Ustanawianie dziedziny Stan zabezpieczeń

Ten artykuł ułatwia liderom ds. zabezpieczeń i technologii ustanawianie lub modernizację dziedziny Zarządzanie stanem zabezpieczeń. Ta dyscyplina koncentruje się na ciągłym zmniejszaniu narażenia organizacji na ataki poprzez identyfikowanie i eliminowanie najbardziej prawdopodobnych ścieżek ataków do krytycznych zasobów.

Dyscypliny zabezpieczeń to grupy powiązanych prac związanych z zabezpieczeniami, które pomagają organizacjom spójnie dostarczać wyniki zabezpieczeń w całej infrastrukturze technologicznej. W ramach modelu wdrażania zabezpieczeń dyscypliny pomagają zapewnić most między scenariuszami biznesowymi a implementacją techniczną, zapewniając, że inwestycje w zabezpieczenia przekładają się na rzeczywiste mierzalne wyniki w ramach modelu wdrażania zabezpieczeń.

Dlaczego ta dyscyplina

Najbardziej udane cyberataki nie zaczynają się od zaawansowanych wyczynów. Zaczynają one od nadużywania dobrze znanych, łatwych do wykorzystania słabych stron — często w tożsamości, punktach końcowych, infrastrukturze, aplikacjach lub higienie konfiguracji.

Obszar Security Posture służy do zapobiegania atakom, zanim do nich dojdzie, uzupełniając obszar Security Operations (SecOps), który koncentruje się na wykrywaniu, analizie i reagowaniu po wystąpieniu naruszenia.

  • Poziom bezpieczeństwa ogranicza możliwości atakujących.
  • Operacje bezpieczeństwa ograniczają skutki, gdy zapobieganie zawodzi.

Razem tworzą kompletny model operacyjny zabezpieczeń.

Bez odrębnej dziedziny zarządzania stanem bezpieczeństwa organizacje często traktują zarządzanie stanem bezpieczeństwa jako:

  • Okresowe skanowanie w poszukiwaniu luk w zabezpieczeniach.
  • Pole wyboru zgodności z wymaganiami.
  • Kolekcja rozłączonych projektów korygowania.

Takie podejście pozostawia systemowe słabości do momentu wykorzystania ich przez osoby atakujące.

Na tym diagramie przedstawiono uzupełniający charakter zarządzania stanem zabezpieczeń i operacji zabezpieczeń:

Diagram przedstawiający zarządzanie stanem zabezpieczeń koncentruje się na zapobieganiu atakom (po lewej stronie huku), podczas gdy operacje zabezpieczeń zarządzają zdarzeniami występującymi (po prawej stronie huku).

Misja i wyniki

Zmniejsz prawdopodobieństwo i wpływ cyberataków, stale identyfikując i eliminując najbardziej wykorzystujące zagrożenia w całej infrastrukturze technologicznej organizacji.

Organizacje, które osiągną dojrzałość w tej dziedzinie, osiągają:

  • Ciągłe odnajdywanie zasobów w obrębie nowoczesnego majątku.
  • Priorytetowy wgląd w luki w zabezpieczeniach i ścieżki ataków, które można wykorzystać.
  • Szybsze i skuteczniejsze usuwanie problemów przez zespoły odpowiedzialne za zasoby.
  • Zmniejsz powierzchnię ataku i skalę skutków.
  • Zwiększona odporność na zakłócenia biznesowe.

Poziom bezpieczeństwa stanowi operacyjne rozwinięcie nadzoru, przekładając priorytety ryzyka przedsiębiorstwa na codzienne działania naprawcze.

Jak zastosować tę dyscyplinę

Aby skutecznie zastosować dziedzinę Zarządzanie stanem zabezpieczeń, skoncentruj się na ustanowieniu ciągłego, opartego na ryzyku podejścia do zrozumienia i poprawy stanu zabezpieczeń organizacji:

  1. Zdefiniuj strategię zarządzania poziomem bezpieczeństwa dostosowaną do ryzyka biznesowego
    Ustanów jasne podejście do identyfikowania, mierzenia i określania priorytetów zagrożeń bezpieczeństwa na podstawie ich potencjalnego wpływu na firmę.
  2. Zapewnianie ciągłej widoczności w środowisku
    Utrzymuj aktualną wiedzę o zasobach, konfiguracjach i narażeniach w obszarze tożsamości, urządzeń, aplikacji, infrastruktury i danych.
  3. Ustandaryzuj sposób oceniania i określania priorytetów zagrożeń bezpieczeństwa
    Podaj jasne wskazówki, aby upewnić się, że luki w zabezpieczeniach, błędy konfiguracji i czynniki ryzyka są oceniane spójnie i rozwiązywane na podstawie wpływu.
  4. Dostosuj zarządzanie postawą bezpieczeństwa do priorytetów biznesowych i krytycznych zasobów
    Skoncentruj się na działaniach korygujących dotyczących najważniejszych zagrożeń wpływających na zasoby o wysokiej wartości i kluczowych scenariuszach biznesowych.
  5. Ciągłe ulepszanie stanu poprzez pomiar i korygowanie
    Skorzystaj ze szczegółowych informacji z ocen, trendów ryzyka i działań korygcyjnych, aby zmniejszyć narażenie i zwiększyć bezpieczeństwo w czasie.

Zarządzanie zmianami

Nowoczesne zarządzanie stanem zabezpieczeń stanowi przejście od raportowania statycznych luk w zabezpieczeniach do ciągłego zmniejszania ryzyka.

Tradycyjne podejście Nowoczesna dyscyplina
Okresowe skanowania luk w zabezpieczeniach Ciągłe odnajdywanie zasobów i ryzyka.
Priorytetyzacja oparta na zgodności Priorytetyzacja oparta na analizie zagrożeń.
Wyniki przypisane do zespołu ds. bezpieczeństwa Wspólna odpowiedzialność z zespołami inżynieryjnymi i właścicielami firm systemów.
Jednorazowe korygowanie Ciągłe korygowanie i ulepszanie.
Stosowanie poprawek tylko w wyjątkowych przypadkach Stosowanie poprawek domyślnie.

Na poniższym diagramie przedstawiono kluczowe elementy dziedziny Stan zabezpieczeń.

Diagram przedstawiający misję zarządzania stanem zabezpieczeń z kluczowymi elementami: ciągłe odnajdywanie zasobów, identyfikowanie i określanie priorytetów luk w zabezpieczeniach oraz włączanie ograniczania ryzyka.

Najważniejsze zasady

Najważniejsze zasady modernizacji obejmują:

  • Wsparcie: to coś więcej niż narzędzia i raporty. Zapewnij zespołom inżynieryjnym i operacyjnym wskazówki, kontekst, automatyzację i edukację, aby zmniejszyć ryzyko w ramach normalnej pracy.
  • Zakres: Eliminowanie słabych stron w wielu obszarach:
    • Funkcjonalność — zajmuje się wadami projektowymi i implementacyjnymi.
    • Konfiguracja — rozwiązywanie problemów z nieprawidłową konfiguracją i dryfem konfiguracji z upływem czasu.
    • Operacyjne — rozwiązywanie problemów administracyjnych i operacyjnych, które umożliwiają nadużycie (na przykład słabą obsługę poświadczeń).
  • Operacje: Traktuj poprawę poziomu zabezpieczeń jako stały element działań inżynieryjnych, a nie jednorazowe porządki. Wymaga to trwałej współpracy, zmian kulturowych i przyrostowych postępów.

Ta dyscyplina wymaga zmian kulturowych, trwałej współpracy i przyrostowej poprawy, a nie jednorazowych projektów korygacyjnych.

Strategia stanu zabezpieczeń

Skuteczna strategia stanu zabezpieczeń koncentruje się na trzech ciągłych działaniach:

  1. Odnajdywanie zasobów: ciągłe identyfikowanie zasobów w całej nowoczesnej infrastrukturze, w tym:

    • Systemy tożsamości
    • Endpoints
    • Aplikacje SaaS
    • Infrastruktura chmurowa i lokalna
    • OT, IoT i nowe platformy

    Wymaga to ścisłej współpracy z zespołami ds. własności, konfiguracji i platformy.

  2. Identyfikowanie i określanie priorytetów ryzyka możliwego do wykorzystania: skup się na lukach w zabezpieczeniach i ścieżkach ataków, które są następujące:

    • Tańsza dla atakujących do wykorzystania.
    • Niezawodne na dużą skalę.
    • Typowe punkty wejścia dla ataków wieloetapowych.

    Analiza zagrożeń i wzorce ataków w świecie rzeczywistym powinny informować o priorytetyzacji — nie tylko oceny ważności.

  3. Wdróż działania zaradcze: współpracuj z zespołami odpowiedzialnymi za zasoby, aby:

    • Integrowanie korygowania z istniejącymi przepływami pracy.
    • Zmniejsza tarcie i powtarzaj nakład pracy.
    • Śledzenie postępów w stosunku do celów redukcji ryzyka.

    Stan zabezpieczeń kończy się powodzeniem, gdy korygowanie staje się szybsze i łatwiejsze niż ignorowanie ryzyka.

Role i współpracownicy w dyscyplinie

Stan bezpieczeństwa jest z natury międzyfunkcyjny.

Role podstawowe obejmują:

  • Zespoły inżynieryjne i operacyjne: Menedżerowie technologii i zabezpieczeń, inżynierowie ds. zabezpieczeń i automatyzacji odpowiedzialny za implementowanie środków zaradczych i utrzymanie higieny w różnych obszarach:

    • Tożsamość i dostęp
    • Sieć
    • Punkty końcowe i produktywność użytkowników
    • Infrastruktura i platformy (chmura, lokalnie, CI/CD)
    • Data
    • AI
    • Środowiska OT

  • Rola architektury: Projektowanie systemów i mechanizmów kontrolnych, które dyscyplina poziomu bezpieczeństwa monitoruje i udoskonala:

    • Architekt przedsiębiorstwa
    • Architekt zabezpieczeń
    • Infrastruktura, tożsamość, aplikacja, dane i architekci sztucznej inteligencji.
    • Architekci danych i sztucznej inteligencji (AI).

  • Strategia zabezpieczeń, integracja i ład (wszystkie inne): zapewnianie wskazówek i pomocy technicznej za pośrednictwem:

    • Priorytetyzacja i metryki ryzyka
    • Zgodność i wyrównanie zasad
    • Edukacja w zakresie zabezpieczeń i zaangażowanie

  • Analiza zagrożeń i metodyka SecOps: informuj o priorytetyzacji na podstawie zachowania osoby atakującej, aktywnych kampanii i pojawiających się technik.

Spójność z innymi dyscyplinami

Zarządzanie stanem zabezpieczeń ściśle współpracuje z innymi dziedzinami:

  • SecOps: Zapobieganie uzupełnia wykrywanie i reagowanie.
  • Strategia zabezpieczeń, integracja i ład: priorytetyzacja i metryki ryzyka.
  • Architektura zabezpieczeń: spójne umieszczanie kontrolek.
  • Dostęp i tożsamości: ograniczenie liczby ścieżek ataku opartych na tożsamości.
  • Infrastruktura, programowanie i zabezpieczenia danych: eliminowanie słabych stron systemowych.

Razem te dyscypliny tworzą spójny model operacyjny zabezpieczeń.

Dopasowanie do filarów technologii

Stan zabezpieczeń obejmuje wszystkie filary technologii:

  • Tożsamość — ten filar ma najwyższy priorytet dla poziomu bezpieczeństwa, ponieważ tożsamość stanowi punkt wejścia wysokiego ryzyka, będący podstawą niemal wszystkich ataków. Prawie wszystkie ataki wieloetapowe opierają się na atakach na tożsamość, takich jak pass-the-hash, ataki na bilety Kerberos i inne metody, aby później przemieszczać się w sieci i uzyskiwać dostęp do dodatkowych zasobów organizacji. Te ataki często korzystają z uprzywilejowanych kont skojarzonych z administratorami IT lub kontami usług administracyjnych.
  • Punkty końcowe: Punkty końcowe są typowym przyczółkiem atakującego i środowiskiem przygotowawczym. Niezwykle ważne jest szybkie znajdowanie i naprawianie luk w zabezpieczeniach punktów końcowych.
  • Infrastruktura: szybkie znajdowanie i ograniczanie luk w zabezpieczeniach infrastruktury jest ważne, ponieważ infrastruktura ma szeroki wpływ z powodu współużytkowanych zależności dla hostowanych obciążeń i danych.
  • Aplikacje: Szybkie wykrywanie i ograniczanie tych luk w zabezpieczeniach jest ważne, ponieważ atakujący często obierają za cel aplikacje pocztowe, do współpracy, biznesowe i inne, aby uzyskać dostęp do organizacji, a następnie przemieszczać się w niej lateralnie w celu uzyskania dostępu do zasobów biznesowych.
  • Dane: Dane stanowią atrakcyjny cel kradzieży, wymuszeń i zakłóceń. Osoby atakujące często biorą na cel dane w celu kradzieży własności intelektualnej, zaszyfrowania ich w celu uzyskania przewagi przy wymuszeniach lub atakach ransomware, planowania przyszłych ataków oraz do innych celów.
  • Sieci: Podmioty stanowiące zagrożenie atakują operacje, których działanie zależy od łączności sieciowej. Mechanizmy zabezpieczeń sieci ograniczają ścieżki komunikacyjne, ograniczają ruch osoby atakującej i wykrywają nietypowe przepływy.
  • Sztuczna inteligencja: Nowe powierzchnie ataków sztucznej inteligencji wymagają nowych możliwości odnajdywania i ochrony.

Dyscyplina buduje spójne umiejętności, narzędzia i procesy we wszystkich filarach.

Następne kroki

Microsoft Unified oferuje warsztaty prowadzone przez ekspertów, aby pomóc organizacjom przyspieszyć modernizację strategii, architektury i technologii zarządzania stanem zabezpieczeń. Te warsztaty obejmują:

  • Warsztaty dotyczące architektury i strategii — Warsztaty Security Adoption Framework (SAF) dla dyrektora ds. bezpieczeństwa informacji (CISO)* obejmują zarządzanie poziomem bezpieczeństwa jako część nowoczesnej i skutecznej strategii oraz programu bezpieczeństwa.
  • Warsztaty wdrażania technologii — usługa Onboarding Accelerator — rozwiązania zabezpieczające firmy Microsoft Exposure Management przyspiesza wdrażanie rozwiązania rozwiązania zabezpieczające firmy Microsoft Exposure Management.

Aby uzyskać więcej informacji na temat warsztatów prowadzonych przez Microsoft, skontaktuj się z menedżerem konta sukcesu klienta.

  • Last updated on