Beveiligingsintegratie

  • Artikel

In uw organisatie moet beveiliging deel uitmaken van de taak van iedereen, net als bedrijfsvereisten, prestaties en betrouwbaarheid. Beveiliging, op alle niveaus, moet bekend zijn met algemene bedrijfsprioriteiten, IT-initiatieven en risicobereidheid voor uw organisatie. Envision security as a thread that weaves through every aspect of your business. Beveiliging zou een natuurlijk onderdeel van het bedrijf moeten zijn. Zaken moeten een natuurlijk onderdeel van de beveiliging zijn.

Uw organisatie moet beveiligingsgaranties behouden terwijl de wrijving met bedrijfsprocessen wordt geminimaliseerd.

Diagram shows finance, information technology, and information security departments with a two headed arrow that represents internal interactions.

Interne wrijving en lage conflictniveaus tussen teams kunnen optreden in organisaties. Dergelijke conflicten zijn niet duurzaam. Het is essentieel voor alle teams om samen te werken in de leeftijd van cloud, digitaal bedrijf en nul vertrouwensbeveiliging. Teams die werken met verschillende doelen, cultuur en taal maken een organisatie inefficiënt en ineffectief.

Zorg ervoor dat beveiligingsteams niet in silo's werken. De teams moeten nauw samenwerken om soepele procesbewerkingen en kennisdeling te garanderen.

Bekijk de volgende video voor meer informatie over het integreren van beveiliging in alle gebieden van uw bedrijf.

In deze richtlijnen wordt beschreven hoe u de beveiligingsintegratie met bedrijfs- en IT-teams en integratie tussen beveiligingsteams kunt verbeteren.

Relaties normaliseren

Het overhalen van de silobenadering die veel organisaties gebruiken, kan een uitdaging zijn, maar dit kan wel worden gedaan. De belangrijkste elementen zijn duidelijk over de eindstatus, zorgen voor duidelijkheid over het proces en bieden doorlopende leiderschapsondersteuning voor tastbare doelen en veranderingen in cultuur en gedrag. De volgende elementen zijn essentieel voor het proces:

  • Identificeer gedeelde doelen en resultaten.
  • Het juiste beveiligingsniveau identificeren.

Gedeelde doelen en resultaten identificeren

Zorg ervoor dat er een gedeeld begrip is van uw doelen die betrekking hebben op alle teams. Beveiligingsteams definiëren zichzelf soms als kwaliteitscontrole over de bedrijfs- en IT-functies. Deze aanpak creëert een adversarial dynamisch en genereert wrijving. Bedrijfsproductiviteit, IT-doelen en beveiligingsdoelen kunnen van deze dynamische last hebben.

Zorg ervoor dat beveiligingsteams nauw zijn geïntegreerd met hun IT- en zakelijke tegenhangers. Beveiligingsteams zijn gezamenlijk verantwoordelijk voor de bedrijfs-, IT- en beveiligingsresultaten van elk initiatief. Deel de uitdagingen van het ontwerpen van systemen om te voldoen aan bedrijfs- en IT-doelstellingen. Deel beveiligingsperspectief en expertise op het juiste moment.

Naarmate systemen worden ontworpen, geïmplementeerd, uitgevoerd en continu verbeterd, is het essentieel om kaders in te stellen, zodat geen enkele stem alle beslissingen overheerst die betrekking hebben op zaken, IT of beveiliging.

Het juiste beveiligingsniveau identificeren

Sommige besturingselementen voor beveiliging, zoals biometrische aanmelding met Windows Hello voor Bedrijven hebben de dubbele voordelen van het verbeteren van de gebruikerservaring en de beveiliging sterker. Veel beveiligingsmaatregelen zorgen voor wrijving bij bedrijfsprocessen en kunnen ze vertragen. We streven ernaar eerst beveiligingsmaatregelen te vinden die gemakkelijk en onzichtbaar zijn voor gebruikers en ontwikkelaars. Wij moeten aanvaarden dat er soms een compromis moet worden gemaakt.

Deze gezamenlijke teams moeten altijd streven naar een gezond wrijvingsniveau in het proces dat waarde creëert door kritisch denken op het juiste moment te stimuleren. U kunt bijvoorbeeld overwegen wat een aanvaller kan doen met een nieuwe functie of hoeveel bedrijfsimpact het gevolg is van het wijzigen van bepaalde gegevens.

Teams moeten streven naar de beste balans tussen twee absolute waarheden:

  • Beveiliging kan niet worden overgeslagen. Het overslaan van beveiliging leidt vaak tot incidenten die uiteindelijk meer kosten (productiviteit, omzet, algehele bedrijfsimpact) dan de integratie van beveiliging zou hebben.
  • Beveiligingscontroles kunnen een beschadigd wrijvingsniveau bereiken waarbij de beveiligingswrijving meer waarde belemmert dan wordt beschermd.

Het is essentieel om een balans te vinden omdat beveiliging is geïntegreerd in het proces. Belanghebbenden moeten allemaal samenwerken om ervoor te zorgen dat zakelijke problemen, IT-betrouwbaarheid en prestatieproblemen en beveiligingsproblemen worden overwogen en evenwichtig worden overwogen. Organisaties moeten ook werken aan het oplossen van problemen voor de 80 procent en het plannen van de andere 20 procent. Door besturingselementen, functies en mogelijkheden voor beveiliging af te houden totdat er een oplossing van 100 procent is, zetten organisaties alles wat ze doen in gevaar voor blootstelling. Iteratieve benaderingen werken goed, evenals de basisprincipes van het bijwerken en onderwijs.

Zie het juiste beveiligingsniveau in de richtlijnen voor beveiligingsstrategie voor meer informatie over gezonde beveiligingsproblemen .

In de volgende sectie ziet u hoe u beveiligingsbelangen kunt integreren met IT-, eindgebruikers en workloadeigenaren. Het bevat ook voorbeelden voor binnen het beveiligingsteam.

Integreren met IT en bedrijfsactiviteiten

Hoewel de meeste beveiligingsfuncties buiten zicht werken, worden er enkele beveiligingsoverwegingen weergegeven in dagelijkse bedrijfs- en IT-werkstromen. Beveiligingsdenken moet worden geïntegreerd in de normale ervaring van het plannen en opereren van een bedrijf.

Beveiligingsupdateproces

Beveiligingsupdates zijn een van de meest voorkomende en zichtbare punten waar bedrijfsprocessen en beveiligingsprocessen communiceren. Het is een veelvoorkomende bron van wrijving omdat het de moeilijke balans van twee verschillende krachten omvat, die zijn toegewezen aan het scheiden van belanghebbenden in de organisatie:

  • Onmiddellijke bedrijfsimpact: beveiligingsupdates vereisen vaak testen en opnieuw opstarten van het systeem, die tijd en resources verbruiken voor eigenaren van toepassingen en IT-teams, en mogelijk leiden tot bedrijfsimpact als gevolg van downtime.
  • Mogelijke toekomstige bedrijfsimpact als beveiligingsrisico: als updates niet volledig worden toegepast, kunnen aanvallers misbruik maken van de beveiligingsproblemen en bedrijfsimpacten veroorzaken.

Als teams werken zonder gedeelde doelen en verantwoordelijkheid (bijvoorbeeld IT en het bedrijf gericht op 100 procent op directe bedrijfsimpact, is beveiliging verantwoordelijk voor 100 procent van het beveiligingsrisico), dan zijn ze constant conflict met beveiligingsupdates. Dit conflict leidt de teams af met eindeloze argumenten in plaats van dat ze samenwerken om het probleem op te lossen, zodat ze zich kunnen verplaatsen naar het volgende probleem, risico's en kansen voor het creëren van bedrijfswaarden. Doorlopende communicatie binnen de organisatie en het creëren van een cultuur waarin updates worden omarmd, zullen een lange weg gaan om het terugsturen van eindgebruikers te beperken. Als de gebruikers weten dat ze beter worden beveiligd, productiever kunnen zijn en het bedrijf kunnen bouwen omdat de beveiliging naast hen staat, zullen ze waarschijnlijk updates en doorlopend onderwijs omarmen.

Door de verantwoordelijkheid voor alle voordelen en risico's op de juiste wijze te plaatsen voor de eigenaren van activa, is het voor hen gemakkelijker om onmiddellijk en mogelijk toekomstige gevolgen te overwegen. Door het identificeren van de oplossing een gezamenlijke verantwoordelijkheid van alle deskundigen op het gebied van beveiliging, IT en bedrijven verhoogt de kwaliteit van de oplossing door meer en diverse perspectieven te overwegen. Zorg ervoor dat iedereen een belanghebbende is in het beveiligingsverhaal in het hele bedrijf. Hoewel iedereen mogelijk geen beveiliging heeft als dagelijkse rol, hebben ze wel beveiligingsvereisten om hun rol uit te voeren.

In dit voorbeeldproces ziet u hoe organisaties dit probleem beginnen op te lossen met gedeelde verantwoordelijkheid en flexibiliteit binnen een beperkt tijdsbestek:

Diagram shows the process of distributing security updates.

Dit proces wordt volgens een normaal schema gevolgd:

  • Ondernemings-IT- en beveiligingsteams starten het proces door te bepalen welke beveiligingsupdates of patches vereist zijn en de hoogste impact hebben. Ze maken deze updates beschikbaar voor eindgebruikers of workloadeigenaren via distributiekanalen voor het hele bedrijf.
  • Eindgebruikers hebben een vaste periode om de updates te testen, toe te passen en hun apparaten opnieuw op te starten. Nadat deze periode is verlopen, passen it- en beveiligingsteams van ondernemingen de update toe of blokkeren ze de toegang tot bedrijfsresources. Ze kunnen gebruikmaken van een mechanisme zoals voorwaardelijke toegang van Microsoft Entra of een oplossing voor netwerktoegangsbeheer van derden.
  • Eigenaren van workloads krijgen een vaste periode om de updates te testen, toe te passen op productiesystemen en opnieuw op te starten, indien nodig. Na die selfserviceperiode en een respijtperiode verloopt, dwingen IT- en beveiligingsteams van ondernemingen de update af om deze toe te passen of te isoleren van andere bedrijfsresources. Sommige organisaties met strenge vereisten kunnen de assets buiten gebruik stellen door ze te verwijderen uit Azure-abonnementen of AWS-accounts.
  • Bedrijfs-IT- en beveiligingsteams controleren de status van de update en voeren geforceerde herstel uit die zijn geïdentificeerd.

Dit proces is niet statisch en is niet ingesteld op één dag. Het is iteratief gebouwd en continu verbeterd in de loop van de tijd. Begin waar u ook bent en verbeter het proces voortdurend om incrementele voortgang naar deze eindstatus te maken. Gebruik de volgende dimensies voor het plannen van continue verbetering:

  • Dekking: Begin met een paar toepassingsteams met een hoge kans op succes of met een grote impact op het bedrijf als dit is gecompromitteerd. Voeg meer toe totdat u alle workloads in uw omgeving bedekt.
  • Tijd: Begin met deadlines die u weet te bereiken en stel een duidelijk schema in om ze voortdurend in te korten totdat u in een week of minder volledig bijgewerkt bent.
  • Technologiebereik. Verbeter voortdurend welke patches en technologieën u behandelt, waaronder toepassingen, middleware en opensource-onderdelen die worden gebruikt in toepassingscode. U moet het gebruik van onderdelen die voor u worden bijgewerkt, aanmoedigen om de onderhoudslast te verlagen. Gebruik bijvoorbeeld Azure SQL Database in plaats van uw eigen SQL Server te installeren en bij te werken.
  • Processen: Verbeter voortdurend communicatiekanalen tussen teams, prioriteitsrichtlijnen, uitzonderingsprocessen en alle andere aspecten van dit proces.

Beveiligingsteams integreren

Beveiligingsteams moeten samenwerken en samenwerken om een verhoogd bedrijfsrisico te voorkomen als gevolg van het werken in silo's. Wanneer leer- en sleutelinzichten niet worden gedeeld tussen beveiligingsteams, kan de organisatie meer schade ondervinden en gevolgen ondervinden van een toekomstig incident dat mogelijk is vermeden.

Beveiliging is een dynamische discipline die altijd moet reageren op actieve bedreigingen en altijd moet leren en continu processen, hulpprogramma's en technologieën moeten verbeteren. Beveiliging moet zich voortdurend aanpassen aan de verschuivingen in aanvallertechnieken, technologieplatforms en bedrijfsmodellen van hun organisatie. Beveiligingsteams moeten samenwerken om snel te reageren op bedreigingen en continu inzichten en leerprocessen te integreren die zowel de beveiligingspostuur van de organisatie verbeteren als de mogelijkheid om snel te reageren op aanvallen.

In het volgende werkstroomdiagram ziet u hoe beveiligingsdisciplines moeten samenwerken om leer- en inzichten volledig te integreren om de beveiliging over het algemeen te verbeteren.

Diagram shows collaboration to reduce security risks.

De primaire missie van de beveiliging is om snel te reageren op de volgende situaties:

  • Nieuwe incidenten: actieve aanvallers met toegang tot organisatieresources vormen een onmiddellijk risico voor de organisatie die snel moet worden hersteld als eerste prioriteit. Na herstel vertegenwoordigen deze aanvallen de beste kans om te leren hoe toekomstige aanvallen eruit zullen zien. Of ze nu zijn geslaagd of mislukt, aanvallers zullen waarschijnlijk hetzelfde doel, dezelfde techniek of hetzelfde model voor geld verdienen herhalen.

  • Nieuwe inzichten en inzichten: nieuwe inzichten en leertrajecten kunnen afkomstig zijn van de volgende bronnen:

    • Externe incidenten. Incidenten bij andere organisaties kunnen inzicht bieden in aanvallers. Ze kunnen hetzelfde proberen in uw organisatie. Deze kennis informeert verbeteringsplannen of valideert dat uw investeringen op het juiste spoor staan. Ontdek externe incidenten via een informatiedelings- en analysecentrum (ISAC), directe relaties met peerorganisaties of andere openbare rapportage en analyse van incidenten.

    • Nieuwe technische mogelijkheden. Cloudproviders en softwareleveranciers innoveren voortdurend. Ze voegen mogelijkheden toe aan hun producten:

      • Bedrijfsmogelijkheden waarvoor beveiligingsbeveiliging is vereist.
      • Beveiligingsmogelijkheden die de mogelijkheid van beveiliging verbeteren om de assets te verdedigen. Deze mogelijkheden zijn mogelijk systeemeigen beveiligingsmogelijkheden die zijn geïntegreerd in cloudplatforms of andere platformtechnologie. Dit kunnen traditionele zelfstandige beveiligingsmogelijkheden zijn.
      • De zichtbaarheid en telemetrie die beschikbaar zijn op basis van cloudbeveiliging wegen veel op tegen wat organisaties van hun on-premises omgeving kunnen krijgen. Al deze gegevens worden verzameld met behulp van metagegevens van overal. De gegevens worden uitgevoerd via een grondig analyseproces, waaronder gedragsanalyse, detonatiekamers, machine learning en AI.

    • Best practices voor de branche: Best practices van leveranciers en organisaties zoals National Institute of Standards and Technology (NIST), Center for Internet Security (CIS) en The Open Group. Deze organisaties hebben een charter om leer- en best practices te verzamelen en te delen waaruit beveiligingsteams kunnen leren.

    • Beveiligingsproblemen zijn alles wat een aanvaller kan misbruiken om controle te krijgen over een asset, zoals softwareproblemen. Er zijn ook beveiligingsconfiguratieopties, zwakke punten in cryptografische algoritmen, onveilige procedures en processen voor het gebruik of beheren van systemen. Wanneer u beveiligingsproblemen detecteert, evalueert u deze op hoe ze van invloed zijn op uw beveiligingspostuur en de mogelijkheid om een aanval te detecteren, erop te reageren en te herstellen.

  • Reageren op bedreigingen: beveiligingsteams onderzoeken detecties. Ze reageren op hen door aanvallers uit hun controlepunten in de organisatie te verwijderen. Afhankelijk van de grootte van de organisatie en complexiteit van het incident, kan dit antwoord verschillende beveiligingsteams omvatten.

  • Hoofdoorzaakanalyse: Het identificeren van de belangrijkste factoren die een belangrijk incident een grotere kans of een hogere impact hebben gemaakt, genereert inzichten die de beveiligingspostuur van organisaties en de mogelijkheid om te reageren kunnen verbeteren. Deze kennis kan op verschillende dimensies plaatsvinden, waaronder aanvalshulpprogramma's en infrastructuur, aanvalstechnieken, doelen, motivatie en modellen voor het genereren van inkomsten. Hoofdoorzaakanalyse kan preventieve controles, rechercheurcontroles, beveiligingsprocessen of een ander element van het beveiligingsprogramma of de architectuur informeren.

  • Opsporing van bedreigingen: Proactief opsporen op bedreigingen is een doorlopende activiteit. Opsporing moet altijd rekening houden met nieuwe inzichten of inzichten in de opsporingsplanning en hypotheseontwikkeling. Hunt-teams willen zich mogelijk richten op belangrijke aspecten:

    • Onlangs wijdverspreid of een beveiligingsprobleem met een hoge impact.
    • Een nieuwe aanvallergroep.
    • Een nieuwe aanvalstechniek die tijdens een conferentie is gedemonstreerd.

  • Oplossing ontwerpen en implementeren: geleerde lessen moeten worden geïntegreerd in de technische omgeving en zowel beveiliging als bedrijfsprocessen. Teams moeten samenwerken om lessen te integreren in architectuur, beleid en standaarden. De diefstal van beheerdersreferenties in een recent intern of openbaar incident kan de organisatie bijvoorbeeld ertoe aansporen de controles in de toegang tot bevoegdheden van Microsoft aan te nemen. Zie Beveiligingsplan voor snelle modernisering voor meer informatie.

Volgende stappen

Wanneer u uw overstap naar de cloud plant, richt u zich op het integreren van beveiligingsfuncties. Integreer beveiliging met uw grotere organisatie. Let goed op de wrijving die de beveiliging genereert. Zorg ervoor dat de wrijving gezond is. Gezonde wrijving vermindert het risico voor de organisatie zonder vertragingen te creëren die meer waarde berokkenen dan ze beschermen.