, quantifizierbar und verbessert sich kontinuierlich, wenn Risiken und Technologien sich entwickeln.
- Einhaltung regulatorischer Vorschriften: Die Einhaltung regulatorischer Vorschriften erfordert die Einhaltung von Gesetzen, Vorschriften und Branchenstandards wie der DSGVO, dem CCPA, HIPAA und Anforderungen an die Datenresidenz. Compliance ist kein einmaliger Aufwand – es erfordert nachhaltige Kontrollen, Nachweise und operative Disziplin.
Sie können beide Anforderungen erfüllen mit:
- Ein systematischer Ansatz zur Implementierung von Sicherheitskontrollen
- Integrierte Funktionen, die häufig die Complianceanforderungen überschreiten
- Integrierte Tools zur Reduzierung von Komplexität und Betriebskosten
- Messbare Statusverfolgung und Berichterstellung
Geschäftswert
Der Wert einer kontinuierlichen Verbesserung des Sicherheitsstatus und der Compliance profitiert von der gesamten Organisation, unterscheidet sich jedoch für unterschiedliche Rollen.
| Rollen | Wert |
|---|---|
| Unternehmensführung | Arbeiten Sie mit integrierter Sicherheit, die auf Geschäftsergebnisse ausgerichtet ist, ohne unnötige Hürden zu schaffen. Reduzieren Sie die Wiederherstellungszeit nach Sicherheitsvorfällen und erfüllen Sie dabei regulatorische und gesetzliche Anforderungen. Beschränken Sie finanzielle, rechtliche und reputationsbezogene Auswirkungen von Sicherheits- und Compliancefehlern. |
| Technologierollen | Schaffen Sie ein standardisiertes Sicherheitsniveau mit automatisierter Compliance-Prüfung, vorhersehbaren Kosten und geringerem Betriebsaufwand und erfüllen Sie dabei Technologie- und Sicherheitsanforderungen. |
| Sicherheitsrollen | Verbessern Sie die Sichtbarkeit und Kontrolle über das Organisationsrisiko. Erhöhen Sie den Aufwand für Angriffe schrittweise, um den Return on Investment (ROI) von Angreifern zu verringern und den Schadensradius sowie offene Angriffsflächen zu begrenzen. |
Sicherheitsdisziplinen aufeinander abstimmen
Sicherheitsdisziplinen stellen die strukturierten Bereiche der Verantwortlichkeit dar, die zum Bereitstellen dieses Geschäftsszenarios erforderlich sind.
- Planungs- und Aufsichtsdisziplinen definieren die Strategie, die Governance und die organisationsübergreifende Koordination, die erforderlich sind.
- Technische Strategiedisziplinen definieren die erforderlichen Architektur-, Betriebs- und Kontrollfunktionen.
- Betriebsdisziplinen sorgen dafür, dass Sicherheitskontrollen im Laufe der Zeit durch Überwachung, Reaktion und kontinuierliche Verbesserung wirksam bleiben. Sie erkennen Missbrauch, reagieren auf Bedrohungen und fördern kontinuierliche Verbesserungen der Sicherheitslage.
Planungs- und Aufsichtsdisziplinen
| Fachbereich | Action |
|---|---|
| Strategie, Integration und Governance | Richten Sie Governanceprozesse ein, die Sicherheitsstatus- und Complianceziele, Prioritäten und Risikotoleranz definieren. Legen Sie messbare Ziele fest, und verfolgen Sie den Fortschritt auf die Sicherheitsreife. |
| End-to-End-Sicherheitsarchitektur | Implementieren Sie Sicherheitskontrollen und -überwachungen über den gesamten Technologiebestand hinweg. Integrieren Sie diese Steuerelemente in eine einheitliche Ansicht für Objektbesitzer und Manager sowie Designarchitekturen, die standardmäßig sicher sind und gleichzeitig Complianceanforderungen unterstützen. |
Technische Strategiedisziplinen
| Fachbereich | Action |
|---|---|
| Zugriff und Identitäten | Stellen Sie sicher, dass die Organisation einen absichtlichen und soliden Ansatz für die Verwaltung des Zugriffs auf Ressourcen hat. Implementieren Sie identitätsbasierte Sicherheitskontrollen, die Zero Trust Prinzipien unterstützen und Einblicke in Zugriffsmuster bieten. |
| Infrastruktursicherheit | Überwachen und anwenden Sie Sicherheitskontrollen konsistent und effektiv auf alle Infrastrukturressourcen in der technischen Umgebung, einschließlich aller Clouds, lokalen Rechenzentren und älteren Systemen. Einrichten, Überwachen und Erzwingen von sicheren Basiswerten und Konfigurationsstandards für gemeinsame Betriebssysteme, Geräte, Anwendungen und andere Komponenten. |
| Entwicklungssicherheit | Durchgängige und effektive Anwendung von Sicherheitskontrollen in bestehender Software und neuer Entwicklung. Integrieren und automatisieren Sie die Einbeziehung von Sicherheitskontrollen in Entwicklungsprozesse. Richten Sie Prozesse ein, um Sicherheitsfehler, die während des Softwarelebenszyklus, einschließlich nach der Veröffentlichung, schnell zu beheben sind. |
| Datensicherheit | Sicherheitskontrollen werden konsistent und effektiv angewendet, um Die Sicherheit und Datenschutzsicherheit für Datenobjekte sicherzustellen, die geistiges Eigentum, Geschäftsgeheimnisse, regulierte Daten und andere vertrauliche Daten speichern. Implementieren Sie Steuerelemente, die gesetzlichen Anforderungen erfüllen und vor Datenverlust schützen. |
| OT- und IoT-Sicherheit | Stellen Sie sicher, dass die Organisation über einen absichtlichen und soliden Ansatz für OT/IoT-Geräte verfügt, die mit physischen Prozessen und der physischen Welt interagieren. |
Operative Disziplinen
| Fachbereich | Action |
|---|---|
| SecOps | Priorisieren Sie die Überwachung und Entschärfung basierend auf den häufigsten und wirkungsvollsten Sicherheitsvorfällen, indem Sie Bedrohungsintelligenz aus SecOps und externen Quellen verwenden. Verbessern Sie die Erkennungs- und Reaktionsfunktionen kontinuierlich. |
| Sicherheitsstatusverwaltung | Kontinuierlich bewerten, messen und verbessern Sie den Sicherheitsstatus in der gesamten Organisation. Implementieren Sie Tools wie Microsoft Security Exposure Management und Secure Score, um den Fortschritt nachzuverfolgen. Priorisieren Sie die Korrektur basierend auf Risiken und geschäftlichen Auswirkungen. |
Erforderliche Technologiepfeiler
Technologiepfeiler stellen die wichtigsten Microsoft Sicherheitsfunktionen dar, die dieses Geschäftsszenario unterstützen.
| Säule | Sicherheitsrisikenverwaltung | GitHub Advanced Security | Priva |
|---|---|---|---|
| Identity | Microsoft Security Exposure Management identifiziert identitätsbezogene Risiken, einschließlich überprivilegierter Konten, veralteter Anmeldeinformationen und Angriffspfade, die Identitätsfehler verwenden. | GitHub Advanced Security erkennt hartcodierte Anmeldeinformationen und API-Schlüssel im Quellcode, um das identitätsbasierte Risiko zu verringern, das durch die Gefährdung von Anmeldeinformationen verursacht wird. Durch die Integration mit Repositoryzugriffssteuerelementen wird sichergestellt, dass nur autorisierte Benutzer sensiblen Code ändern können. | Microsoft Priva ist in Microsoft Entra integriert, um nachzuverfolgen, welche Identitäten auf personenbezogene Daten zugreifen, und unterstützt Anfragen zu Betroffenenrechten, damit Einzelpersonen die Kontrolle über ihre personenbezogenen Daten ausüben können. |
| Endpunkte | Microsoft Security Exposure Management aggregiert Endpunktsicherheitsrisiken, Fehlkonfigurationen und Risikorisiken und bietet eine einheitliche Ansicht des Sicherheitsstatus von Geräten. | Nicht verfügbar | Microsoft Priva überwacht die Verarbeitung personenbezogener Daten auf Endpunkten und hilft bei der Identifizierung von Datenschutzrisiken von Daten, die auf Benutzergeräten gespeichert sind. |
| Netzwerke | Microsoft Security Exposure Management ordnet Netzwerkangriffsflächen zu, identifiziert offengelegte Dienste und hebt Netzwerksegmentierungslücken hervor, die laterale Bewegungen ermöglichen könnten. | Nicht verfügbar | Microsoft Priva hilft dabei, zu erkennen, wann personenbezogene Daten über Netzwerkgrenzen hinweg verschoben werden und Datenübertragungsbewertungen für grenzüberschreitende Compliance unterstützen. |
| Apps | Microsoft Security Exposure Management erkennt Anwendungsrisiken, riskante Konfigurationen und Schatten-IT, um die Angriffsfläche der Anwendung zu sichern. | Die Codeüberprüfung (SAST) in GitHub Advanced Security identifiziert Sicherheitsrisiken und Codierungsfehler vor der Veröffentlichung, wodurch die Anzahl der ausnutzbaren Fehler in bereitgestellten Anwendungen reduziert wird. Sicherheitskampagnen und Copilot Autofix helfen Teams beim Beheben von Problemen im großen Maßstab und unterstützen konsistente Anwendungssicherheitsstandards. | Microsoft Priva ermittelt personenbezogene Daten in Microsoft 365 Anwendungen und bietet Einblicke in die Verwendung personenbezogener Informationen innerhalb von Tools für die Zusammenarbeit. |
| Daten | Microsoft Security Exposure Management identifiziert Risiken für die Datenexposition, einschließlich überlastete Dateien, vertrauliche Daten an anfälligen Speicherorten und datenbezogene Angriffspfade. | Secret Scanning erkennt offengelegte Zugangsdaten, Token und Verbindungszeichenfolgen in Repositories, während Pushschutz dabei hilft, neue Lecks zu verhindern, bevor sie committet werden. Dies reduziert das Risiko des Datenzugriffs über geleeckte Geheimnisse und unterstützt die Einhaltung der Datenschutzanforderungen. | Microsoft Priva bietet datenschutzorientierte Funktionen, einschließlich der Ermittlung personenbezogener Daten, des Datenschutzrisikomanagements, der Automatisierung von Anträgen betroffener Personen und der Zustimmungsverwaltung. |
| Infrastruktur | Microsoft Security Exposure Management bietet Einblicke in Cloud- und lokale Infrastrukturrisiken, Fehlkonfigurationen und Compliancelücken in multicloud-Umgebungen. | Abhängigkeitsanalyse und Abhängigkeitsprüfung erkennen bekannte Schwachstellen in Open-Source-Komponenten und Konfigurationsdateien, bevor Infrastruktur oder Anwendungen bereitgestellt werden, wodurch übernommene Risiken reduziert und eine standardmäßig sichere Infrastrukturausrichtung unterstützt werden. | Microsoft Priva erweitert die Sichtbarkeit der Privatsphäre auf Daten, die in der cloudbasierten Infrastruktur gespeichert sind, und hilft Organisationen dabei, die Datenschutzkonformität in Multicloud-Umgebungen aufrechtzuerhalten. |
| Künstliche Intelligenz | Microsoft Security Exposure Management setzt KI ein, um Angriffspfade zu modellieren, Risiken auf der Grundlage von Ausnutzbarkeit und geschäftlichen Auswirkungen zu priorisieren und intelligente Empfehlungen für Verbesserungen der Sicherheitslage bereitzustellen. | GitHub Advanced Security scannt kigestützten und vom Menschen geschriebenen Code gleichermaßen und hilft Teams dabei, Sicherheitsstandards aufrechtzuerhalten, da KI die Entwicklung beschleunigt. Die KI-unterstützte Korrektur beschleunigt das Beheben von Sicherheitsrisiken, ohne Sicherheitskontrollen zu umgehen. | Microsoft Priva unterstützt die Datenschutzkonformität für KI-Workloads, indem Organisationen verstehen, wie personenbezogene Daten in KI-Schulungen und -Ableitungsszenarien verwendet werden. |