Beveiligingsdrempels waar je overheen kunt varen: het standpunt van één architect
In dit artikel beschrijft Kozeta Garrett, Cybersecurity Architect bij Microsoft, de belangrijkste beveiligingsuitdagingen die ze ondervindt bij bedrijfsorganisaties en beveelt ze benaderingen aan om deze obstakels te overwinnen.
Over de auteur
In mijn rol als Cloud Security Architect heb ik met meerdere organisaties samengewerkt om strategische en technische richtlijnen te bieden die zich richten op het ontwerpen en implementeren van beveiligingsarchitectuur voor klanten die migreren naar Microsoft 365 en Azure, het ontwikkelen van bedrijfsbeveiligingsoplossingen en het helpen transformeren van beveiligingsarchitectuur en -cultuur voor zakelijke tolerantie. Mijn ervaring omvat het detecteren en reageren op incidenten, malware-analyse, penetratietests en het aanbevelen van verbeteringen in DE IT-beveiliging en -verdedigingspostuur. Ik ben gepassioneerd over het leiden van transformaties die resulteren in beveiliging als een enabler voor het bedrijf, inclusief moderniseringsinspanningen.
Het was zeer bevredigend om te zien hoe organisaties die de afgelopen jaren een houding van beveiligingsmodernisering hebben aangenomen, zich in een geweldige positie bevinden waardoor ze op een veilige manier op afstand kunnen blijven werken, ondanks de recente COVID-19-situatie. Helaas hebben deze omstandigheden ook gediend als een wake-up call voor sommige klanten, die niet klaar waren voor deze onmiddellijke behoefte. Veel organisaties realiseren zich dat ze snel moeten moderniseren, hun geaccumuleerde IT-beveiligingsschuld moeten inleveren en hun beveiligingspostuur van de ene op de andere dag moeten verbeteren, zodat ze in deze uiterst ongebruikelijke omstandigheden kunnen werken.
Het goede nieuws is dat Microsoft een aantal geweldige bronnen heeft samengesteld om organisaties te helpen hun beveiligingspostuur snel op te voeren. Naast deze resources wil ik graag de belangrijkste uitdagingen delen die ik dagelijks met klanten heb ondervonden in de hoop dat u deze obstakels kunt overwinnen.
Ik woon momenteel in Noord-Virginia, dicht bij de hoofdstad van ons land, Washington DC. Ik hou van vrijwel elke vorm van buitenactiviteiten en lichaamsbeweging, zoals hardlopen, fietsen, wandelen en zwemmen. Om deze tegen te gaan geniet ik net zoveel van koken, gastronomisch eten en reizen.
Werk samen met het beveiligingsteam vanaf het begin van de overstap naar de cloud
Om te beginnen kan ik niet genoeg benadrukken hoe belangrijk het is voor teams in uw organisatie om vanaf het begin te coördineren. Beveiligingsteams moeten worden omarmd als essentiële partners in de vroege stadia van cloudacceptatie en -ontwerp. Dit betekent dat beveiligingsteams onboarden om cloudacceptatie te bevorderen, niet alleen voor de toegevoegde mogelijkheden voor het bedrijf (zoals een geweldige gebruikerservaring van beveiligde mobiele apparaten, toepassingen met volledige functionaliteit of het creëren van waarde voor bedrijfsgegevens buiten de beperkte functionaliteit van e-mail- en productiviteitstoepassingen), maar ook om gebruik te maken van de mogelijkheden voor opslag, AI en computinganalyse die nieuwe en oude beveiligingsuitdagingen helpen oplossen. Beveiligingsteams moeten worden opgenomen in het beheer van alle aspecten van deze verschuiving, inclusief mensen (cultuur), processen (training) en technologie om succesvol te zijn. Het betekent ook investeren in de modernisering en continue verbetering van het Security Operations Center (SOC). Werk samen om uw beveiligingsstrategie af te stemmen op uw bedrijfsstrategie en omgevingstrends om ervoor te zorgen dat de digitale transformatie veilig wordt uitgevoerd. Wanneer dit goed wordt gedaan, ontwikkelen organisaties de mogelijkheid om zich sneller aan te passen aan wijzigingen, waaronder wijzigingen in het bedrijf, IT en beveiliging.
Waar ik klanten het meest zie struikelblok is wanneer er geen echte samenwerking is tussen de operations en de SOC-teams. Hoewel het operationele team onder druk wordt gezet en met strikte deadlines wordt belast om de cloud te gebruiken, worden de beveiligingsteams niet altijd vroeg betrokken bij het proces om een uitgebreide beveiligingsstrategie te herzien en te plannen. Dit omvat het integreren van verschillende cloudonderdelen en onderdelen on-premises. Dit gebrek aan partnerschap sijpelt verder door naar verschillende teams die in silo's lijken te werken om besturingselementen voor hun specifieke onderdelen te implementeren, wat leidt tot de extra complexiteit van implementatie, probleemoplossing en integratie.
Klanten die deze hindernissen overwinnen, hebben goede partnerschappen tussen de operations- en governance-teams en de beveiligings- en risicobeheerteams om de beveiligingsstrategie en vereisten voor het beveiligen van hybride cloudworkloads te vernieuwen. Ze richten zich op de ultieme beveiligingsdoelen en -resultaten: gegevensbescherming en beschikbaarheid van systemen en services in overeenstemming met cyberbeveiligingsgovernance, risico's en nalevingsvereisten. Deze organisaties ontwikkelen in een vroeg stadium partnerschappen tussen hun Operations and Governance-team en SOC, wat essentieel is voor de beveiligingsontwerpbenadering en de waarde van hun investeringen zal maximaliseren.
Een moderne (identiteitsgebaseerde) beveiligingsperimeter bouwen
Gebruik vervolgens een Zero Trust architectuurbenadering. Dit begint met het bouwen van een moderne, op identiteit gebaseerde beveiligingsperimeter. Ontwerp de beveiligingsarchitectuur waarin elke toegangspoging, on-premises of in de cloud, wordt behandeld als niet-vertrouwd totdat deze is geverifieerd. "vertrouw nooit, altijd verifiëren.". Deze ontwerpbenadering verhoogt niet alleen de beveiliging en productiviteit, maar stelt gebruikers ook in staat om vanaf elke locatie met elk apparaattype te werken. Met de geavanceerde cloudbesturingselementen in Microsoft 365 kunt u de identiteiten van gebruikers beschermen en de toegang tot waardevolle resources beheren op basis van het risiconiveau van de gebruiker.
Zie Configuraties voor identiteits- en apparaattoegang voor een aanbevolen configuratie.
Beveiligingsbesturingselementen overzetten naar de cloud
Veel beveiligingsteams gebruiken nog steeds de traditionele best practices voor beveiliging die zijn gebouwd voor een hele on-premises wereld, waaronder het onderhouden van een 'netwerkperimeterbeveiliging' en het 'forceren' van de on-premises beveiligingshulpprogramma's en besturingselementen voor cloudoplossingen. Dergelijke besturingselementen zijn niet ontworpen voor de cloud, zijn ineffectief en belemmeren de acceptatie van moderne cloudmogelijkheden. Processen en hulpprogramma's die werken voor een netwerkperimeterbeveiligingsbenadering zijn inefficiënt, belemmerend voor cloudmogelijkheden en maken het niet mogelijk om te profiteren van moderne en geautomatiseerde beveiligingsfuncties.
U kunt deze hindernis overwinnen door de verdedigingsstrategieën te verplaatsen naar cloud-beheerde beveiliging, geautomatiseerd onderzoek en herstel, geautomatiseerde pentests, Defender voor Office 365 en incidentanalyse. Klanten die moderne oplossingen voor apparaatbeheer gebruiken, hebben geautomatiseerd beheer, gestandaardiseerde patches, antivirus, beleidshandhaving en toepassingsbeveiliging geïmplementeerd op alle apparaten (smartphone, pc, laptop of tablet). Dit elimineert de noodzaak van een VPN, Microsoft System Center Configuration Manager (SCCM) en Active Directory-groepsbeleid. Dit, in combinatie met beleid voor voorwaardelijke toegang, biedt krachtige controle en zichtbaarheid, evenals gestroomlijnde toegang tot resources, ongeacht waar de gebruikers vandaan werken.
Streven naar 'best together'-beveiligingshulpprogramma's
Een andere hindernis waar ik klanten over zie struikelen, is het kiezen van een 'best of breed'-benadering van beveiligingshulpprogramma's. Het voortdurend gelaagd maken van 'best of breed'-puntoplossingen om te voldoen aan nieuwe beveiligingsbehoeften zorgt ervoor dat bedrijfsbeveiliging uitvalt. Zelfs met de beste bedoelingen worden hulpprogramma's in de meeste omgevingen niet geïntegreerd omdat het te duur en complex wordt. Dit zorgt op zijn beurt voor hiaten in de zichtbaarheid, omdat er meer waarschuwingen zijn om te triage dan het team kan verwerken. Het SecOps-team opnieuw trainen op nieuwe hulpprogramma's wordt ook een constante uitdaging.
De 'simple is better'-benadering werkt ook voor de beveiliging. In plaats van achter 'best of breed'-tools te gaan, overzeil je deze hindernis door een 'best together'-strategie te gebruiken met tools die standaard samenwerken. Microsoft-beveiligingsmogelijkheden beschermen uw hele organisatie met geïntegreerde bedreigingsbeveiliging die toepassingen, gebruikers en clouds omvat. Integratie stelt een organisatie in staat om toleranter te zijn en risico's te verminderen door aanvallers te beperken bij het binnenkomen en snel aanvallen te herstellen.
Beveiliging in balans met functionaliteit
Omdat ik afkomstig ben uit een lange achtergrond en ervaring op het gebied van cyberbeveiliging, heb ik de neiging om te beginnen met de veiligste configuratie en organisaties toe te staan om beveiligingsconfiguraties te versoepelen op basis van hun operationele en beveiligingsbehoeften. Dit kan echter gepaard gaan met een forse prijs voor verloren functionaliteit en slechte gebruikerservaring. Zoals veel organisaties hebben geleerd, zullen ze, als de beveiliging te moeilijk is voor gebruikers, een manier vinden om om u heen te werken, inclusief het gebruik van onbeheerde cloudservices. Hoe moeilijk het voor mij ook is om te accepteren, ik ben me gaan realiseren dat de delicate balans tussen functionaliteit en beveiliging moet worden bereikt.
Organisaties die zich realiseren dat gebruikers alles doen wat nodig is om hun werk gedaan te krijgen, erkennen dat de 'schaduw-IT-strijd' niet de moeite waard is om te vechten. Ze erkennen dat IT-medewerkers de grootste overtreders zijn als het gaat om Schaduw-IT en het gebruik van niet-goedgekeurde SaaS-toepassingen voor hun werk. Ze hebben hun strategie verschoven om het gebruik ervan aan te moedigen (in plaats van te onderdrukken) en zich te concentreren op het beperken van de risico's die het kan creëren. De beveiligingsteams van deze organisatie staan er niet op dat alles wordt geblokkeerd, geregistreerd en verzonden via een omgekeerde proxy of een VPN. In plaats daarvan verdubbelen deze beveiligingsteams hun inspanningen om waardevolle en gevoelige gegevens te beschermen tegen blootstelling aan de verkeerde partijen of schadelijke apps. Ze werken om de integriteit van de gegevens te beschermen. Ze maken volledig gebruik van geavanceerdere mogelijkheden voor cloudgegevensbeveiliging, waaronder versleuteling, veilige meervoudige verificatie, geautomatiseerde risico's en naleving en cloud access security broker (CASB) mogelijkheden, terwijl het beveiligd delen op meerdere platforms wordt toegestaan en zelfs wordt aangemoedigd. Ze zetten schaduw-IT om in inspirerende creativiteit, productiviteit en samenwerking, waardoor hun bedrijf op de concurrentiepositie kan blijven.
Een methodische benadering gebruiken
De meeste uitdagingen die ik heb ondervonden bij het implementeren van cloudbeveiliging bij verschillende organisaties, ongeacht de branche, zijn vergelijkbaar. Ten eerste, hoewel er veel goede documentatie is over specifieke mogelijkheden en functies, is er op organisatieniveau verwarring over wat op hen van toepassing is, waar beveiligingsfuncties elkaar overlappen en hoe mogelijkheden moeten worden geïntegreerd. Er is ook een mate van onzekerheid over welke beveiligingsfuncties vooraf zijn geconfigureerd en waarvoor configuratie door de organisatie is vereist. Bovendien hebben de SOC-teams helaas niet de volledige blootstelling, training of budgettoewijzing gehad die nodig is om zich voor te bereiden op de snelle cloudacceptatie en digitale transformatie die hun organisaties al ondergaan.
Om u te helpen deze obstakels weg te nemen, heeft Microsoft verschillende resources samengesteld die zijn ontworpen om u te helpen uw beveiligingsstrategie en -implementatie methodisch te benaderen.
| Resource | Meer informatie |
|---|---|
| Belangrijkste taken voor beveiligingsteams om het thuiswerken te ondersteunen | Als u merkt dat u plotseling een voornamelijk thuiswerkers ondersteunt, helpt dit artikel u om de beveiliging snel op te voeren. Het bevat de meest aanbevolen taken op basis van uw licentieplan. |
| Microsoft 365 Zero Trust-implementatieplan | Dit artikel bevat een implementatieplan voor het bouwen van Zero Trust beveiliging met Microsoft 365. Het bevat een downloadbare poster die u kunt gebruiken om uw voortgang bij te houden. |
| Zero Trust-richtlijnencentrum | Meer informatie over het Zero Trust beveiligingsmodel, de principes ervan en hoe u een Zero Trust-architectuur implementeert met behulp van de implementatieplannen. |
| docs.security.com/security | Technische richtlijnen van microsoft voor beveiligingsstrategie en -architectuur. |
Al deze resources zijn ontworpen om te worden gebruikt als uitgangspunt en aangepast aan de behoeften van uw organisatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor