Przeszkody bezpieczeństwa, nad które można przepłynąć — punkt widzenia jednego architekta
W tym artykule Kozeta Garrett, architekt cyberbezpieczeństwa w firmie Microsoft, opisuje najważniejsze wyzwania związane z bezpieczeństwem, jakie napotyka w organizacjach korporacyjnych, i zaleca podejścia do żeglowania przez te przeszkody.
Informacje o autorze
Pełniąc funkcję architekta zabezpieczeń w chmurze, współpracowałem z wieloma organizacjami, aby zapewnić strategiczne i techniczne wskazówki dotyczące projektowania i implementowania architektury zabezpieczeń dla klientów migrowanych na platformę Microsoft 365 i platformę Azure, opracowywanie rozwiązań w zakresie zabezpieczeń przedsiębiorstwa i pomaganie w przekształcaniu architektury zabezpieczeń i kultury odporności biznesowej. Moje doświadczenie obejmuje wykrywanie i reagowanie na zdarzenia, analizę złośliwego oprogramowania, testowanie penetracyjne i rekomendowanie ulepszeń zabezpieczeń IT i stanu ochrony. Pasjonuję się wiodącymi transformacjami, które skutkują bezpieczeństwem jako elementem umożliwiającym działalność biznesową, w tym pracami modernizacyjnymi.
To było najbardziej satysfakcjonujące, aby zobaczyć, jak organizacje, które przyjęły sposób myślenia modernizacji bezpieczeństwa w ciągu ostatnich kilku lat są w świetnej sytuacji, która pozwala im nadal działać zdalnie w bezpieczny sposób, pomimo niedawnej sytuacji COVID-19. Niestety, te okoliczności służyły również jako pobudka dla niektórych klientów, którzy nie byli gotowi na tę natychmiastową potrzebę. Wiele organizacji zdaje sobie sprawę, że muszą szybko zmodernizować, wycofać skumulowany dług bezpieczeństwa IT i poprawić swoją postawę bezpieczeństwa z dnia na dzień, aby mogły działać w tych niezwykle nietypowych okolicznościach.
Dobrą wiadomością jest to, że firma Microsoft wyselekcjonowała kilka wspaniałych zasobów, aby pomóc organizacjom szybko zwiększyć ich stan bezpieczeństwa. Oprócz tych zasobów, chciałbym podzielić się głównymi wyzwaniami, które napotkałem z klientami codziennie w nadziei, że można przepłynąć te przeszkody.
Obecnie mieszkam w Północnej Wirginii, w pobliżu stolicy naszego kraju, Waszyngtonu. Uwielbiam niemal każdą formę zajęć i ćwiczeń na świeżym powietrzu, takich jak bieganie, jazda na rowerze, turystyka piesza i pływanie. Aby temu przeciwdziałać, lubię tak samo gotowanie, wykwintne jedzenie i podróże.
Współpraca z zespołem ds. zabezpieczeń od początku wdrażania chmury
Na początek nie mogę podkreślić, jak ważne jest, aby zespoły w organizacji koordynować od samego początku. Zespoły ds. zabezpieczeń muszą zostać przyjęte jako kluczowi partnerzy na wczesnych etapach wdrażania i projektowania chmury. Oznacza to dołączenie zespołów ds. zabezpieczeń do obsługi wdrażania chmury, nie tylko w przypadku dodatkowych możliwości firmy (takich jak doskonałe środowisko użytkownika z bezpiecznych urządzeń przenośnych, aplikacji z pełną funkcjonalnością lub tworzenie wartości danych firmowych wykraczających poza ograniczone funkcje aplikacji poczty e-mail i produktywności), ale także wykorzystanie możliwości magazynu, sztucznej inteligencji i analizy obliczeniowej, które pomagają rozwiązać nowe i stare wyzwania związane z zabezpieczeniami. Zespoły ds. zabezpieczeń muszą być włączone do zarządzania wszystkimi aspektami tej zmiany, w tym ludźmi (kulturą), procesami (szkoleniami) i technologią, aby odnieść sukces. Oznacza to również inwestowanie w modernizację i ciągłe ulepszanie centrum operacji zabezpieczeń (SOC). Współpracuj, aby dopasować strategię zabezpieczeń do strategii biznesowej i trendów środowiskowych, aby zapewnić bezpieczne wykonanie transformacji cyfrowej. Gdy jest to dobrze zrobione, organizacje opracowują możliwość szybszego dostosowywania się do zmian, w tym zmian w firmie, it i zabezpieczeniach.
Gdzie widzę, że klienci podróżują przez przeszkody najbardziej, gdy nie ma prawdziwego partnerstwa między operacjami a zespołami SOC. Chociaż zespół operacyjny jest pod presją i ma ścisłe terminy wdrożenia chmury, zespoły ds. zabezpieczeń nie zawsze są uwzględniane na wczesnym etapie procesu w celu zmiany i zaplanowania kompleksowej strategii zabezpieczeń. Obejmuje to integrację różnych składników i składników w chmurze w środowisku lokalnym. Ten brak partnerstwa dodatkowo sprowadza się do różnych zespołów, które wydają się pracować w silosach w celu zaimplementowania mechanizmów kontroli dla określonych składników, co prowadzi do dodatkowej złożoności implementacji, rozwiązywania problemów i integracji.
Klienci, którzy przepłyną te przeszkody, mają dobre partnerstwo między zespołami ds. operacji i ładu oraz zespołami ds. zarządzania zabezpieczeniami i ryzykiem, aby zreorganizować strategię zabezpieczeń i wymagania dotyczące ochrony obciążeń chmury hybrydowej. Skupiają się one na ostatecznych celach i wynikach w zakresie bezpieczeństwa — ochronie danych oraz dostępności systemów i usług zgodnie z wymaganiami dotyczącymi ładu, ryzyka i zgodności z cyberbezpieczeństwem. Organizacje te opracowują partnerstwa na wczesnym etapie między zespołem ds. operacji i ładu oraz soc, co ma kluczowe znaczenie dla podejścia do projektowania zabezpieczeń i maksymalizuje wartość inwestycji.
Tworzenie nowoczesnego obwodu zabezpieczeń (opartego na tożsamościach)
Następnie przyjmij podejście do architektury Zero Trust. Zaczyna się od utworzenia nowoczesnego obwodu zabezpieczeń opartego na tożsamościach. Zaprojektuj architekturę zabezpieczeń, w której każda próba dostępu, zarówno lokalna, jak i chmura, jest traktowana jako niezaufana, dopóki nie zostanie zweryfikowana — "nigdy nie ufaj, zawsze weryfikuj". Takie podejście projektowe nie tylko zwiększa bezpieczeństwo i produktywność, ale także umożliwia użytkownikom pracę z dowolnego miejsca z dowolnym typem urządzenia. Zaawansowane mechanizmy kontroli chmury dołączone do platformy Microsoft 365 ułatwiają ochronę tożsamości użytkowników przy jednoczesnym kontrolowaniu dostępu do cennych zasobów na podstawie poziomu ryzyka użytkownika.
Aby uzyskać zalecaną konfigurację, zobacz Konfiguracje tożsamości i dostępu do urządzeń.
Przenoszenie mechanizmów kontroli zabezpieczeń do chmury
Wiele zespołów ds. zabezpieczeń nadal korzysta z tradycyjnych najlepszych rozwiązań w zakresie zabezpieczeń utworzonych dla całego środowiska lokalnego, w tym utrzymania "zabezpieczeń obwodowych sieci" i próby "wymuszenia" lokalnych narzędzi zabezpieczeń i mechanizmów kontroli w rozwiązaniach w chmurze. Takie mechanizmy kontroli nie zostały zaprojektowane dla chmury, są nieskuteczne i utrudniają wdrażanie nowoczesnych możliwości chmury. Procesy i narzędzia, które działają w ramach podejścia do zabezpieczeń obwodowych sieci, okazały się nieefektywne, obturacyjne dla możliwości chmury i nie umożliwiają korzystania z nowoczesnych i zautomatyzowanych funkcji zabezpieczeń.
Możesz przepłynąć tę przeszkodę, przenosząc strategie obronne do ochrony zarządzanej przez chmurę, zautomatyzowanego badania i korygowania, zautomatyzowanego testowania pióra, Ochrona usługi Office 365 w usłudze Defender i analizy zdarzeń. Klienci korzystający z nowoczesnych rozwiązań do zarządzania urządzeniami zaimplementowali zautomatyzowane zarządzanie, standaryzowane stosowanie poprawek, oprogramowanie antywirusowe, wymuszanie zasad i ochronę aplikacji na wszystkich urządzeniach (smartfonie, komputerze osobistym, laptopie lub tablecie). Eliminuje to konieczność stosowania zasad sieci VPN, programu Microsoft System Center Configuration Manager (SCCM) i zasad grupy usługi Active Directory. To w połączeniu z zasadami dostępu warunkowego zapewnia zaawansowaną kontrolę i widoczność, a także usprawniony dostęp do zasobów niezależnie od tego, skąd działają ich użytkownicy.
Dążenie do najlepszych narzędzi zabezpieczeń razem
Kolejną przeszkodą widzę, że klienci potykają się jest podjęcie "najlepsze rasy" podejście do narzędzi bezpieczeństwa. Ciągłe warstwowanie rozwiązań punktowych "best of breed" w celu zaspokojenia pojawiających się potrzeb w zakresie zabezpieczeń powoduje rozbicie zabezpieczeń przedsiębiorstwa. Nawet w przypadku najlepszych intencji narzędzia w większości środowisk nie są zintegrowane, ponieważ stają się zbyt drogie i złożone. To z kolei tworzy luki w widoczności, ponieważ istnieje więcej alertów do klasyfikacji, niż może obsłużyć zespół. Ponowne trenowanie zespołu SecOps w zakresie nowych narzędzi również staje się stałym wyzwaniem.
Podejście "proste jest lepsze" działa również dla bezpieczeństwa. Zamiast iść po "najlepszych narzędzi rasy", płynąć przez tę przeszkodę, przyjmując "najlepsze razem" strategii z narzędzi, które współpracują ze sobą domyślnie. Funkcje zabezpieczeń firmy Microsoft chronią całą organizację za pomocą zintegrowanej ochrony przed zagrożeniami obejmującej aplikacje, użytkowników i chmury. Integracja umożliwia organizacji większą odporność i zmniejszenie ryzyka poprzez powstrzymanie osób atakujących podczas wjazdu i szybkie korygowanie ataków.
Równoważenie zabezpieczeń za pomocą funkcji
Ponieważ pochodzę z długiego środowiska i doświadczenia w zakresie cyberbezpieczeństwa, preferuję rozpoczęcie od najbezpieczniejszej konfiguracji od samego początku i umożliwienie organizacjom złagodzenia konfiguracji zabezpieczeń w oparciu o ich potrzeby operacyjne i bezpieczeństwa. Jednak może to mieć wysoką cenę utraconych funkcji i słabego środowiska użytkownika. Jak dowiedziało się wiele organizacji, jeśli bezpieczeństwo jest zbyt trudne dla użytkowników, znajdą sposób na obejście Ciebie, w tym korzystanie z niezarządzanych usług w chmurze. Tak trudne, jak to jest dla mnie do przyjęcia, zdałem sobie sprawę, że delikatna równowaga funkcjonalności i bezpieczeństwa musi być osiągnięta.
Organizacje, które zdają sobie sprawę, że użytkownicy zrobią wszystko, aby wykonać swoją pracę, przyznają, że "walka w tle IT" nie jest warta walki. Zdają sobie sprawę, że pracownicy IT są największymi przestępcami, jeśli chodzi o shadow IT i korzystanie z niezatwierdzonych aplikacji SaaS do swojej pracy. Zmienili swoją strategię, aby zachęcić do jej stosowania (zamiast tłumić) i koncentrując się na ograniczaniu ryzyka, jakie może stworzyć. Zespoły ds. zabezpieczeń tej organizacji nie nalegają, aby wszystko było blokowane, rejestrowane i wysyłane za pośrednictwem zwrotnego serwera proxy lub sieci VPN. Zamiast tego te zespoły ds. zabezpieczeń podwajają swoje wysiłki na rzecz ochrony cennych i poufnych danych przed ujawnieniem niewłaściwym stronom lub złośliwym aplikacjom. Działają one w celu ochrony integralności danych. W pełni korzystają z bardziej zaawansowanych funkcji ochrony informacji w chmurze, w tym szyfrowania, bezpiecznego uwierzytelniania wieloskładnikowego, zautomatyzowanego ryzyka i zgodności oraz możliwości brokera zabezpieczeń dostępu do chmury (CASB), jednocześnie umożliwiając i nawet zachęcając do udostępniania chronionego na wielu platformach. Przekształcają mroczną dział IT w inspirującą kreatywność, produktywność i współpracę, co pozwala ich firmie utrzymać przewagę konkurencyjną.
Przyjęcie metodycznego podejścia
Większość wyzwań, jakie napotkałem podczas wdrażania zabezpieczeń chmury w różnych organizacjach, niezależnie od branży, była bardzo podobna. Po pierwsze, chociaż istnieje mnóstwo doskonałej dokumentacji dotyczącej konkretnych możliwości i funkcji, na poziomie organizacji istnieje pewien poziom zamieszania co do tego, co się do nich dotyczy, gdzie funkcje zabezpieczeń nakładają się i jak należy zintegrować funkcje. Istnieje również poziom niepewności co do tego, które funkcje zabezpieczeń są wstępnie skonfigurowane i które wymagają konfiguracji przez organizację. Ponadto zespoły SOC niestety nie miały pełnej ekspozycji, szkoleń ani przydziału budżetu potrzebnego do przygotowania się do szybkiego wdrożenia chmury i transformacji cyfrowej, które ich organizacje już przechodzą.
Aby ułatwić usunięcie tych przeszkód, firma Microsoft wyselekcjonowała kilka zasobów, które ułatwiają podejście metodyczne do strategii i implementacji zabezpieczeń.
| Zasób | Więcej informacji |
|---|---|
| Najważniejsze zadania dla zespołów ds. zabezpieczeń do obsługi pracy z domu | Jeśli nagle wspierasz pracowników najczęściej zatrudnionych w domu, ten artykuł pomaga szybko zwiększyć bezpieczeństwo. Obejmuje ona najważniejsze zalecane zadania na podstawie planu licencjonowania. |
| Plan wdrożenia platformy Microsoft 365 Zero Trust | Ten artykuł zawiera plan wdrożenia tworzenia zabezpieczeń Zero Trust przy użyciu platformy Microsoft 365. Zawiera on plakat do pobrania, którego można użyć do śledzenia postępów. |
| centrum wskazówek Zero Trust | Dowiedz się więcej o modelu zabezpieczeń Zero Trust, jego zasadach i sposobie implementowania architektury Zero Trust przy użyciu planów wdrażania. |
| docs.security.com/security | Wskazówki techniczne firmy Microsoft dotyczące strategii i architektury zabezpieczeń. |
Wszystkie te zasoby zostały zaprojektowane tak, aby były używane jako punkt początkowy i dostosowane do potrzeb organizacji.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla