Megosztás a következőn keresztül:

Biztonsági csapatok, szerepkörök és feladatok

Ez a cikk a felhőbiztonsághoz szükséges biztonsági szerepköröket, valamint a felhőinfrastruktúrával és -platformokkal kapcsolatos feladatokat ismerteti. Ezek a szerepkörök segítenek biztosítani, hogy a biztonság a felhő életciklusának minden szakaszában része legyen, a fejlesztéstől a műveletekig és a folyamatos fejlesztésig.

A felhőbevezetés módszertanát bemutató ábra. A diagramon minden fázishoz vannak mezők: csapatok és szerepkörök, stratégia, tervezés, készenlét, bevezetés, szabályozás és kezelés. A cikk mezője ki van emelve.

Feljegyzés

Az Azure felhőadaptálási keretrendszer a több számítási feladatot támogató felhőalapú infrastruktúrára és platformokra összpontosít. Az egyes számítási feladatokhoz kapcsolódó biztonsági útmutatásért tekintse meg az Azure Well-Architected Framework biztonsági útmutatóját .

A szervezet méretétől és egyéb tényezőktől függően az ebben a cikkben tárgyalt szerepköröket és funkciókat olyan személyek is betölthetik, akik több funkciót (szerepkört) látnak el, nem pedig egyetlen személy vagy csapat. A nagyvállalatok és a nagy szervezetek általában nagyobb, speciálisabb szerepkörökkel rendelkező csapatokkal rendelkeznek, míg a kisebb szervezetek általában több szerepkört és funkciót egyesítenek kisebb számú személy között. A konkrét biztonsági feladatok a szervezet által használt technikai platformoktól és szolgáltatásoktól függően is változhatnak.

Egyes biztonsági feladatokat közvetlenül a technológiai és felhőcsapatok hajtanak végre. Másokat speciális biztonsági csapatok végezhetnek, amelyek együttműködnek a technológiai csapatokkal. A szervezet méretétől és szerkezetétől függetlenül az érdekelt feleknek tisztában kell lenniük a szükséges biztonsági feladatokkal. Mindenkinek tisztában kell lennie a szervezet üzleti követelményeivel és biztonsági kockázattűrésével is, hogy jó döntéseket hozhassanak a felhőszolgáltatásokról, amelyek kulcsfontosságú követelményként figyelembe veszik és egyensúlyba hozzák a biztonságot.

A cikkben található útmutató segítségével megismerheti a csapatok és szerepkörök által végrehajtott egyes funkciókat, valamint azt, hogy a különböző csapatok hogyan működnek együtt a felhőbiztonsági szervezet teljes egészére kiterjedően.

Biztonsági szerepkörök átalakítása

A biztonsági architektúra, a mérnöki és az üzemeltetési szerepkörök feladataik és folyamataik jelentős átalakításán mennek keresztül. (Ez az átalakítás hasonló az infrastruktúra- és platformszerepkörök felhőalapú átalakításához.) Ezt a biztonsági szerepkör-átalakítást több tényező is vezérelte:

  • Mivel a biztonsági eszközök egyre inkább SaaS-alapúvá válnak, kevesebb szükség van a biztonsági eszközök infrastruktúráinak tervezésére, implementálására, tesztelésére és üzemeltetésére. Ezeknek a szerepköröknek továbbra is támogatniuk kell a felhőszolgáltatások és megoldások konfigurálásának teljes életciklusát (beleértve a folyamatos fejlesztést is), hogy megfeleljenek a biztonsági követelményeknek.

  • Annak felismerése, hogy a biztonság mindenki feladata, egy együttműködőbb és érettebb megközelítést vezet, amely lehetővé teszi a biztonsági és technológiai csapatok együttműködését:

    • A műszaki mérnöki csapatok elszámoltathatók annak biztosításáért, hogy a biztonsági intézkedéseket hatékonyan alkalmazzák a számítási feladataikra. Ez a változás megnöveli annak igényét, hogy a biztonsági csapatok kontextust és szakértelmet nyújtsanak arról, hogyan lehet ezeket a kötelezettségeket hatékonyan és eredményesen teljesíteni.

    • A biztonsági csapatok a (kissé támadó) minőség-ellenőrzési szerepkörről olyan szerepkörre váltanak, amely lehetővé teszi a technikai csapatok számára, hogy a biztonságos út legyen a legegyszerűbb út. A biztonsági csapatok automatizálással, dokumentációval, betanítással és egyéb stratégiákkal csökkentik a súrlódást és a korlátokat.

  • A biztonsági csapatok egyre inkább bővítik készségeiket, hogy több technológia és rendszer biztonsági problémáit is megvizsgálhassák. A támadók teljes életciklusát kezelik ahelyett, hogy szűk technikai területekre (például hálózati biztonságra, végpontbiztonságra, alkalmazásbiztonságra és felhőbiztonságra) összpontosítanának. Az a tény, hogy a felhőplatformok szorosan integrálják a különböző technológiákat, felerősíti ezt a készségfejlesztési igényt.

  • A technológia és a biztonsági felhőszolgáltatások közötti megnövekedett változás megköveteli, hogy a biztonsági folyamatok folyamatosan frissüljenek a szinkronizálás és a kockázatok hatékony kezelése érdekében.

  • A biztonsági fenyegetések már megbízhatóan kijátsszák a hálózati alapú biztonsági rendszereket, ezért a biztonsági csapatoknak olyan Zero Trust megközelítést kell alkalmazniuk, amely magában foglalja az identitásvédelmet, az alkalmazásbiztonságot, a végpontbiztonságot, a felhőbiztonságot, a CI/CD folyamatokat, a felhasználói oktatást és más vezérlőket.

  • A DevOps/DevSecOps-folyamatok bevezetése megköveteli, hogy a biztonsági szerepkörök agilisabbak legyenek a biztonság natív integrálásához az eredményül kapott gyorsított megoldásfejlesztési életciklusba.

Szerepkörök és csapatok áttekintése

Az alábbi szakaszok útmutatást nyújtanak arra vonatkozóan, hogy mely csapatok és szerepkörök végzik általában a legfontosabb felhőbiztonsági funkciókat (ha ezek a függvények jelen vannak a szervezetben). Ki kell képeznie a meglévő megközelítését, meg kell keresnie a hiányosságokat, és fel kell mérnie, hogy a szervezet képes-e és kell-e befektetnie a hiányosságok kezelésére.

A biztonsági feladatokat végrehajtó szerepkörök közé tartoznak a következő szerepkörök.

  • Felhőszolgáltató

  • Infrastruktúra-/platformcsapatok (architektúra, mérnöki és üzemeltetési)

  • Biztonsági architektúra, mérnöki és testtartás-felügyeleti csapatok:

    • Biztonsági tervezők és mérnökök (adatbiztonság, identitás- és hozzáférés-kezelés (IAM), hálózati biztonság, kiszolgálók és tárolók biztonsága, alkalmazásbiztonság és DevSecOps)

    • Szoftverbiztonsági mérnökök (alkalmazásbiztonság)

    • Helyzetkezelés (biztonságirés-kezelés / támadási felület kezelése)

  • Biztonsági műveletek (SecOps/SOC):

    • Triage-elemzők (1. szint)

    • Vizsgálati elemzők (2. szint)

    • Veszélyforrás-keresés

    • Fenyegetési hírszerzés

    • Észleléstechnika

  • Biztonságirányítás, kockázat és megfelelőség (GRC)

  • Biztonsági képzés és tudatosság

Kritikus fontosságú annak biztosítása, hogy mindenki tisztában legyen a biztonságban betöltött szerepével és a többi csapattal való munkavégzés módjával. Ezt a célt csapatközi biztonsági folyamatok és a műszaki csapatok közös felelősségi modelljének dokumentálásával érheti el. Ezzel elkerülheti a lefedettségi résekből és az átfedésben lévő erőfeszítésekből eredő kockázatokat és pazarlást. Emellett segít elkerülni a gyakori hibákat (gyakorlatilag rossz mintákat), például a gyenge hitelesítési és titkosítási megoldásokat választó csapatokat, vagy akár megpróbálják saját megoldásaikat létrehozni.

Feljegyzés

A megosztott felelősségi modell hasonló egy felelős, elszámoltatható, konzultált, tájékozott (RACI) modellhez. A megosztott felelősségi modell segít az együttműködésen alapuló megközelítés szemléltetésében, hogy ki hozhat döntéseket, és mit kell tennie a csapatoknak, hogy együttműködjenek az adott elemek és eredmények esetében.

Felhőszolgáltató

A felhőszolgáltatók gyakorlatilag virtuális csapattagok, amelyek biztonsági funkciókat és képességeket biztosítanak a mögöttes felhőplatformhoz. Egyes felhőszolgáltatók olyan biztonsági funkciókat és képességeket is biztosítanak, amelyeket a csapatok a biztonsági helyzet és az incidensek kezelésére használhatnak. A felhőszolgáltatók teljesítményével kapcsolatos további információkért tekintse meg a felhő megosztott felelősségi modelljét.

Számos felhőszolgáltató kérésre vagy egy olyan portálon keresztül, mint a Microsoft szolgáltatásmegbízhatósági portálja, tájékoztatást nyújt a biztonsági gyakorlatáról és a vezérlőkről.

Infrastruktúra-/platformcsapatok (architektúra, mérnöki és üzemeltetési)

Az infrastruktúra-/platformarchitektúra, a mérnöki és az üzemeltetési csapatok felhőbiztonsági, adatvédelmi és megfelelőségi vezérlőket implementálnak és integrálnak a felhőinfrastruktúra és a platformkörnyezetek között (kiszolgálók, tárolók, hálózatkezelés, identitás és egyéb technikai összetevők között).

A mérnöki és üzemeltetési szerepkörök elsősorban a felhőre, a folyamatos integrációra és a folyamatos üzembe helyezésre (CI/CD) összpontosíthatnak, vagy a felhő, a CI/CD, a helyszíni és más infrastruktúrák és platformok teljes skáláján dolgozhatnak.

Ezek a csapatok felelősek a szervezet üzleti számítási feladatokat üzemeltető felhőszolgáltatásainak rendelkezésre állásáért, méretezhetőségéért, biztonságáért, adatvédelemért és egyéb követelményeiért. A biztonsági, kockázat-, megfelelőségi és adatvédelmi szakértőkkel együttműködve olyan eredményeket eredményeznek, amelyek ötvözik és kiegyensúlyozza ezeket a követelményeket.

Biztonsági architektúra, mérnöki és testtartás-felügyeleti csapatok

A biztonsági csapatok infrastruktúra- és platformszerepkörökkel (és másokkal) együttműködve segítenek a biztonsági stratégia, a szabályzat és a szabványok végrehajtható architektúrákba, megoldásokba és tervezési mintákba való fordításában. Ezek a csapatok a felhőcsapatok biztonsági sikerének engedélyezésére összpontosítanak az infrastruktúra, valamint a felügyelethez használt folyamatok és eszközök biztonságának kiértékelésével és befolyásolásával. Az alábbiakban a biztonsági csapatok által az infrastruktúrához kapcsolódó gyakori feladatok vannak listázva.

  • A biztonsági tervezők és mérnökök a felhőkörnyezetek biztonsági szabályzatait, szabványait és irányelveit úgy alakítják át, hogy infrastruktúrájukkal/platformjukkal partnerségben tervezzék meg és implementálják a vezérlőket. A biztonsági tervezők és mérnökök számos elemhez nyújtanak segítséget, többek között a következőkben:

    • Bérlők/előfizetések.A biztonsági tervezők és mérnökök együttműködnek az infrastruktúra-tervezőkkel és a mérnökökkel, és hozzáférés-tervezőkkel (identitás, hálózatkezelés, alkalmazás és egyéb) segítik a felhőbeli bérlők, előfizetések és fiókok biztonsági konfigurációinak létrehozását a felhőszolgáltatók között (amelyeket a biztonsági helyzetfelügyeleti csapatok figyelnek).

    • IAM.Az Access-tervezők (identitás, hálózatkezelés, alkalmazás és mások) együttműködnek az identitásmérnökökkel, az üzemeltetési és az infrastruktúra-/platformcsapatokkal a hozzáférés-kezelési megoldások tervezése, megvalósítása és működtetése érdekében. Ezek a megoldások védelmet nyújtanak a szervezet üzleti eszközeinek jogosulatlan használata ellen, miközben lehetővé teszik a jogosult felhasználók számára, hogy üzleti folyamatokat kövessenek a szervezeti erőforrások egyszerű és biztonságos elérése érdekében. Ezek a csapatok olyan megoldásokon dolgoznak, mint az identitáskönyvtárak és az egyszeri bejelentkezés (SSO), a jelszó nélküli és többtényezős hitelesítés (MFA), a kockázatalapú feltételes hozzáférési megoldások, a számítási feladatok identitásai, a kiemelt identitás-/hozzáférés-kezelés (PIM/PAM), a felhőinfrastruktúra és a jogosultságkezelés (CIEM) stb. Ezek a csapatok a hálózati mérnökökkel és az üzemeltetéssel együttműködve biztonsági szolgáltatási peremhálózati (SSE) megoldásokat terveznek, implementálnak és működtetnek. A számítási feladatok csapatai kihasználhatják ezeket a képességeket, hogy zökkenőmentes és biztonságosabb hozzáférést biztosítsanak az egyes számítási feladatokhoz és alkalmazásösszetevőkhöz.

    • Adatbiztonság.A biztonsági tervezők és mérnökök együttműködnek az adatokkal és az AI-tervezőkkel és a mérnökökkel annak érdekében, hogy az infrastruktúra-/platformcsapatok alapszintű adatbiztonsági képességeket hozzanak létre az összes adathoz és speciális képességekhez, amelyek az egyes számítási feladatok adatainak besorolására és védelmére használhatók. Az alapvető adatbiztonságról további információt a Microsoft biztonsági adatvédelmi teljesítménymutatóján talál. Az egyes számítási feladatok adatainak védelméről további információt a Well-Architected Framework útmutatójában talál.

    • Hálózati biztonság.A biztonsági tervezők és mérnökök együttműködnek a hálózati tervezőkkel és mérnökökkel , hogy segítsenek az infrastruktúra-/platformcsapatoknak olyan alapvető hálózati biztonsági képességek kialakításában, mint a felhőhöz való kapcsolódás (privát/bérelt vonalak), a távelérési stratégiák és megoldások, a bejövő és kimenő tűzfalak, a webalkalmazási tűzfalak (WAF-ek) és a hálózati szegmentálás. Ezek a csapatok identitástervezőkkel, mérnökökkel és műveletekkel együttműködve SSE-megoldásokat terveznek, implementálnak és működtetnek. A számítási feladatok csapatai kihasználhatják ezeket a képességeket az egyes számítási feladatok és alkalmazásösszetevők különálló védelmének vagy elkülönítésének biztosításához.

    • Kiszolgálók és tárolók biztonsága.A biztonsági tervezők és mérnökök együttműködnek az infrastruktúra-tervezőkkel és a mérnökökkel annak érdekében, hogy az infrastruktúra-/platformcsapatok alapvető biztonsági képességeket hozzanak létre kiszolgálók, virtuális gépek (virtuális gépek), tárolók, vezénylés/felügyelet, CI/CD és kapcsolódó rendszerek számára. Ezek a csapatok felderítési és leltározási folyamatokat, biztonsági alapkonfigurációkat/teljesítményteszt-konfigurációkat, karbantartási és javítási folyamatokat hoznak létre, lehetővé teszik a végrehajtható bináris fájlok, sablonképek, felügyeleti folyamatok és egyebek használatát. A számítási feladatokért felelős csapatok ezen alapvető infrastruktúra-képességeket is kihasználhatják, hogy biztonságot nyújtsanak a kiszolgálók és tárolók számára az egyes számítási feladatokhoz és alkalmazásösszetevőkhöz.

    • Szoftverbiztonsági alapok (az alkalmazásbiztonság és a DevSecOps esetében).A biztonsági tervezők és mérnökök szoftverbiztonsági mérnökökkel együttműködve segítenek az infrastruktúra-/platformcsapatoknak olyan alkalmazásbiztonsági képességek kialakításában, amelyeket az egyes számítási feladatok, a kódolvasás, az anyagjegyzék-eszközök, a WAF-ek és az alkalmazásvizsgálat használhat. A biztonsági fejlesztési életciklus (SDL) létrehozásáról további információt a DevSecOps-vezérlőkben talál. A számítási feladatokért felelős csapatok ezen képességek használatáról a jól kiépítésű keretrendszer biztonsági fejlesztési életciklus-útmutatójában talál további információt.

  • A szoftverbiztonsági mérnökök kiértékelik az infrastruktúra kezeléséhez használt kódot, szkripteket és egyéb automatizált logikát, beleértve az infrastruktúrát kódként (IaC), CI-/CD-munkafolyamatokat és minden más egyénileg létrehozott eszközt vagy alkalmazást. Ezeket a mérnököket fel kell venni a formális kód védelmére lefordított alkalmazásokban, szkriptekben, automatizálási platformok konfigurációiban, valamint bármilyen más végrehajtható kód vagy szkript formájában, amely lehetővé teszi a támadók számára a rendszer működésének manipulálását. Ez az értékelés magában foglalhat egy rendszer fenyegetésmodell-elemzését, vagy kódellenőrzést és biztonsági ellenőrző eszközöket is magában foglalhat. Az SDL-k létrehozásáról az SDL-eljárások útmutatójában talál további információt.

  • A helyzetkezelő csapat (sebezhetőség-kezelés/támadási felületkezelés) az az operatív biztonsági csapat, amely a műszaki üzemeltetési csapatok biztonsági lehetőségeinek biztosítására összpontosít. A testtartáskezelés segít ezeknek a csapatoknak rangsorolni és implementálni a támadási technikák blokkolására vagy enyhítésére szolgáló vezérlőket. A testtartás-felügyeleti csapatok az összes műszaki üzemeltetési csapatban (beleértve a felhőcsapatokat is) dolgoznak, és gyakran szolgálnak elsődleges eszközként a biztonsági követelmények, a megfelelőségi követelmények és a szabályozási folyamatok megértéséhez.

    A testtartás-kezelés gyakran szolgál a biztonsági infrastruktúra-csapatok kiválósági központjaként (CoE), hasonlóan ahhoz, ahogyan a szoftvermérnökök gyakran biztonsági coE-ként szolgálnak az alkalmazásfejlesztési csapatok számára. Ezekhez a csapatokhoz általában a következők tartoznak.

    • A biztonsági helyzet figyelése. Az összes technikai rendszer figyelése olyan testhelyzet-kezelési eszközökkel, mint a Microsoft Security Exposure Management, a Microsoft Entra Engedélykezelés, a nem Microsoft biztonsági rések és a külső támadási felületkezelés (EASM) és a CIEM-eszközök, valamint egyéni biztonsági helyzetkezelési eszközök és irányítópultok használatával. Emellett a testtartás-kezelés elemzést végez, hogy betekintést nyújtson a következőkkel:

      • Nagy valószínűséggel kárt okozó támadási útvonalak előrejelzése. A támadók "gráfokban gondolkodnak", és megkeresik az üzletileg kritikus rendszerekhez vezető útvonalakat úgy, hogy több objektumot és biztonsági rést egyesítenek különböző rendszerek között (például feltörik a felhasználói végpontokat, majd a kivonat/jegy használatával rögzítenek egy rendszergazdai hitelesítő adatot, majd hozzáférnek az üzleti szempontból kritikus adatokhoz). A testtartás-felügyeleti csapatok biztonsági tervezőkkel és mérnökökkel együttműködve felderítik és mérsékelik ezeket a rejtett kockázatokat, amelyek nem mindig jelennek meg a műszaki listákban és jelentésekben.

      • Biztonsági értékeléseket végez a rendszerkonfigurációk és az üzemeltetési folyamatok áttekintéséhez, hogy mélyebb ismereteket és megállapításokat szerezzen a biztonsági helyzetjelző eszközök technikai adatain túl. Ezek az értékelések informális felderítési beszélgetések vagy formális fenyegetésmodellezési gyakorlatok formájában is lehetnek.

    • Segítség a rangsoroláshoz. Segítsen a technikai csapatoknak proaktívan monitorozni az eszközeiket, és rangsorolni a biztonsági munkát. A testtartáskezelés segít a kockázatcsökkentési munka kontextusba helyezésében azáltal, hogy figyelembe veszi a biztonsági kockázatokra gyakorolt hatásokat (a tapasztalatok, a biztonsági műveletek incidensjelentései és egyéb fenyegetésfelderítési, üzletiintelligencia- és egyéb források) a biztonsági megfelelőségi követelmények mellett.

    • Képez, mentorál és támogat. A műszaki mérnöki csapatok biztonsági ismereteinek és készségeinek növelése a képzés, az egyének mentorálása és az informális tudásátadás révén. A biztonsági felkészültség menedzselésével foglalkozó szerepkörök együttműködhetnek a szervezeti felkészültség / képzés és a biztonsági oktatás és bevonás szerepköreivel a hivatalos biztonsági képzésben, valamint a biztonság technikai csapatokon belüli beállításában, amelyek oktatják és bevonják társaikat a biztonság területén.

    • A hiányosságok azonosítása és a javítások szorgalmazása. Azonosíthatja az általános trendeket, a folyamatbeli hiányosságokat, az eszközhiányokat, valamint a kockázatokra és a kockázatcsökkentésekre vonatkozó egyéb megállapításokat. A kockázatkezelési szerepkörök együttműködnek és kommunikálnak a biztonsági architektúrákkal és mérnökökkel a megoldások fejlesztése érdekében, a megoldások finanszírozási támogatásának előkészítéséhez, és a javítások bevezetéséhez.

    • Koordináljon a biztonsági műveletekkel (SecOps). Segítség a technikai csapatoknak a SecOps-szerepkörökkel, például az észlelési mérnöki és a fenyegetéskeresési csapatokkal való munkában. Ez a folytonosság az összes operatív szerepkörben segít biztosítani az észlelések megfelelő végrehajtását, a biztonsági adatok rendelkezésre állnak az incidensek kivizsgálásához és a fenyegetéskereséshez, a folyamatok az együttműködéshez, és így tovább.

    • Adjon meg jelentéseket. A vállalati kockázati folyamatok frissítéséhez a felső vezetésnek és az érdekelt feleknek időben és pontosan kell jelentéseket szolgáltatnia a biztonsági incidensekről, trendekről és teljesítménymetrikákról.

    A biztonsági testtartás-kezelési csapatok gyakran a meglévő szoftveres sebezhetőség-kezelési szerepkörökből fejlődnek ki az Open Group Zero Trust Referenciamodellben leírt funkcionális, konfigurációs és működési sebezhetőségi típusok teljes készletének kezelése érdekében. Minden biztonsági réstípus lehetővé teszi, hogy jogosulatlan felhasználók (beleértve a támadókat is) átvegye az irányítást a szoftverek vagy rendszerek felett, ami lehetővé teszi számukra, hogy kárt okozzanak az üzleti eszközökben.

    • A szoftvertervezésben vagy -implementációban funkcionális biztonsági rések lépnek fel. Lehetővé teszik az érintett szoftverek jogosulatlan ellenőrzését. Ezek a biztonsági rések lehetnek a saját csapata által kifejlesztett szoftverek hibái, vagy a kereskedelmi vagy nyílt forráskód szoftverek hibái (amelyeket általában egy gyakori biztonsági rések és expozíciós azonosító követ nyomon).

    • A konfigurációs biztonsági rések olyan rendszerek helytelen konfigurációi, amelyek lehetővé teszik a rendszerfunkciókhoz való jogosulatlan hozzáférést. Ezeket a biztonsági réseket a folyamatban lévő műveletek során, más néven konfigurációs eltérésekkel lehet bevezetni. Ezek a szoftverek és rendszerek kezdeti üzembe helyezése és konfigurálása során, illetve a szállító gyenge biztonsági alapértelmezései miatt is bevezethetők. Néhány gyakori példa:

      • Árva objektumok, amelyek jogosulatlan hozzáférést biztosítanak az olyan elemekhez, mint a DNS-rekordok és a csoporttagság.

      • Túlzott rendszergazdai szerepkörök vagy erőforrásokhoz való engedélyek.

      • Gyengébb hitelesítési protokoll vagy titkosítási algoritmus használata, amely ismert biztonsági problémákkal rendelkezik.

      • Gyenge alapértelmezett konfigurációk vagy alapértelmezett jelszavak.

    • A működési biztonsági rések a szabványos üzemeltetési folyamatok és eljárások gyengeségei, amelyek lehetővé teszik a rendszerek jogosulatlan elérését vagy ellenőrzését. Ide sorolhatóak például a következők:

      • A rendszergazdák a saját egyéni fiókjuk helyett megosztott fiókokat használnak a kiemelt feladatok elvégzéséhez.

      • Olyan "tallózási" konfigurációk használata, amelyek jogosultságszint-emelési útvonalakat hoznak létre, amelyeket a támadók visszaélhetnek. Ez a biztonsági rés akkor fordul elő, ha a magas jogosultságú rendszergazdai fiókok alacsonyabb megbízhatóságú felhasználói eszközökre és munkaállomásokra jelentkeznek be (például normál felhasználói munkaállomásokra és felhasználói tulajdonú eszközökre), néha olyan ugrókiszolgálókon keresztül, amelyek nem csökkentik hatékonyan ezeket a kockázatokat. További információkért tekintse meg a kiemelt hozzáférés és a kiemelt hozzáférési eszközök védelmét.

Biztonsági műveletek (SecOps/SOC)

A SecOps-csapatot néha biztonsági műveleti központnak (SOC) is nevezik. A SecOps csapata a szervezet eszközeihez való támadó hozzáférés gyors megtalálására és eltávolítására összpontosít. Szoros együttműködésben dolgoznak a technológiai műveletekkel és a mérnöki csapatokkal. A SecOps-szerepkörök a szervezet összes technológiájában működhetnek, beleértve a hagyományos informatikai, üzemeltetési technológiákat (OT) és az eszközök internetes hálózatát (IoT). A felhőcsapatokkal leggyakrabban kommunikáló SecOps-szerepkörök a következők:

  • Triage elemzők (1. szint). Reagál a jól ismert támadási technikák incidensészleléseire, és dokumentált eljárásokat követ a gyors megoldás érdekében (vagy szükség szerint eszkalálja őket a vizsgálati elemzőkre). A SecOps hatókörétől és fejlettségi szintjétől függően ez magában foglalhatja az e-mailekből, a végpont kártevőirtó megoldásokból, a felhőszolgáltatásokból, a hálózatészlelésekből vagy más technikai rendszerekből származó észleléseket és riasztásokat.

  • Vizsgálati elemzők (2. szint). Reagál a nagyobb összetettségű és súlyosabb incidensvizsgálatokra, amelyek több tapasztalatot és szakértelmet igényelnek (a jól dokumentált megoldási eljárásokon túl). Ez a csapat általában olyan támadásokat vizsgál, amelyeket élő emberi támadók és több rendszert érintő támadások hajtanak végre. Szoros együttműködésben dolgozik a technológiai műveletekkel és a mérnöki csapatokkal az incidensek kivizsgálása és megoldása érdekében.

  • Veszélyforrás-keresés. Proaktív módon keres rejtett fenyegetéseket a műszaki tulajdonban, amelyek elkerülték a szabványos észlelési mechanizmusokat. Ez a szerepkör speciális elemzéseket és hipotézisalapú vizsgálatokat használ.

  • Fenyegetések felderítése. Összegyűjti és terjeszti a támadókkal és fenyegetésekkel kapcsolatos információkat az összes érdekelt fél számára, beleértve az üzleti, technológiai és biztonsági információkat. A fenyegetésintelligencia-csapatok kutatásokat végeznek, (formálisan vagy informálisan) megosztják az eredményeket, és terjesztik őket különböző érdekelt feleknek, beleértve a felhőbiztonsági csapatot is. Ez a biztonsági környezet segít ezeknek a csapatoknak ellenállóbbá tenni a felhőszolgáltatásokat a támadásokkal szemben, mivel valós támadási információkat használnak a tervezés, a megvalósítás, a tesztelés és a működés során, és folyamatosan fejlesztik őket.

  • Észleléstechnika. Egyéni támadásészleléseket hoz létre, és testre szabja a szállítók és a szélesebb közösség által biztosított támadásészleléseket. Ezek az egyéni támadásészlelések kiegészítik a gyártó által biztosított észleléseket a kiterjesztett észlelési és válaszeszközökben gyakran előforduló gyakori támadásokhoz, valamint néhány biztonsági információhoz és eseménykezelési (SIEM) eszközhöz. Az észlelési mérnökök a felhőbiztonsági csapatokkal együttműködve azonosítják az észlelések tervezésének és megvalósításának lehetőségeit, a támogatásukhoz szükséges adatokat, valamint az észlelésekre vonatkozó válasz-/helyreállítási eljárásokat.

Biztonságirányítás, kockázat és megfelelőség

A Security Governance, Risk and Compliance (GRC) egy olyan, egymással összefüggő szemlélet, amely a biztonsági csapatok technikai munkáját integrálja a szervezeti célokkal és elvárásokkal. Ezek a szerepkörök és csapatok két vagy több szemlélet hibridjei lehetnek, vagy különálló szerepkörök is lehetnek. A felhőtechnológiai életciklus során a felhőcsapatok az alábbi szemléletekkel működnek együtt:

  • A szabályozási szemlélet egy alapvető képesség, amely arra összpontosít, hogy a szervezet következetesen implementálja a biztonság minden aspektusát. A szabályozási csapatok a döntési jogokra (ki milyen döntéseket hoznak) és a csapatokat összekötő és irányító keretrendszerekre összpontosítanak. Hatékony irányítás nélkül a megfelelő vezérlőkkel, szabályzatokkal és technológiával rendelkező szervezeteket továbbra is megsérthetik azok a támadók, akik olyan területeket találtak, ahol a tervezett védelem nem implementálható megfelelően, teljesen vagy egyáltalán.

  • A kockázatkezelési szemlélet középpontjában annak biztosítása áll, hogy a szervezet hatékonyan értékelje, megértse és mérsékelje a kockázatokat. A kockázatkezelési szerepkörök a szervezet számos csapatával együttműködve egyértelmű képet alkotnak a szervezet kockázatáról, és naprakészek maradnak. Mivel számos kritikus üzleti szolgáltatás üzemeltethető felhőinfrastruktúra és -platformokon, a felhő- és kockázati csapatoknak együtt kell működniük ennek a szervezeti kockázatnak a felmérése és kezelése érdekében. Emellett az ellátási lánc biztonsága a külső szállítókkal, nyílt forráskód összetevőkkel és partnerekkel kapcsolatos kockázatokra összpontosít.

  • A megfelelőségi szemlélet biztosítja, hogy a rendszerek és folyamatok megfeleljenek a szabályozási követelményeknek és a belső szabályzatoknak. E szemlélet nélkül előfordulhat, hogy a szervezet ki van téve a külső kötelezettségeknek való meg nem felelőséggel kapcsolatos kockázatoknak (bírságok, felelősség, bevételkiesés egyes piacokon való működésképtelenségből stb.). A megfelelőségi követelmények általában nem képesek lépést tartani a támadók fejlődésével, de mégis fontos követelményforrásnak számít.

Mindhárom szemlélet az összes technológiában és rendszerben működik, hogy minden csapatban a szervezeti eredményekhez vezessen. Mindhárom az egymástól kapott környezetre is támaszkodik, és jelentősen kihasználja a fenyegetésekre, az üzleti környezetre és a technológiai környezetre vonatkozó jelenlegi magas megbízhatósági adatok előnyeit. Ezek a szakterületek az architektúrára is támaszkodnak, hogy kifejezzék a cselekvési víziót, valamint a biztonsági oktatást és politikát, hogy szabályokat állapítsanak meg, és irányítsák a csapatokat a számos napi döntés során.

A felhőmérnöki és üzemeltetési csapatok munkakörülmény-felügyeleti szerepkörökkel, megfelelőségi és auditálási csapatokkal, biztonsági architektúrával és mérnöki feladatokkal, illetve a GRC-témakörökben az információbiztonsági vezető (CISO) szerepkörökkel dolgozhatnak.

Biztonsági oktatás és politika

A szervezeteknek gondoskodniuk kell arról, hogy minden szerepkör alapvető biztonsági ismeretekkel és útmutatással rendelkezzen arról, hogy mit kell tenniük a biztonsággal és annak módjával kapcsolatban. A cél eléréséhez az írott politika és az oktatás kombinációjára van szükség. A felhőcsapatok oktatása lehet informális mentorálás olyan biztonsági szakemberek számára, akik közvetlenül velük dolgoznak, vagy hivatalos program lehet dokumentált tantervekkel és kijelölt biztonsági bajnokokkal.

Egy nagyobb szervezetben a biztonsági csapatok szervezeti felkészültséggel / képzéssel és biztonsági oktatással és bevonási szerepkörökkel dolgoznak a formális biztonsági képzésen, és biztonsági bajnokokat állíthatnak be a technikai csapatokon belül, hogy a társaikat a biztonságra tanítsák és tanítsák.

A biztonsági oktatásnak és a szabályzatnak segítenie kell az egyes szerepköröknek a következő megértésében:

  • Miért. Mutassa meg az egyes szerepköröknek, hogy miért fontos számukra a biztonság, és miért vannak céljaik a szerepkörök feladatainak kontextusában. Ha az emberek nem értik, miért fontos számukra a biztonság, akkor úgy ítélik meg, hogy nem fontos, és továbblép valami másra.

  • Mi. Foglalja össze, hogy milyen biztonsági feladatokat kell elvégezniük az általuk már értett nyelven. Ha az emberek nem tudják, mit kérnek tőlük, feltételezik, hogy a biztonság nem fontos vagy nem releváns számukra, és továbblépnek valami másra.

  • Hogy. Győződjön meg arról, hogy minden szerepkör rendelkezik egyértelmű útmutatással arra vonatkozóan, hogyan alkalmazhat biztonsági útmutatást a szerepkörében. Ha a felhasználók nem tudják, hogyan tehetik meg ténylegesen azt, amit kérnek (például javításkiszolgálók, annak azonosítása, hogy a hivatkozás adathalász hivatkozás-e, megfelelően jelentenek-e üzenetet, kódot tekintenek át vagy fenyegetésmodellt hajtanak végre), akkor sikertelenek lesznek, és továbblépnek valami másra.

Példaforgatókönyv: Tipikus együttműködés a csapatok között

Amikor egy szervezet üzembe helyez és üzembe helyez egy WAF-et, több biztonsági csapatnak együtt kell működnie annak hatékony üzembe helyezése, felügyelete és a meglévő biztonsági infrastruktúrába való integrációja érdekében. Így nézhet ki a csapatok közötti együttműködés egy vállalati biztonsági szervezetben:

  1. Tervezés és tervezés
    1. Az irányítási csapat azonosítja a fokozott webalkalmazás-biztonság szükségességét, és költségvetést rendel a WAF-hez.
    2. A hálózati biztonsági tervező megtervezi a WAF üzembehelyezési stratégiáját, biztosítva, hogy zökkenőmentesen integrálható legyen a meglévő biztonsági vezérlőkkel, és összhangban legyen a szervezet biztonsági architektúrájával.
  2. Implementálás
    1. A hálózati biztonsági mérnök a tervező terveinek megfelelően telepíti a WAF-ot, konfigurálja az adott webalkalmazások védelmére, és lehetővé teszi a monitorozást.
    2. Az IAM mérnöke beállítja a hozzáférés-vezérlést, biztosítva, hogy csak a jogosult személyzet felügyelhesse a WAF-ot.
  3. Monitorozás és felügyelet
    1. A testtartás-felügyeleti csapat útmutatást nyújt az SOC számára a WAF monitorozásának és riasztásának konfigurálásához, valamint a WAF-tevékenység nyomon követésére szolgáló irányítópultok beállításához.
    2. A fenyegetésfelderítési és észlelési mérnöki csapatok segítenek a WAF-et érintő incidensekre vonatkozó választervek kidolgozásában, valamint szimulációk elvégzésében a tervek teszteléséhez.
  4. Megfelelőség és kockázatkezelés
    1. A megfelelőségi és kockázatkezelési tisztviselő felülvizsgálja a WAF üzembe helyezését, hogy megfeleljen a jogszabályi követelményeknek, és rendszeres ellenőrzéseket végezzen.
    2. Az adatbiztonsági mérnök biztosítja, hogy a WAF naplózási és adatvédelmi intézkedései megfeleljenek az adatvédelmi előírásoknak.
  5. Folyamatos fejlesztés és képzés
    1. A DevSecOps mérnök integrálja a WAF-felügyeletet a CI/CD-folyamatba, biztosítva, hogy a frissítések és konfigurációk automatizáltak és konzisztensek legyenek.
    2. A biztonsági oktatási és előjegyzési szakember képzési programokat fejleszt és nyújt annak érdekében, hogy minden érintett személyzet megértse a WAF hatékony használatát és kezelését.
    3. A felhőszabályozási csapat tagja áttekinti a WAF üzembe helyezési és felügyeleti folyamatait, hogy azok megfeleljenek a szervezeti szabályzatoknak és szabványoknak.

A hatékony együttműködés révén ezek a szerepkörök biztosítják, hogy a WAF megfelelően legyen üzembe helyezve, valamint folyamatosan monitorozzák, felügyeljék és továbbfejlődjenek, hogy megvédjék a szervezet webalkalmazásait a változó fenyegetésektől.

Következő lépés

A biztonság integrálása a felhőbevezetési stratégiába