Udostępnij za pośrednictwem

Przyspieszanie ograniczania luk w zabezpieczeniach (Secure Future Initiative)

Nazwa filaru: Przyspieszanie reagowania i korygowania
Nazwa wzorca: Przyspieszanie ograniczania luk w zabezpieczeniach

Kontekst i problem

Luki w zabezpieczeniach to nieunikniona rzeczywistość w złożonych środowiskach cyfrowych. Organizacje muszą szybko i systematycznie reagować, aby zmniejszyć ryzyko, ale wiele zmaga się z powolną koordynacją, ręczną segregacją i niespójnymi procesami naprawczymi.

Tradycyjne modele stosowania poprawek i starsze struktury raportowania często opóźniają reakcje, zwłaszcza gdy zespoły ds. zabezpieczeń i IT działają w silosach. W międzyczasie podmioty zagrożeń mogą wykorzystać niezałatane systemy i nieprawidłowe konfiguracje w celu eskalacji uprawnień, przemieszczania się po sieci lub eksfiltrowania danych.

Rozwiązanie

Aby sprostać tym wyzwaniom, firma Microsoft wdrożyła kompleksowy program do zarządzania lukami w zabezpieczeniach skoncentrowany na automatyzacji i szybszym ujawnieniu. Te wysiłki zostały przeprowadzone w ramach filaru przyspieszonego reagowania i korygowania inicjatywy Secure Future Initiative (SFI). Ogólnie rzecz biorąc, ten program obsługuje wczesne wykrywanie, spójną priorytetyzacja i przyspieszony czas łagodzenia (TTM) i jest szczególnie skuteczny w przypadku problemów o wysokiej ważności. W rzeczywistości Microsoft umożliwił zmniejszenie czasu wprowadzenia na rynek (TTM) dla 73% luk w zabezpieczeniach, jednocześnie rozszerzając zakres programu.

Kluczowe składniki podejścia firmy Microsoft obejmują:

  • Automatyzowanie wykrywania i klasyfikacji luk w zabezpieczeniach przy użyciu usługi Microsoft Defender Vulnerability Management i wewnętrznych narzędzi sztucznej inteligencji

  • Tworzenie machinicznie czytelnych zgłoszeń dotyczących luk w zabezpieczeniach za pośrednictwem plików Common Security Advisory Framework (CSAF)

  • Szybsze publikowanie CVE dotyczącego luk w zabezpieczeniach usług w chmurze, w tym przypadków, w których nie jest wymagana poprawka dla klienta

  • Dostarczanie ukierunkowanych alertów przez Azure Service Health i centrum administracyjne Microsoft 365 z praktycznymi wskazówkami na poziomie dzierżawy lub subskrypcji

  • Scentralizowanie obsługi zdarzeń, zaangażowania klientów i ujawniania za pośrednictwem przepływów pracy między firmami.

  • Wysyłanie powiadomień o zagrożeniach dla państwa narodu (NSN) w celu powiadamiania organizacji o atakach ukierunkowanych lub pomyślnych

Wskazówki

Organizacje mogą przyjąć podobny wzorzec, korzystając z następujących praktyk z możliwością działania:

Przypadek użycia Zalecana akcja Zasób
Ustanawianie niezawodnego programu do zarządzania lukami w zabezpieczeniach
  • Wyznaczanie właścicieli odpowiedzialnych za wykrywanie, ustalanie priorytetów i korygowanie
  • Zapewnianie spójnej widoczności zasobów i konfiguracji odniesienia
  • Ujednolicenie przepływów pracy z zakresu bezpieczeństwa i IT od odkrycia do rozwiązania
 Przewodnik dotyczący gotowości zdarzenia
Automatyzowanie wykrywania i klasyfikacji
  • Używanie narzędzi takich jak Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w celu skanowania systemów i określania priorytetów CVE
  • Integracja z kanałami informacyjnymi analizy zagrożeń w celu flagowania aktywnie wykorzystywanych luk w zabezpieczeniach
  • Użyj oceniania opartego na ryzyku, aby skoncentrować się na lukach w zabezpieczeniach, które mają największe znaczenie
 Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Standaryzacja i przyspieszanie komunikacji
  • Publikuj CVE (Wspólne Wymiary Wrażliwości i Ekspozycji) nawet wtedy, gdy akcja klienta nie jest wymagana, ponieważ przejrzystość zwiększa zaufanie.
  • Aby umożliwić komunikację między maszynami, używaj plików CSAF i interfejsu API aktualizacji zabezpieczeń firmy Microsoft.
  • Tworzenie przepływów pracy alertów w usłudze Azure Service Health i centrum administracyjnym platformy Microsoft 365 w celu uzyskania dostępu do osób odpowiadających za zdarzenia
 Centrum reagowania na zabezpieczenia firmy Microsoft
Tworzenie widoczności i odpowiedzialności
  • Monitoruj i raportuj czas do ograniczenia (TTM), przestarzałe luki w zabezpieczeniach i zasięg poprawek
  • Tworzenie pulpitów do śledzenia postępów i oznaczania opóźnień
  • Wdrożenie wewnętrznych ścieżek eskalacji pod kątem luk w zabezpieczeniach o wysokim priorytecie
 zarządzanie zdarzeniami w usłudze Microsoft Defender
Przygotowanie do działalności państwowej
  • Zrozum program NSN firmy Microsoft i bądź gotowy/a do reagowania, jeśli zostaniesz powiadomiony/a.
  • Konfigurowanie routingu alertów w taki sposób, aby zespoły SOC i zespoły ds. zabezpieczeń natychmiast otrzymywały analizę zagrożeń
  • Regularnie przeglądaj wskazówki dotyczące sieci NSN w portalach firmy Microsoft i raportach dotyczących ochrony cyfrowej
 Raport zagrożeń dla państwa narodu
Ciągłe doskonalenie
  • Używanie raportów z zespołów red teamingowych, przeglądów po incydencie i opinii klientów w celu udokładniania procesów reagowania
  • Poszukaj możliwości automatyzowania przepływów pracy, zmniejszania liczby przekazań i poprawy ukierunkowania powiadomień.
 Badanie i reagowanie przy użyciu usługi Microsoft Defender XDR

Wyniki

Korzyści

  • Większa świadomość luk w zabezpieczeniach w chmurze dzięki rozszerzonym publikacjom CVE i zaleceniom dotyczącym tego, czy konieczne są działania naprawcze ze strony klienta.

  • Większa przejrzystość i zaufanie dzięki wzbogaconym danym CVE (tagowanie CWE/CPE) i automatycznemu dostarczaniu alertów wraz z rozszerzonym ujawnieniem luk w zabezpieczeniach

  • Szybsza i bardziej wydajna komunikacja za pośrednictwem portali produktów przeznaczonych dla klientów

  • Szybsze harmonogramy ograniczania ryzyka dzięki automatyzacji i sztucznej inteligencji, które usprawniają cykl życia od wykrycia luk do ich poprawienia.

  • Proaktywna ochrona korzystająca z rozszerzonej analizy zagrożeń do obsługi wcześniejszego wykrywania i określania priorytetów odpowiedzi

Kompromisy

  • Określanie priorytetów odpowiedzi na luki w zabezpieczeniach w oparciu o potencjalny wpływ, aktywność zagrożeń i wymagane działania klienta

  • Określanie zakresu inwestycji w automatyczne skanowanie, klasyfikację i aranżację przepływu pracy w celu rozwiązania najpoważniejszych luk w zabezpieczeniach jako najwyższego priorytetu

  • Utrzymanie czynników ludzkich i organizacyjnych w centrum uwagi podczas ponownego projektowania procesów, które ujednolicają zespoły ds. zabezpieczeń, IT i komunikacji

Kluczowe czynniki sukcesu

Śledź następujące kluczowe wskaźniki wydajności, aby zmierzyć postęp:

  • Średni czas łagodzenia luk w zabezpieczeniach o wysokiej ważności (TTM)

  • Procent CVE rozwiązanych w ramach umowy SLA

  • Stan konfiguracji alertu w subskrypcjach chmury

Podsumowanie

Organizacje mogą znacznie poprawić szybkość reagowania na znane luki w zabezpieczeniach. Dzięki automatyzacji, wzbogaconej komunikacji i zintegrowanym przepływom pracy z wykrywania luk w zabezpieczeniach, zespoły mogą ograniczać narażenie, szybciej zamykać znane luki i budować wymaganą odporność, aby wyprzedzać aktywne zagrożenia.

Zacznij przyspieszać odpowiedź na luki w zabezpieczeniach dzisiaj — zanim osoby atakujące wykorzystają opóźnienie.

  • Last updated on