Proteção de ativos
Os ativos incluem itens físicos e virtuais, como laptops, bancos de dados, arquivos e contas de armazenamento virtual. A proteção de ativos críticos para os negócios geralmente depende da segurança dos sistemas subjacentes, como armazenamento, dados, dispositivos de ponto de extremidade e componentes de aplicativos. Os ativos técnicos mais valiosos são normalmente dados e a disponibilidade de aplicativos, como sites de negócios, linhas de produção e comunicações.
A proteção de ativos implementa controles para dar suporte à arquitetura, aos padrões e à política de segurança. Cada tipo de ativo e requisito de segurança é exclusivo. Os padrões de segurança para qualquer tipo de ativo devem ser aplicados consistentemente a todas as instâncias.
A proteção de ativos concentra-se na execução consistente em todos os tipos de controle. Prevenção, detecção e outros se alinham para atender às políticas, aos padrões e à arquitetura.
A proteção de ativos atua como especialista técnico para ativos. Ela funciona com outras disciplinas, como governança, arquitetura, operações de segurança e equipes de carga de trabalho. A proteção de ativos garante que a política e os padrões sejam viáveis e permite a implementação de controles para dar suporte à política e aos padrões. A proteção de ativos fornece comentários para melhoria contínua.
Observação
A proteção de ativos é geralmente implementada pelas equipes de operações de TI que mantêm os ativos e são complementadas por experiência na equipe de segurança. Para obter mais informações, consulte Criar controles como uma equipe.
Os atores de ameaça são persistentes e buscam vulnerabilidades que resultam de lacunas na aplicação de padrões e políticas. Os invasores podem visar diretamente o aplicativo ou dados críticos para os negócios. Eles também podem visar a infraestrutura que concede acesso aos dados e aplicativos críticos para os negócios. O controle de acesso enfoca o gerenciamento de acesso autorizado aos recursos. A proteção de ativos aborda todos os outros possíveis modos fora de banda para obter acesso ou controle de recursos. Essas duas disciplinas se complementam e devem ser projetadas juntas para atender à sua arquitetura, às políticas e aos padrões. Para obter mais informações, consulte Controle de acesso.
Assista ao vídeo a seguir para saber mais sobre o histórico de proteção de ativos e como manter os ativos antigos e novos seguros.
Obter segurança
Obtenha foco seguro ao trazer recursos para atender aos padrões de segurança, à política e à arquitetura atuais da sua organização. Há dois tipos de atividades:
- Brownfield: adaptar os padrões de segurança e controles atuais para ativos existentes. As organizações podem criar e operar ambientes de TI com segurança como de baixa prioridade. Essa abordagem cria uma "dívida técnica": configurações de segurança fracas, software que não é atualizado, comunicação ou armazenamento não criptografado, software e protocolos herdados e muito mais. Traga seus controles de segurança para a abordagem atual. Essa melhoria é essencial para reduzir o risco, porque os invasores melhoram a capacidade de explorar essas oportunidades.
- Greenfield: verifique se novos ativos e novos tipos de ativos estão configurados para padrões. Esse processo é essencial para evitar a criação contínua de uma herança instantânea ou brownfield ou dos sistemas que não atendem aos padrões atuais. Essa dívida técnica terá que ser resolvida posteriormente com um custo maior, o que resulta em maior exposição ao risco até que seja concluída.
Financeiramente, get secure normalmente mapeia para CAPEX (despesas de capital) de um investimento único. O orçamento de Greenfield para segurança deve ser mapeado da mesma forma que o viável para a criação do ativo, com uma porcentagem reservada do orçamento para segurança para cada novo projeto de software, grandes atualizações de software ou iniciativa de adoção de nuvem geral. Muitas organizações reservam cerca de 10% do orçamento para segurança. O orçamento Brownfield normalmente é um projeto especial financiado para trazer os controles de segurança para os padrões e a conformidade atuais.
Manter-se seguro
Tudo se degrada ao longo do tempo. Desgaste de itens físicos. O ambiente muda em relação a itens virtuais, como software, controles de segurança e segurança. Eles podem não atender mais aos requisitos em constante mudança. Essas mudanças ocorrem rapidamente hoje devido às seguintes alterações rápidas:
- Requisitos de negócios, orientados pela transformação digital.
- Requisitos de tecnologia, orientados pela rápida evolução da plataforma de nuvem e por versões de recursos.
- Requisitos de segurança, orientados pela inovação dos invasores e a rápida evolução de recursos de segurança de nuvem nativos.
Essa dinâmica afeta todas as partes de segurança, incluindo operações de segurança, controle de acessoe especialmente DevSecOps na segurança da inovação.
Manter-se seguro inclui muitos elementos. Concentre-se nessas duas áreas específicas da proteção de ativos:
- Melhoria contínua na nuvem: adote a melhoria contínua em recursos de segurança que a nuvem traz. Por exemplo, muitos serviços no azure, como o Armazenamento do Microsoft Azure e o Banco de Dados SQL do Microsoft Azure, têm recursos de segurança adicionados para se defender contra invasores ao longo do tempo.
- Fim da vida útil do software: qualquer software, incluindo sistemas operacionais, sempre chega ao fim da vida útil quando as atualizações de segurança não são mais fornecidas. Essa situação pode expor dados e aplicativos críticos para os negócios a ataques baratos e fáceis. Embora o SaaS (software como serviço) e a infraestrutura de nuvem e as plataformas sejam mantidos pelo provedor de nuvem, as empresas geralmente têm uma quantidade significativa de software que instalam, criam e devem manter.
Planeje atualizar ou desativar o software em fim da vida útil. Investir em sua postura de segurança reduz o risco de um incidente de segurança grande. Manter-se seguro faz parte da dinâmica de OPEX (despesas operacionais) de um investimento contínuo regular.
O dilema do patch
É essencial que os líderes de negócios ofereçam suporte a suas equipes e líderes de TI e de segurança. A execução de um software complexo em um ambiente hostil tem um risco inerente. A segurança e os líderes de TI tomam constantemente decisões difíceis sobre riscos operacionais e riscos de segurança.
- Risco operacional: uma alteração no software em que o sistema é executado pode interromper os processos de negócios. Essas alterações afetam as suposições feitas quando o sistema foi personalizado para a organização. Esse fato cria uma pressão para evitar mudar o sistema.
- Risco de segurança: um ataque leva a risco de tempo de inatividade aos negócios. Os invasores analisam cada atualização de segurança importante na versão. Eles podem desenvolver uma exploração de trabalho em 24–48 horas para atacar as organizações que não aplicaram a atualização de segurança.
Sua organização poderia ter esse dilema com frequência devido à continuidade das alterações na tecnologia e na evolução da técnica de ataque. Os líderes de negócios devem reconhecer o risco de administrar uma empresa usando um software complexo. Suporte à atualização de processos de negócios, como estes exemplos:
- Integração de manutenção de software às pressuposições operacionais, ao agendamento, à previsão e a outros processos de negócios.
- Investir em arquiteturas que facilitam a manutenção e reduzem o impacto sobre as operações de negócios. Essa abordagem pode envolver a atualização de arquiteturas existentes ou a mudança integral para novas arquiteturas ao migrar para serviços de nuvem ou uma arquitetura orientada a serviços.
Sem suporte da liderança de negócios, os líderes de segurança e de TI se esquecem de dar suporte a metas de negócios importantes. Eles devem gerenciar constantemente a política de uma situação sem ganhos.
Isolamento da rede
O isolamento de rede pode ser uma opção válida para proteger ativos mais antigos que não podem mais ser protegidos, mas não podem ser imediatamente desativados. Esse cenário normalmente pode ocorrer com sistemas operacionais e aplicativos no fim da vida útil. É comum em ambientes de TO (tecnologia operacional) e sistemas herdados.
O isolamento propriamente dito é considerado controle de acesso, mesmo que os ativos que não podem ser protegidos sejam identificados como parte da proteção de ativos. Para obter mais informações, consulte Evitar configurar firewall e esquecer.
Alguns sistemas no final da vida úteis são difíceis de desconectar e isolar completamente. Não recomendamos deixar esses sistemas inseguros totalmente conectados a uma rede de produção. Essa configuração pode permitir que os invasores comprometam o sistema e tenham acesso aos ativos da organização.
Nunca é barato ou fácil atualizar ou substituir a tecnologia que está funcionando bem há uma década ou mais. Pode haver documentação limitada sobre sua funcionalidade. O possível impacto nos negócios de perder o controle de vários ativos críticos para os negócios geralmente excede o custo da atualização ou substituição. Para esses ativos que não podem ser isolados, as organizações geralmente acham que modernizar a carga de trabalho com tecnologia de nuvem e análise pode criar um novo valor comercial que possa deslocar ou justificar o custo da atualização ou substituição.
Permanecer seguro é desafiador em um mundo que muda constantemente. É fundamental decidir constantemente quais ativos você deve modernizar e o que deve ser protegido da melhor maneira possível. Use os riscos de negócios e as prioridades de negócios para avaliar.
Introdução
Para começar a usar a proteção de ativos, recomendamos que as organizações executem as etapas a seguir.
Concentre-se em recursos bem conhecidos primeiro: pense em máquinas virtuais, redes e identidades na nuvem com as quais a equipe já está familiarizada. Essa técnica permite que você faça o progresso imediato e geralmente é mais fácil de gerenciar e proteger com ferramentas de nuvem nativas, como o Microsoft Defender para Nuvem.
Comece com linhas de base do fornecedor/setor: inicie sua configuração de segurança com uma solução bem conhecida e comprovada, por exemplo:
- Linhas de base de segurança no parâmetro de comparação de segurança do Azure. A Microsoft fornece diretrizes de configuração de segurança adaptadas aos serviços individuais do Azure. Essas linhas de base aplicam os benchmarks de segurança do Azure aos atributos exclusivos de cada serviço. Essa abordagem permite que as equipes de segurança protejam cada serviço e refinem as configurações conforme necessário. Para saber mais, confira Linhas de base de segurança do Azure.
- Linhas de base de segurança da Microsoft. A Microsoft fornece diretrizes de configuração de segurança para tecnologias normalmente usadas, incluindo Windows, Microsoft Office e Microsoft Edge. Para obter mais informações, consulte Linhas de base de segurança da Microsoft.Linhas-de-base-de-segurança-da-Microsoft) para obter mais informações
- Parâmetros de comparação de CIS. O CIS (Center for Internet Security) fornece diretrizes de configuração específicas para muitos produtos e fornecedores. Para obter mais informações, consulte Parâmetros de comparação de CIS.
Principais informações
Esse elemento-chave ajuda a orientar seu processo de proteção de ativos:
Equipes responsável
A responsabilidade pela segurança deve sempre residir com o proprietário do recurso final na empresa que detém todos os outros riscos e benefícios. As equipes de segurança e os especialistas no assunto são, coletivamente, responsáveis por aconselhar o proprietário responsável pelos riscos, qualquer mitigação e fazer a implementação real.
As responsabilidades de proteção de ativos podem ser executadas por operações de TI que gerenciam ativos em toda a empresa, equipes de DevOps e DevSecOps responsáveis por seus ativos de carga de trabalho ou equipes de segurança que trabalham com as equipes de TI ou DevOps e DevSecOps.
À medida que as organizações migram para a nuvem, muitas dessas responsabilidades podem ser transferidas para o provedor de nuvem, por exemplo, atualização de firmware e solução de virtualização, ou simplificadas, por exemplo, verificação e correção da configuração de segurança.
Para saber mais sobre o modelo de responsabilidade compartilhada, veja Responsabilidade compartilhada na nuvem.
Elasticidade de nuvem
Ao contrário dos recursos locais, os recursos de nuvem podem existir apenas por um curto período. Conforme necessário, as cargas de trabalho podem criar mais instâncias de servidores, Azure Functions e outros recursos, para fazer uma tarefa. O Azure remove os recursos posteriormente. Esse cenário pode acontecer dentro de meses, mas às vezes dentro de minutos ou horas. Leve essa possibilidade em conta para seus processos e medidas de proteção de ativos.
A elasticidade da nuvem requer o ajuste de vários processos. Ela melhora sua visibilidade, com estoque sob demanda em vez de relatórios estáticos. A elasticidade da nuvem também melhora a sua capacidade de corrigir problemas. Por exemplo, a criação de uma nova máquina virtual por motivos de segurança pode ocorrer rapidamente.
Gerenciamento de Exceções
Depois de identificar uma melhor prática para um ativo, aplique-a consistentemente a todas as instâncias do ativo. Talvez seja necessário fazer exceções temporárias, mas gerencie as exceções com datas de validade específicas. Garanta que exceções temporárias não se tornem riscos de negócios permanentes.
Desafios ao medir o valor
Pode ser difícil medir o valor comercial da proteção de ativos. O impacto de um problema não é óbvio até que haja uma falha real. O risco de não atualizar a segurança de vulnerabilidades é silencioso e invisível.
Prefira uma política automatizada
Dê preferência à imposição automatizada e aos mecanismos de correção, como Azure Policy, para proteção de ativos. Essa abordagem ajuda a evitar problemas de custo e moral decorrentes da execução repetida de tarefas manuais. Ela também diminui o risco de erros humanos.
O Azure Policy permite que as equipes centrais especifiquem as configurações a serem usadas para ativos entre nuvens.
Criar controles como uma equipe
Todos os controles devem ser projetados como uma parceria com os principais stakeholders:
- A proteção de ativos fornece a experiência sobre os ativos, os controles disponíveis para eles e a viabilidade de implementar os controles.
- A equipe de governança fornece contexto de como os controles se encaixam na arquitetura de segurança, nas políticas e nos padrões e nos requisitos de conformidade regulatória.
- As operações de segurança alertam sobre os controles de detecção. Elas integram alertas e logs em ferramentas, processos e treinamento de operações de segurança.
- Fornecedores e provedores de nuvem podem oferecer experiência profunda no assunto sobre sistemas e componentes para evitar problemas conhecidos vistos em sua base de clientes.
Próximas etapas
A próxima disciplina a ser examinada é a governança de segurança
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de