作为零信任采用指南的一部分,本文介绍了防止或减少网络安全泄露造成的业务损害的业务方案。 此方案涉及 假设漏洞 的零信任指导原则,涵盖以下内容:
- 最小化爆炸影响范围和分段访问权限
- 验证端到端加密
- 使用分析获取可见性、推动威胁检测和改进防御
借助混合 IT 基础结构模型,组织的资产和数据位于本地和云中,坏参与者可以使用许多不同的方法来攻击它们。 你的组织必须能够尽可能多地防止这些攻击,在遭到攻击时,尽量减少攻击的损害。
传统的方法是为本地系统建立基于边界的安全措施,其中您信任组织专用网络内部的所有人,但这些方法已经不再适用。 如果攻击者获得对专用网络的访问权限,他们可以使用适当的权限访问其中的任何数据、应用程序或资源。 他们可能会窃取用户凭据、利用安全漏洞或引入恶意软件感染来破坏网络。 此类攻击可能导致收入损失和高网络保险费,这可能会对组织的财务运行状况和市场声誉造成重大挫折。
护林员对2021年总结如下:
- 在过去的一年里,有近三分之二的组织遭到破坏,每个违规组织平均花费了240万美元。 – Forester,2021年企业数据泄露报告(2022年4月)。
使用云时,不良参与者无需以物理方式破坏专用网络外围。 他们可以从世界上任何地方攻击基于云的数字资产。
组织的运行状况和信誉取决于安全策略。 随着基于云的企业环境的普遍采用和移动员工的增长,数据足迹超出了企业网络的传统界限。 下表总结了传统威胁与新式威胁防护与零信任之间的主要差异。
| 使用专用网络控制的传统威胁防护 | 具有零信任的新式威胁防护 |
|---|---|
| 传统保护依赖于边界安全,在这种情况下,专用网络内的每一个人都被信任。 外围网络可以包括: - 网络分段或安全边界很少,保持开放、简单的网络结构。 - 最小威胁防护和静态流量筛选。 - 未加密的内部流量。 |
零信任模型将网络防御从静态的基于网络的外围转移到用户、设备、资产和资源上。 假设违规可以且会发生。 网络内外可能存在安全风险,你经常受到攻击,并且随时可能发生安全事件。 全面的现代威胁防护基础结构可以提供及时的攻击检测和响应。 通过多层保护措施协同工作,将安全事件的影响范围降到最低,并减少损坏程度及其传播速度。 |
若要减少重大事件的影响,必须注意以下所有事项:
- 确定违规的业务风险
- 为数据泄露响应规划风险导向的方法
- 理解对贵组织声誉和与其他组织关系造成的损害
- 添加深度防御层
本文中的指南将指导你如何开始制定策略,以防止和减少违规造成的损害。 另外两篇文章详细介绍了如何使用以下方法实现该策略:
朝着建立稳健安全态势迈出的第一步是通过风险评估来确定组织的脆弱点。
评估风险和安全状况
当你决定采取一种策略来防止违规并降低由此造成的损害时,请务必考虑和量化风险指标。 从战略上讲,量化风险的练习使你可以设置风险胃口的指标。 这要求你进行基线风险评估,以及对可能影响业务的业务关键性违规的分析。 结合你记录的针对违反情况方案的风险偏好,愿意解决哪些情况,这形成了违规准备和修正策略的基础。
请注意,几乎不可能绝对防止违规行为。 如攻击者投资回报中所述,其目的是逐步增加网络攻击的难度,直到攻击者不再能从你能够或愿意防范的攻击中获得可观的投资回报。 作为风险分析的一部分,应评估可防御性和经济可行性方面的攻击。
减少违规造成的损害为违规期间和违规后的选项提供了相当大的精力,这使组织能够快速从预期的违规或违规类型中恢复过来。 本文后续部分定义了这些违规类型和恢复准备情况。
识别违规意图必须是违规准备的一部分。 所有违规行为都包含恶意或犯罪意图,然而与“随意”或机会性违规相比,经济驱动的违规行为可能造成更大的损害。
有关安全状况和风险评估的详细信息,请参阅 快速现代化安全态势。
按业务类型的风险示例
业务要求取决于业务类型的最终风险分析。 下面讨论了多个业务垂直业务,以及其特定需求如何驱动细分的风险分析:
采矿
采矿业正更多地关注未来的矿井,运营技术(OT)系统使用更少的手动流程。 例如,使用人机接口(HMI),利用应用程序接口完成加工厂内的作业和任务。 由于这些 HMI 设计为应用程序,因此此行业垂直的网络安全风险可能更高。
威胁不再成为丢失数据或盗窃公司资产的威胁。 威胁变得由利用身份盗窃访问关键系统并干扰生产流程的外部参与者构成。
零售
当多个品牌在同一租户中存在多个域时,零售行业可能会出现与安全漏洞相关的重大风险。 管理本地或基于云的标识的复杂性可能会造成漏洞。
卫生部门
卫生部门的主要风险是数据丢失。 未经授权的披露机密医疗记录可能会直接威胁为患者和客户保留的数据和信息隐私法,根据当地法规,可能会受到重大处罚。
政府部门
政府部门组织对信息安全构成最高风险。 信誉损害、国家安全和数据丢失都处于危险之中。 这主要是为什么政府机构需要订阅更严格的标准,如国家标准与技术研究所(NIST)。
作为数据泄露准备和响应的一部分,利用 Microsoft Defender 威胁情报 来搜索和了解与您的行业最相关的攻击和威胁途径类型。
常见攻击类型的风险
防止或减少网络攻击造成的业务损失包括了解最常见的攻击类型。 虽然以下攻击类型目前最为常见,但网络安全团队还应了解新类型的攻击,其中一些攻击可能会增加或替换它们。
标识
网络安全事件通常从某种形式的凭据盗窃开始。 凭据可能使用多种方法被盗:
网络钓鱼
攻击者伪装成受信任的实体,并欺骗员工打开电子邮件、文本或 IM。 还可以包括鱼叉式网络钓鱼,攻击者在其中专门使用有关用户的信息来构建更具说服力的网络钓鱼攻击。 技术凭证盗窃可能由于用户点击网址链接或发生 MFA 网络钓鱼攻击。
Vishing
攻击者使用社交工程方法以支持性基础设施(如帮助台)为目标来获取或更改凭据。
密码喷射
攻击者尝试为给定帐户或一组帐户提供大量可能的密码列表。 可能的密码可以基于有关用户的公开数据,例如社交媒体个人资料中的出生日期。
在所有这些情况下,技能和教育对于用户作为网络钓鱼攻击的目标,以及帮助台作为语音诈骗攻击的目标都至关重要。 技术支持应制定协议,以便在执行用户帐户或权限的敏感操作之前对请求用户进行身份验证。
设备
用户设备是攻击者的另一种方式,攻击者通常依赖设备泄露来安装恶意软件,例如病毒、间谍软件、勒索软件和其他未经许可安装的其他不需要的软件。
攻击者还可以使用设备的凭据来访问应用程序和数据。
网络
攻击者还可以使用网络影响系统或确定敏感数据。 常见类型的网络攻击包括:
分布式拒绝服务 (DDos)
旨在通过流量使联机服务瘫痪无法运作的攻击。
窃听
攻击者截获网络流量,旨在获取密码、信用卡号和其他机密信息。
代码和 SQL 注入
攻击者通过表单或 API 传输恶意代码,而不是通过数据值传输。
跨站点脚本
攻击者使用第三方 Web 资源在受害者的 Web 浏览器中运行脚本。
业务领袖如何考虑防止或减少违规造成的业务损失
在开始任何技术工作之前,请务必了解投资防止和减少违规业务损害的不同动机,因为这些动机有助于告知策略、目标和成功措施。
下表提供了组织内业务主管应投资防止或减少违规损害的原因。
| 角色 | 为什么防止或减少因违规造成的业务损失非常重要 |
|---|---|
| 首席执行官(CEO) | 无论网络安全环境如何,企业都必须有能力实现其战略目标和目标。 由于事件或违规,业务敏捷性和业务执行不应受到限制。 业务主管应了解,安全是业务必不可少的一部分,需要在防范和应对漏洞方面进行投资,以确保业务连续性。 成功和破坏性的网络攻击的成本可能比实施安全措施的价格要高得多。 |
| 首席营销官(CMO) | 业务在内部和外部的感知方式不应基于发生违规或违规准备情况而受到限制。 了解如何在内部和外部传达漏洞准备情况和消息,以响应违规行为是准备问题。 除非存在违规通信计划,否则成功的攻击可能会成为公众知识,从而可能损害品牌价值。 |
| 首席信息官(CIO) | 组织使用的应用程序必须能够抵御攻击,同时保护组织的数据。 安全性应该是可衡量的结果,并与 IT 策略保持一致。 违规预防和事件管理必须与数据的完整性、隐私性和可用性保持一致。 |
| 首席信息安全官(CISO) | 安全性必须作为一项业务要务与 C-Suite 的优先事项保持一致。 违规准备和响应与实现主要业务策略保持一致,技术安全性与缓解业务风险保持一致。 |
| 首席运营官(COO) | 事件响应过程取决于这一角色提供的领导和战略指导。 预防和响应性行动必须符合公司战略。 在假设违规状况中进行违规准备意味着向 COO 报告的所有规则都必须在违规准备级别上正常运行,确保无需暂停业务即可快速隔离和缓解违规行为。 |
| 首席财务官(CFO) | 漏洞准备和缓解是预算安全支出的功能。 金融系统必须强大,能够幸存下来。 必须将财务数据分类、保护并备份为敏感数据集。 |
零信任方法可解决安全漏洞导致的多个安全问题。 可以向业务领导者强调零信任方法的以下优势。
| 优点 | DESCRIPTION |
|---|---|
| 确保生存 | 根据攻击者的性质或动机,违规行为可能会显著影响或破坏组织执行正常业务活动的能力。 为防范违反行为做好准备可显著提高组织在旨在使其瘫痪或失效的违反行为中幸存的可能性。 |
| 控制声誉损害 | 导致访问机密数据的违规行为可能会造成严重影响,例如品牌声誉受损、敏感知识产权损失、客户中断、监管罚款以及对业务造成财务损害。 零信任安全性通过持续评估、监视和分析本地和云中的 IT 基础结构来帮助减少攻击区域。 零信任体系结构有助于定义在识别风险时自动更新的策略。 |
| 减少组织内的爆炸半径 | 部署零信任模型有助于最大程度地减少外部或内部违规的影响。 它增强了组织实时检测和响应威胁的能力,并通过限制横向移动来减少攻击的爆破区域。 |
| 演示可靠的安全性和风险状况 | 零信任方法允许分类警报、附加威胁信号的关联和修复措施。 通过分析信号,评估您的安全文化并识别可改进的领域或最佳实践,从而帮助改善您的姿势。 网络中的任何更改都会自动触发对潜在恶意活动的分析。 你可以完全了解网络中的所有资产和资源及其执行方式,从而显著降低风险风险。 |
| 降低网络保险保费 | 若要评估网络保险的成本,需要一个可靠且定义完善的安全模型和体系结构。 通过实现零信任安全性,可以通过实时分析来控制、可见性和治理,以保护网络和终结点。 安全团队可以检测和克服整体安全状况中的差距,并向保险公司证明你有主动的策略和系统。 零信任方法还提高了网络复原能力,甚至可能通过降低保险费来帮助自己支付费用。 |
| 提高安全团队效率和士气 | 零信任部署通过自动执行资源预配、访问评审和证明等例行任务来减少安全团队的手动工作。 因此,可以在内部和外部为安全团队提供检测、阻止和击败最关键的攻击和风险的时间和遥测功能,从而提升 IT 和安全团队士气。 |
有关可与业务主管共享的信息,请参阅《最小化内部或外部不良行为者影响》电子书。
防止或减少由漏洞导致业务损害的采用周期
这组文章将演练此业务方案,其生命周期阶段与 适用于 Azure 的云采用框架(定义策略、计划、就绪、采用和管理)相同,但适用于零信任。
下表是插图的可访问版本。
| 定义策略 | 计划 | 准备好了 | 采用 | 治理和管理 |
|---|---|---|---|---|
| 结果 组织一致性 战略目标 |
利益干系人团队 技术计划 技能准备情况 |
评价 测试 飞行员 |
在您的数字领域中逐步实施 | 跟踪和度量 监视和检测 迭代以达到成熟 |
在 零信任采用框架概述中详细了解零信任采用周期。
若要防止或减少违反业务损失,请使用以下附加文章中的信息:
请注意,这两个独立方案的部署建议需要 IT 部门的不同小组参与,并且每个方案的活动可以并行完成。
后续步骤
对于此业务方案:
零信任采用框架中的其他文章:
进度跟踪资源
对于任何零信任业务方案,可以使用以下进度跟踪资源。
| 进度跟踪资源 | 这有助于你... | 设计为... |
|---|---|---|
采用情境计划阶段表格可下载Visio 文件或PDF 
|
轻松了解每个业务场景的安全增强功能,以及计划阶段的步骤和目标的努力程度。 | 业务方案项目主管、业务主管和其他利益干系人。 |
零信任采用跟踪器 可下载 PowerPoint 幻灯片集 
|
通过计划阶段中的各个步骤和目标来跟踪进度。 | 业务方案项目主管、业务主管和其他利益干系人。 |
业务方案目标和任务 可下载的 Excel 工作簿 
|
分配所有权,并通过计划阶段的各个步骤、目标和任务来跟踪进度。 | 业务方案项目主管、IT 主管和 IT 实施者。 |
有关其他资源,请参阅 零信任评估和进度跟踪资源。