Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo aiuta i leader della sicurezza e della tecnologia a stabilire o modernizzare una disciplina di gestione del comportamento di sicurezza. Questa disciplina è incentrata sulla riduzione continua dell'esposizione organizzativa agli attacchi identificando ed eliminando i percorsi di attacco più probabili per gli asset critici.
Le discipline di sicurezza sono raggruppamenti di lavoro correlati alla sicurezza che aiutano le organizzazioni a offrire costantemente risultati di sicurezza nell'intero patrimonio tecnologico. All'interno del modello di adozione della sicurezza, le discipline consentono di fornire un ponte tra scenari aziendali e implementazione tecnica, garantendo che gli investimenti per la sicurezza si traduca in risultati misurabili reali come parte del modello di adozione della sicurezza.
Perché questa disciplina
I cyberattack di maggior successo non iniziano con exploit avanzati. Iniziano abusando di punti deboli noti e facilmente sfruttabili, spesso nell'identità, negli endpoint, nell'infrastruttura, nelle applicazioni o nell'igiene della configurazione.
La disciplina Security Posture esiste per prevenire gli attacchi prima che si verifichino, completando la disciplina Operazioni di sicurezza (SecOps), che è incentrata sul rilevamento, l'indagine e la risposta dopo la compromissione.
- La postura di sicurezza riduce le opportunità per gli attaccanti.
- Le operazioni di sicurezza limitano l'impatto quando la prevenzione fallisce.
Insieme, formano un modello operativo di sicurezza completo.
Senza una disciplina dedicata al comportamento di sicurezza, le organizzazioni spesso considerano la gestione del comportamento come:
- Analisi periodica delle vulnerabilità.
- Casella di controllo conformità.
- Raccolta di progetti di correzione disconnessi.
Questo approccio lascia i punti deboli sistemici fino a quando gli utenti malintenzionati non li sfruttano.
Questo diagramma illustra la natura complementare della gestione del comportamento di sicurezza e delle operazioni di sicurezza:
Obiettivi e risultati
Ridurre la probabilità e l'impatto dei cyberattacchi identificando ed eliminando continuamente i rischi più sfruttabili nel patrimonio tecnologico dell'organizzazione.
Le organizzazioni che maturano questa disciplina ottengono:
- Rilevamento continuo degli asset in tutto l'ambiente IT moderno.
- Visibilità con priorità sulle vulnerabilità sfruttabili e i percorsi di attacco.
- Correzione più rapida ed efficace da parte dei team proprietari di asset.
- Ridurre la superficie di attacco e il raggio di esplosione.
- Miglioramento della resilienza contro le interruzioni aziendali.
Il comportamento di sicurezza funge da estensione operativa della governance, traducendo le priorità dei rischi aziendali in attività quotidiane di correzione.
Come applicare questa disciplina
Per applicare la disciplina Security Posture Management in modo efficace, concentrarsi sulla definizione di un approccio continuo basato sui rischi per comprendere e migliorare il comportamento di sicurezza dell'organizzazione:
-
Definire una strategia di gestione del comportamento allineata al rischio aziendale
Stabilire un approccio chiaro per identificare, misurare e classificare in ordine di priorità i rischi di sicurezza in base al potenziale impatto sull'azienda. -
Garantire la visibilità continua nell'ambiente
Mantenere una visione aggiornata di asset, configurazioni ed esposizioni su identità, dispositivi, applicazioni, infrastruttura e dati. -
Standardizzare la valutazione e la priorità dei rischi per la sicurezza
Fornire indicazioni chiare per garantire che le vulnerabilità, le configurazioni errate e i rischi vengano valutati in modo coerente e risolto in base all'impatto. -
Allineare la gestione del comportamento alle priorità aziendali e agli asset critici
Concentrare le attività di correzione sui rischi più importanti che interessano asset di valore elevato e scenari aziendali chiave. -
Migliorare continuamente la postura attraverso la misurazione e la correzione
Usare informazioni dettagliate dalle valutazioni, dalle tendenze dei rischi e dagli sforzi di correzione per ridurre l'esposizione e rafforzare la sicurezza nel tempo.
Gestire il cambiamento
La gestione moderna del comportamento di sicurezza rappresenta un passaggio dalla segnalazione di vulnerabilità statica a una riduzione continua dei rischi.
| Approccio tradizionale | Disciplina moderna |
|---|---|
| Analisi periodiche delle vulnerabilità | Individuazione continua di asset e rischi. |
| Definizione delle priorità basata sulla conformità | Prioritizzazione basata sulle minacce. |
| Rilevamenti di competenza del team Sicurezza | Responsabilità condivisa con i team di progettazione e i proprietari aziendali dei sistemi. |
| Correzione una tantum | Correzione e miglioramento continui. |
| Patch solo in caso di eccezione | Applica patch come impostazione predefinita. |
Il diagramma seguente illustra gli elementi chiave della disciplina Comportamento di sicurezza.
Principi chiave
I principi chiave di modernizzazione includono:
- Abilitazione: andare oltre gli strumenti e i report. Fornire ai team tecnici e operativi indicazioni, contesto, automazione ed istruzione per ridurre i rischi come parte del normale lavoro.
-
Ambito: risolvere i punti deboli in più dimensioni:
- Funzionale - Risolvere i difetti di progettazione e implementazione.
- Configurazione -Correggere gli errori di configurazione e la deriva della configurazione nel tempo.
- Operativo : risolvere le procedure amministrative e operative che consentono l'uso improprio (ad esempio, la gestione delle credenziali deboli).
- Operazioni: fai del miglioramento della postura un'attività ingegneristica continua, non una bonifica una tantum. Ciò richiede una collaborazione sostenuta, un cambiamento culturale e un progresso incrementale.
Questa disciplina richiede un cambiamento culturale, una collaborazione sostenuta e un miglioramento incrementale anziché progetti di correzione una tantum.
Strategia del comportamento di sicurezza
Una strategia efficace per il comportamento di sicurezza è incentrata su tre attività continue:
Individuare gli asset: identificare continuamente gli asset nell'intero patrimonio moderno, tra cui:
- Sistemi di gestione delle identità
- Endpoints
- Applicazioni SaaS
- Infrastruttura cloud e locale
- OT, IoT e piattaforme emergenti
Ciò richiede una stretta collaborazione con i team di proprietà, configurazione e piattaforma degli asset.
Identificare e classificare in ordine di priorità i rischi sfruttabili: concentrarsi sulle vulnerabilità e sui percorsi di attacco seguenti:
- Poco costoso da sfruttare per gli aggressori.
- Affidabile su larga scala.
- Punti di ingresso comuni per attacchi multistage.
L'intelligence sulle minacce e i modelli di attacco reali devono informare la definizione delle priorità, non i punteggi di gravità da soli.
Attivare la mitigazione: collaborare con i team responsabili delle risorse per:
- Integrare la correzione nei flussi di lavoro esistenti.
- Ridurre l'attrito e ripetere lo sforzo.
- Tenere traccia dello stato di avanzamento rispetto agli obiettivi di riduzione del rischio.
Il comportamento di sicurezza ha esito positivo quando la correzione diventa più veloce e più semplice rispetto all'ignorare i rischi.
Ruoli e collaboratori della disciplina
Il comportamento di sicurezza è intrinsecamente interfunzionale.
I ruoli principali includono:
Team di progettazione e operazioni: responsabili della tecnologia e della sicurezza, tecnici di sicurezza e automazione responsabili dell'implementazione di mitigazioni e mantenimento dell'igiene:
- Identità e accesso
- Networking
- Endpoint e produttività degli utenti
- Infrastruttura e piattaforme (cloud, locale, CI/CD)
- Dati
- AI
- Ambienti OT
Ruoli dell'architettura: progettano i sistemi e i controlli che la disciplina Security Posture monitora e migliora:
- Architetto aziendale
- Progettista della sicurezza
- Infrastruttura, identità, applicazione, dati e architetti di intelligenza artificiale.
- Architetti di intelligenza artificiale e dati.
Strategia di sicurezza, integrazione e governance (tutti gli altri): fornire indicazioni e supporto attraverso:
- Definizione delle priorità dei rischi e metriche
- Conformità e allineamento dei criteri
- Formazione e impegno per la sicurezza
Intelligence sulle minacce e SecOps: informare la definizione delle priorità in base al comportamento degli utenti malintenzionati, alle campagne attive e alle tecniche emergenti.
Allineamento con altre discipline
Security Posture Management interagisce strettamente con altre discipline:
- SecOps: la prevenzione integra il rilevamento e la risposta.
- Strategia di sicurezza, integrazione e governance: priorità dei rischi e metriche.
- Architettura di sicurezza: posizionamento coerente dei controlli.
- Accesso e identità: riduzione dei percorsi di attacco basati sull'identità.
- Infrastruttura, sviluppo e sicurezza dei dati: eliminazione dei punti deboli sistemici.
Insieme, queste discipline creano un modello operativo di sicurezza coesivo.
Allineamento con i pilastri tecnologici
Il comportamento di sicurezza si estende su tutti i pilastri della tecnologia:
- Identità : questo pilastro è una priorità assoluta per il comportamento di sicurezza perché l'identità è un punto di ingresso ad alto rischio che è fondamentale per quasi tutti gli attacchi. Quasi tutti gli attacchi multifase si basano su attacchi basati sull'identità, come pass-the-hash, ticket e altri metodi, per muoversi lateralmente e accedere ad altre risorse dell'organizzazione. Questi attacchi usano spesso account con privilegi associati agli amministratori IT o agli account del servizio amministrativo.
- Endpoints: Gli endpoint sono un comune punto di accesso iniziale e una base operativa per gli attaccanti. È fondamentale trovare e correggere rapidamente le vulnerabilità degli endpoint.
- Infrastruttura: l'individuazione rapida e la mitigazione delle vulnerabilità dell'infrastruttura sono importanti perché l'infrastruttura ha un impatto ampio a causa delle dipendenze condivise per carichi di lavoro e dati ospitati.
- App: trovare e mitigare rapidamente queste vulnerabilità è importante perché gli attori delle minacce spesso usano posta elettronica, collaborazione, line-of-business e altre app per accedere e attraversare in modo successivo in un'organizzazione per accedere agli asset aziendali.
- Dati: i dati forniscono un obiettivo di alto valore per il furto, l'estorsione e l'interruzione. Gli utenti malintenzionati spesso usano i dati per il furto di proprietà intellettuale, la crittografia per sfruttare l'estorsione o il ransomware, pianificare attacchi futuri e altri scopi.
- Reti: le operazioni di attacco degli attori delle minacce che si basano sulla connettività di rete. I controlli di sicurezza di rete limitano i percorsi di comunicazione, vincolano lo spostamento degli utenti malintenzionati e rilevano flussi anomali.
- Intelligenza artificiale: le superfici di attacco emergenti di intelligenza artificiale richiedono nuove funzionalità di individuazione e protezione.
La disciplina crea competenze, strumenti e processi coerenti in tutti i pilastri.
Passaggi successivi
Microsoft Unified offre workshop guidati da esperti per aiutare le organizzazioni ad accelerare la modernizzazione della strategia, dell'architettura e della tecnologia di gestione del comportamento di sicurezza. Questi workshop includono:
- Workshop su architettura e strategia - Il workshop Security Adoption Framework (SAF) – Chief Information Security Officer (CISO) Workshop* illustra la gestione della postura di sicurezza nell'ambito di una strategia e di un programma di sicurezza moderni ed efficaci.
- Workshop sull’adozione della tecnologia - Il Onboarding Accelerator - Microsoft Security Exposure Management accelera l’adozione di Microsoft Security Exposure Management.
Per altre informazioni sui workshop Microsoft-led, contattare il responsabile dell'account di successo del cliente.