快速实现安全状况的现代化
本文章是零信任采用指南的一部分,描述了快速实现安全状况现代化的业务应用场景。 该应用场景并非专注于实施零信任体系结构所需的技术工作,而是专注于如何制定策略和优先级,然后如何系统地逐个实施优先级,同时度量和报告进度。
安全状况的定义是指组织的整体网络安全防御能力,以及应对持续网络安全威胁的准备水平和运营状态。 这种状况应该可量化且可度量,类似于与组织的运营状态或健康状况相关的任何其他主要指标。
快速实现安全状况现代化需要在组织内部,特别是整个组织的领导者共同合作,制定策略以及一系列优先事项和目标。 然后,你需要确定实现目标所需的技术工作,并带领各个团队完成这些工作。 本采用指南中的其他业务应用场景旨在帮助加快这些技术工作。 最后,强大的安全状况还有一个关键部分是向业务领导传达状态、进度和价值的能力。
能否快速实现安全状况的现代化,取决于你是否有能力通过采用生命周期,系统地引导零信任体系结构的每个组成部分。 每一篇零信任业务应用场景文章都会推荐四个阶段的目标。 你可以将每个目标视为一个技术项目,可以在采用过程中加以引导。 此处以更细粒度的形式展示了单个目标或一组目标的采用过程。
下表是示意图的可访问版本。
| 定义策略 | 计划 | 就绪 | 采用 | 治理和管理 |
|---|---|---|---|---|
| 组织遵循情况 战略目标 结果 |
利益干系人团队 技术计划 技能就绪 |
评估 测试 试点 |
在数字资产中逐步实施 | 跟踪和度量 监视和检测 迭代提高成熟度 |
快速实现现代化是指能够加快组织在整个数字资产中部署安全配置和威胁防护功能的能力,以帮助你战胜威胁并减轻最大风险。 将其视为正在构建的飞轮,你在其中创建了一个可重复的流程,可以通过该流程为许多技术项目提供支持。
在为组织构建安全配置部署能力时,可以试着错开其实施。 例如,在定义了业务应用场景的策略和目标后,可以错开技术目标的实施。 以下是一个示例。
有些业务应用场景范围很广,你可能需要为最先处理的应用场景的特定元素设置优先级。 或者,你也可以为数字资产的特定区域设置优先级,以便最先进行配置部署。
定义策略阶段
采用零信任的最大挑战之一是获得组织领导者的支持和贡献。 本采用指南旨在帮助你与组织领导者沟通,以在组织内达成一致、制定战略目标和确定成果。
将安全定义为业务级别的当务之急是迈向现代可扩展安全方法的第一步。
| 安全作为 IT 职责扩展的传统作用 | 零信任的现代安全状况 |
|---|---|
| 传统的保护依赖于 IT 团队中的安全专家。 安全是一项 IT 职能。 | 安全是业务各个层面的共同职责。 安全责任由管理人员承担,而责任则通过“假定数据泄露”、“显式验证”和“使用最低特权访问”这三个零信任原则来分担。 零信任模型将安全性从被动(根据日志记录,谁在何时做了什么)移动到最低特权(根据需要即时获得系统访问权限)。 零信任还实现了体系结构元素和安全运营功能,以限制漏洞造成的损害。 |
零信任采用概述文章介绍了零信任如何应用于许多组织的领导角色。 本文章包含零信任原则的业务描述,以及零信任体系结构中包含的技术领域的业务翻译,包括身份、设备和应用。 这些主题非常适合用于与领导团队开始对话。 请务必探究并深入了解组织中领导者的动机,这样你就可以更轻松地就优先事项达成共识,并提高一致性和参与度。
对于这种业务应用场景,通过快速实现安全状况现代化,你可以对组织的风险、安全策略和技术优先级达成共识。 理想情况下,这有助于你募集资金和资源来完成这项工作。
理解业务领导者的动机
达成共识首先要了解领导者的动机,以及为什么领导应该关心安全状况。 下表提供了一些观点的例子,但请务必与这些领导和团队中的每一个人会面,并就彼此的动机达成共识。
| 角色 | 为什么快速实现安全状况现代化非常重要 |
|---|---|
| 首席执行官 (CEO) | 从根本上说,首席执行官应该在法律允许的范围内实现股东回报最大化。 为此,企业必须有能力以可量化的方式实现其战略目标和目的(包括安全策略),从而评估风险和成本。 安全状况应支持业务敏捷性和业务执行。 |
| 首席营销官 (CMO) | 内部和外部对企业的看法关系到员工和客户的信心。 针对漏洞的准备工作和安全事件传达策略对于管理认识和意见至关重要。 |
| 首席信息官 (CIO) | 在保护公司数据安全的同时,必须确保移动办公员工和混合办公员工可访问其需要使用的应用程序。 安全性应是可衡量结果,并与 IT 策略保持一致。 |
| 首席信息安全官 (CISO) | 大多数最佳做法安全标准和协议要求组织不断提高信息安全管理系统的适用性、充足性和有效性。 通过实现安全状况现代化,可以演进业务安全策略和过程,进而提升企业内的整体安全策略。 |
| 首席技术官 (CTO) | 用于保护业务的技术不能限于仅使用以前的数据中心思维即可实现的技术。 必须采用以安全的方式保护和支持业务成果的补充性技术。 |
| 首席运营官 (COO) | 企业必须能够在攻击之前、期间和之后盈利。 安全状况必须支持容错能力和可恢复性,以防止业务中断。 |
| 首席财务官 (CFO) | 与其他业务优先事项一样,安全状况必须是可预测的成本,并具有可衡量的结果。 |
此外,组织的不同部门有不同的动机和激励措施来做这项工作。 下表汇总了其中的部分动机。 请务必与利益相关者联系,了解他们的动机。
| 区域 | 动机 |
|---|---|
| 业务需求 | 以与业务需求和必要性相结合的安全状况运营业务。 这种安全状况与业务成果保持一致,并使企业能够在不产生繁重运营障碍的情况下实现安全性。 |
| IT 需求 | 一种标准化的安全状况,满足 IT 和运营技术(OT)的安全要求,定义和检测安全状况工具和方法,并提供与结果相一致的可预测支出。 |
| 运营需求 | 以标准化方式实现现有的安全解决方案。 降低实施和维护安全状况所需的管理工作量。 安全状况治理促成具有明确角色和职责的安全运营(SecOps)模型。 |
| 战略需求 | 逐步增加安全解决方案针对攻击场景创建的障碍,并破坏攻击者的投资回报。 假设存在漏洞需要制定计划,最大限度地减少影响范围和攻击面,并减少从泄露中恢复的时间。 |
实现业务对齐
为了与合作伙伴团队一起成功实施零信任原则,实现业务一致性至关重要。 当双方就当前安全状况中的风险和差距、缓解这些风险的步骤以及用于跟踪和沟通进展的方法达成共识时,就可以对不断演变的安全状况建立信心。
可以使用以下一种或两种方法来实现业务一致性。
采用基于风险的方法,确定组织面临的最大风险和最适当的缓解措施。
基于对数字资产的位置、它们所构成的内容以及基于泄露或无法访问数字资产的相对风险状况的了解,创建防御策略。
可以使用任何一种方法继续阅读本文。 其他业务场景中介绍的技术目标和工作支持这两种方法。
甚至可以采取基于风险的方法开始(减轻主要风险),然后过渡到防御策略来弥补差异。 本部分讨论如何使用这两种方法快速实现安全状况的现代化。
基于风险的方法
某些组织选择确定工作优先级,并衡量风险进展。 识别风险的两种常见工具包括桌面演练和 ISO 标准。
桌面演练评估
一个简单的入门方法是使用互联网安全中心(CIS)提供的六个桌面演练来帮助网络安全团队做好准备。
这些桌面演练旨在帮助组织演练不同的风险场景,目的是评估组织的准备状况。 它们每个都旨在与你的利益干系人团队一起“在短短 15 分钟内”完成。
这些演练引导参与者完成模拟事件的过程,并要求部门和团队做出响应。 这些演练可帮助以跨学科的方式评估准备情况。
这些演练具有代表性,包括不同的业务部门,而不仅仅是 IT 或安全部门。 如果需要,可以考虑完成和修改这些演练,以确保与你的组织相关,并包括具有代表组织不同部门的代表性,包括可能受该场景影响的营销、高管领导和面向客户的角色。
这些演练的结果会馈送到整体策略和优先事项。 结果可帮助识别差距并确定补救措施的优先级。 之后,这些优先事项将为计划阶段的工作提供信息。 这些演练还有助于在整个领导团队中营造紧迫性并给出见解,以缓解共同发现的风险。
使用 ISO 标准资源和工具
许多组织使用国际标准化组织 (ISO) 标准资源和工具来衡量组织面临的风险。 这些提供了一种结构化和全面的方法来审查和衡量组织面临的风险以及缓解措施。 有关详细信息,请参阅概述文章的“跟踪进展”部分。
与桌面演练一样,对组织风险进行更正式审查的结果会馈送到总体策略和优先事项。 结果还有助于在整个团队中营造紧迫性并给出见解,以参与实现安全状况的现代化。
防御策略
通过防御策略,可以查看数字资产,以确定数字资产的位置、它们所构成的内容以及基于泄露或无法访问数字资产的相对风险状况。
通过选取每个防御区域,并估计以下常见类型事件对业务的潜在损害,可以优先考虑需要关注的防御区域:
- 数据丢失
- 数据泄露
- 数据泄露
- 无法访问数据
- 因网络事件而导致不合规
确定要防护的优先区域后,可以系统地工作,将零信任原则应用于这些区域。 你还需要针对完成这项工作所需的资金和资源提出合理的理由。
制定快速实现安全状况现代化的策略
在评估了风险和数字资产中需要实施防护的防御区域之后,还可以利用一些其他资源制定策略。
本采用指南
不管你是采用风险方法还是防御性方法(或两者都采用),都可以从本文中的零信任采用指南着手,根据组织的优先级确定工作的优先级。 本文的指导提供了一种系统化方法来应用零信任原则。 它基于强化攻击者用来访问环境(身份和设备)的最常见目标,并对内部环境应用保护措施(如最低权限访问和网络分段),以防止或限制入侵造成的损害。
当前组织和资源优势
还要考虑在哪些方面拥有成熟的员工和资源,可以加速获得快速成功。 例如,如果你有一个积极性很高且资源充足的网络团队,那么可以加速提出需要这一技能组合的建议。
针对云的责任共担模式
另一种经常用来帮助制定战略和优先事项的资源是责任共担模式。 对安全的责任取决于云服务的类型。 下图总结了你和 Microsoft 的责任平衡。
有关详细信息,请参阅 Azure 安全性基础知识库中的云中的责任共担。
共担责任是安全团队经常使用的一种规划模型,有助于将思维方式和策略从“控制一切”转变为“与云提供商分担责任”。此模型强调将应用和资源转移到受信任的云提供商的策略,目的是减少留给组织的安全工作。
这可以成为长期策略的一部分,从获取新的基于云的应用开始,作为停用组织个人维护的旧应用和服务器的动机。
垂直行业
企业的性质或垂直行业是战略的重要驱动因素。 可以极大地影响数字资产的内容、面临的风险和法律合规性义务。
攻击者投资回报率
最后,提高攻击者的攻击成本,可以使组织能够更灵活地应对网络安全风险。 除了满足特定的法规要求之外,预算支出应该使攻击者获得环境访问权限并执行数据外泄或数据破坏等活动的成本更高且难以实现。 换句话说,降低了攻击者的投资回报率(ROI),促使他们可能改为攻击其他组织。
攻击者通常按复杂程度和资源(如现有工具和经验丰富的工作人员)分类,从最低到最高:业余者、有组织犯罪和民族国家。
零信任原则可帮助组织确定并优先考虑如何最好地花费安全防御预算来提高攻击成本,以便可以防御所有级别的攻击者。
下图显示了实施零信任原则的安全防御预算与防御实力之间的定性关系。
当在零信任原则的基础上实施和实践基本的安全健康时,防御力会迅速增强。 除了早期的收益之外,通过实现更高级的安全措施,还可以获得额外的防御强度。 更高的防御强度可以抵御更高级别的攻击者。
下图显示了你的防御强度与攻击者成本和 ROI 的影响之间的定性关系。
随着防御强度的增加,攻击者的成本会增加,攻击工作的 ROI 会降低。
攻击者 ROI 模型帮助领导理解没有什么是绝对的。 绝不能将安全状况视为完美的或无懈可击。 然而,你的组织有很多机会进行战略性调整并优先考虑你的预算和资源。 这是对你的业务领导团队共同努力保护组织的额外激励。
确定安全状况的结果
在共同努力达成业务共识并确定战略优先事项后,一定要确定具体的结果。 这些结果可以指导进一步优先顺序和规划。
下表列出了快速实现安全状况现代化的常见目标结果。
| 目标 | 成果 |
|---|---|
| 安全性成果 | 组织希望增加足够的安全障碍,以在不限制业务和技术结果的情况下挫败攻击者。 |
| 调控 | 需要保护公司资产、数据和应用,同时遵守体系结构模式,并提高合规性。 |
| 防护 | 访问控制和资产保护与包含所有物理和数字资产的集成安全工具链保持一致。 |
| 能见度 | 组织的风险和安全状况必须可衡量,并且可供多个受众类型访问。 可预测的安全结果应促成可预测的支出结果。 |
| 响应 | SecOps 角色和职责跨组织、领导和运营业务职能定义和实施。 工具和流程将安全运营和安全结果联系起来。 自动化实现了快速事件检测,并提高了实施在无需手动干预的情况下做出响应的能力。 |
记录并报告安全状况
最后,请务必使用一个或多个机制(包括 Microsoft 评分机制和其他仪表板),以持续的方式报告安全状况。 可以使用许多方法和工具。 通过此场景,你将确定对组织最有帮助的报告和工具。 还需要制定一种方法,记录适用于组织的安全状况。
计划阶段
采用计划将零信任策略的理想目标转化为可行的计划。 所有团队可以共同利用采用计划指导其技术工作,使之与组织的业务策略相符。
快速实现安全状况现代化包括采取循序渐进的方法来建立成熟度,包括采用方法来衡量和报告进展和状态。
下表汇总了许多组织对这些技术活动采取的四阶段方法。
| 阶段 1 | 阶段 2 | 阶段 3 | 阶段 4 |
|---|---|---|---|
| 确定组织面临的风险 确定安全状况中的差距 获取初始安全功能分数状态 确定法规要求 确立领导期望 |
制定响应准备计划 盘点数字资产 实施基本健康做法 更新安全功能分数的状态 在合规性管理器中获取状态 |
使用适合受众的仪表板直观呈现安全状况 使用 Microsoft Defender for Cloud Apps 记录和管理影子 IT 开发修补和更新系统的方法 |
为用户开展持续培训 改进组织的 SecOps 功能 继续管理风险 |
如果此阶段的方法适用于组织,则可以使用:
这个可下载的 PowerPoint 演示文稿为企业领导者和其他利益干系人展示和跟踪这些阶段及目标的进度。 以下是用于此业务方案的幻灯片。
此 Excel 工作簿用于分配所有者并跟踪这些阶段、目标及其任务的进度。 以下是用于此业务方案的工作表。
利益干系人团队
此业务场景的利益干系人团队包括组织中投资安全状况的领导,并可能包括以下角色和职责:
| 利益相关者 | 角色和职责 |
|---|---|
| 发起人 | 策略、指导、上报、方法、业务协调和管理协调。 |
| 项目主管 | 整体参与、资源、时间线和时间表、通信和其他元素。 |
| CISO | 标识、设备和应用的安全性和治理。 负责风险和策略的确定、跟踪和报告。 |
| 体系结构潜在客户 | 技术要求、体系结构、评论、判定和设置优先级。 |
| 最终用户安全性和可用性 (EUC) 潜在客户 | 用户的需求和反馈。 |
| 设备管理架构师 | 保护设备上的组织数据的策略,包括管理设备。 |
| 应用程序管理潜在客户 | 应用投资的优先级和技术要求,包括使应用达到新式身份验证和 Microsoft Entra 条件访问策略的标准。 |
| 服务管理员 | 租户环境(准备、测试、配置)。 |
| 业务部门代表 | 业务部门的需求和反馈。 |
此采用内容的资源 PowerPoint 幻灯片组包含以下幻灯片,可针对组织情况自行定制其中的利益干系人视图。
技术计划和技能就绪情况
Microsoft 提供了各种资源,帮助快速实现安全状况的现代化。 以下各节重点介绍了前面定义的四个阶段中针对特定任务的资源。
阶段 1
在阶段 1 中,开始了解当前的安全状况。 开始与领导团队和组织进行对话,了解什么是零信任,以及它如何与业务战略和目标保持一致。
| 阶段 1 的目标 | 资源 |
|---|---|
| 确定组织面临的风险 | 在企业环境中实现安全性 本入门指南概述了缓解或避免网络安全攻击带来的业务风险的关键步骤。 这可帮助你在云中快速建立基本的安全做法,并将安全性集成到云采用过程中。 另请参阅本文前面的资源:
|
| 确定安全状况中的差距 | 零信任概念和部署目标 本系列文章按领域(如标识和端点)提供建议。 可以使用这些文章来评估有多少建议已经完成,哪些建议还没有完成。 此外,其他业务场景中的规划资源包括用于执行此工作的推荐资源。 |
| 获取初始安全功能分数状态 | 通过 Microsoft 安全功能分数评估安全状况 了解初始安全功能分数后,可以设置可量化的安全目标并衡量一段时间内的进度。 还可以从中识别状况的下降趋势,从而为较新式的功能部署提供理由。 |
| 确定法规要求 | 与合规性团队联系,了解你的组织需遵守的法规。 列出法规和治理框架,以及为实现安全合规性状态而必须满足的任何审计结果或特定控制要求。 查看 Microsoft Purview 合规性管理器,了解组织是否已根据特定要求开始跟踪进度。 请参阅我们的标准文档库,了解一些最常用的必需以及如何配置Microsoft Entra ID 以实现合规性。 |
| 确立领导期望 | 使用概述文章作为一种资源,推动与领导团队就零信任进行对话。 其中将安全性定义为一项业务要求,并定义了特定于领导角色的零信任。 使用“业务场景”部分中的进度幻灯片演示工作,并跟踪业务主管和其他利益干系人高层的进度。 |
阶段 2
在阶段 2 中,可以继续详细说明当前的安全状况,包括:
- 制定响应准备计划
- 开始盘点数字资产
- 实现基本健康
制定响应准备计划
零信任假设存在漏洞,考虑长期攻击对环境的影响,并让你能从事件中快速恢复。 对攻击做出预测使你能够做好检测、响应和恢复的运营准备。
在此阶段,针对常见类型的攻击制定响应准备计划。 该计划包括如何回应用户和客户,以及如何在必要时与公众沟通。
对于以下每种场景,考虑进行桌面演练,记录当前对失去访问权限的响应:
- 身份验证:Microsoft Entra ID 或本地 Active Directory 域服务(AD DS)
- 生产力:租户锁定
- 数据丢失:恶意删除或加密数据、随机场景
- 数据泄露:为工业或国家间谍活动窃取数据,维基解密
- 拒绝服务:业务线(LOB)或数据(如结构化数据或数据湖)
请务必包括将受到影响的所有角色的代表,包括人力资源、营销和相关业务组。
对于每个场景:
- 考虑公共通信和内部通信的通信策略。 计划应该使你能够按照政府和行业的规定进行负责任的沟通。 响应还应该减少可能无意中与攻击者共享的信息量。
- 评估 IT 和业务团队的内部响应准备状态,以及何时需要外部响应团队(如 Microsoft 检测和响应团队(DART)或另一个泄露合作伙伴)来提高运营准备情况/网络弹性,或在内部团队不堪重负时对事件作出响应。
除了针对常见攻击制定准备计划外,此演练还可以帮助组织在实施缓解措施的工作中获得支持和见解。
盘点数字资产
针对泄露准备情况进行规划时,必须了解物理资产和数字资产的状态。 此阶段的第一个目标是盘点。 请注意:其他业务场景包括盘点受场景影响的资产。 这些清单和项目的状态将成为安全状况的一部分。
对于此业务方案,建议你创建一个列表,其中包含所有物理的和数字的资产和服务以及 LOB 应用程序。 物理资产包括终结点(手机、电脑和笔记本电脑),以及服务器(物理或虚拟)。 数字资产的示例包括 Exchange Online 中的电子邮件和保留数据、SharePoint Online 中的文件和记录、SQL PaaS 服务、数据湖、本地文件服务器或 Azure 文件共享中的文件。 请考虑使用云访问安全代理(CASB)服务(如 Microsoft Defender for Cloud)来公开用户使用的服务,包括影子 IT 数据位置。
以下是清单中需包含的数字资产:
- 标识
- 设备
- 数据
- 应用
- 基础结构
- 网络
在此阶段可能无法编制资产及其状态的详细列表。 在某些情况下,此清单依赖于安装 Microsoft Intune 和 Defender for Cloud Apps 等工具。 只需开始该过程。 当完成其他业务场景时,这些清单将变得更加完整。
理想情况下,需完成以下任务:
- 按内容敏感度和重要性对数字资产进行评分。 如果不知道这些资产的位置,请考虑使用 Microsoft Purview 来发现关键数据。
- 保持所有资产的数字资产中存在的漏洞的更新列表。
以下零信任体系结构关系图说明了这些资产彼此之间的关系。
实现基本健康
此阶段还包括实施基本健康做法。 根据 Microsoft 数字防御报告(2022 年),“尽管民族国家行动者可能技术先进并采用多种策略,但良好的网络卫生通常可以减轻其攻击。”该报告估计,“只要采取基本的卫生措施,98% 的袭击就可以被制止。”
| 阶段 2 的目标 | 资源 |
|---|---|
| 制定响应准备计划 | 网络攻击不可避免。 贵公司对此是否已做好应对准备? (《哈佛商业评论》) |
| 盘点数字资产 | 如何管理 IT 资产清单和文档? (LinkedIn 文章)。 信息系统审核和控制协会(ISACA)提供的 IT 资产估值、风险评估和控制实施模型包括如何衡量和分类资产的示例。 |
| 实施基本健康做法 | 记录组织的基本健康做法,包括如何衡量成功。 健康做法是一种网络安全做法,可以将其作为一种常规做法来缓解网络漏洞。 这些做法中的许多都包含在其他业务场景的阶段 1 中。 有些包含在后续阶段。 如何改善网络健康 |
| 更新安全功能分数的状态 | 在跨业务场景完成建议时,请更新安全功能分数的状态。 分数是在整个组织中沟通的进度和成功的衡量标准。 通过 Microsoft 安全功能分数评估安全状况 |
| 在合规性管理器中获取状态 | 如果已开始使用 Microsoft Purview 合规性管理器来跟踪法规合规性工作,请定期返回检查以更新状态。 与安全功能分数一样,这是一种衡量进度和成功的标准,包含在安全状况中。 |
阶段 3
安全状况需要检测来创建可见性。 需要将工具和方法统一为尽可能少的视图或仪表板,以便简化操作。 此阶段的第一个目标是使用适合受众的仪表板直观呈现安全状况。
假设存在漏洞要求通过实施和检测持续监视来寻找和检测针对泄露的准备情况。 在此步骤中,记录并检查实现此功能的门户或视图的数量。 此内部文档可以是你手动编译的报表,也可以是以下安全工具提供的报表:安全功能分数、合规性管理器、Microsoft Defender XDR、Microsoft Defender for Cloud、Microsoft Sentinel 和其他工具。
例如:
- 风险、针对泄露的准备和当前事件的高管摘要视图。
- IT 和 OT 安全资产的 CISO 摘要视图。
- 安全分析师视图,以响应事件。
- 有关安全信息和事件管理(SIEM)和安全业务流程、自动化和响应 (SOAR) 的历史视图,以符合法规要求和长时间运行的威胁搜寻。
创建和维护特定角色的视图可以与利益干系人(从高管领导到事件响应者)共担安全管理责任,从而提高安全状况的透明度。
阶段 3 还包括完善影子 IT 管理和健康修补区域。
| 阶段 3 的目标 | 资源 |
|---|---|
| 使用适合受众的仪表板直观呈现安全状况 | 概述文章中的跟踪进度部分提供了几个示例。 部署和配置其他安全功能时,查找对组织有价值的其他受众范围视图。 使用 Microsoft Sentinel 监视零信任(TIC 3.0)安全体系结构。 |
| 使用 Defender for Cloud Apps 记录和管理影子 IT | 如果你已部署 Defender for Cloud Apps,那么在这个阶段,可以在这一健康领域成熟起来。 请参阅将适用于零信任的 SaaS 应用与 Microsoft 365 集成。 |
| 开发一种定期修补和更新系统并具有时间敏感度的方法 | 此业务场景中的此任务与如何修补和更新系统无关。 而这里涉及的是开发一种方法来确保定期修补和更新数字资产的各个组件,与所有受影响的个人一起明确责任分工,向其开诚布公并与之进行良好的沟通。 在可能的情况下寻找实现自动化的机会。 修补和更新 IT 系统的最佳做法是什么? (LinkedIn 文章) 修补是否完美? (《信息安全杂志》) |
阶段 4
阶段 4 的目标是提高组织预防和应对攻击的能力。
| 阶段 4 的目标 | 资源 |
|---|---|
| 为用户开展持续培训 | 为了帮助 Microsoft 客户快速、轻松、有效地部署用户培训,请使用与 Terranova Security 合作开发的 Microsoft 网络安全意识工具包。 可以使用 Microsoft Defender 门户中的攻击模拟训练在组织中运行真实的攻击场景。 这些模拟攻击可以帮助识别并发现易被攻击的用户。 请参阅使用攻击模拟入门培训。 另请参阅 Microsoft 365 安全提示信息图和 Microsoft Entra 最终用户推出模板和材料。 |
| 改进组织的安全运营功能 | 将 Microsoft Defender XDR 集成到安全运营中可为建立和培训安全运营中心 (SOC) 团队提供指导,包括如何开发和规范事件响应流程。 有关如何响应事件的指南和响应特定攻击类型的操作手册,请参阅 Microsoft 安全运营库。 |
| 继续管理风险 | 为组织制定一种系统化方式,持续评估和管理风险。 回顾桌面演练或 ISO 标准,以重新调整所处的位置以及完成的工作。 |
就绪阶段
此业务场景的就绪阶段与其他业务场景略有不同。 此场景的就绪阶段包括构建利益干系人团队,然后使用敏捷方法完成每个阶段和目标,而不是评估、测试和试用特定的安全功能或配置。
例如,对于每个目标:
- 评估实现目标所需的内容,其中包括需要的人员。
- 从一个合理的方法开始并进行测试。根据需要进行调整。
- 试用方法,并根据所学内容进行调整。
下表是在计划阶段的第 1 阶段中,它如何识别组织的风险的示例。
| 就绪任务 | 操作 |
|---|---|
| 评估 | 决定将使用哪些资源来评估风险,以及哪些人应该参与这些活动。 此评估可能包括使用桌面演练或 ISO 标准。 确定组织中应参与的人员。 |
| 测试 | 使用目标资源,与一小部分利益干系人一起审查建议的练习,以评估你是否已准备好与更全面的利益干系人团队互动。 |
| 试点 | 如果使用桌面练习,请与所选参与者一起尝试其中一种方案。 查看结果,并确定是否准备好继续进行其他演练。 如果使用的是 ISO 标准,请将标准的一部分作为试点进行评估。 |
通过采取这样的敏捷方法,可以有机会调整和优化方法和流程。 也会在前进的过程中建立自信。
采用阶段
在采用阶段,可以跨职能领域逐步实施战略和部署计划。 对于这个场景,这涉及到完成跨四个阶段设定的目标,或者为组织定制的目标和阶段。
但是,实现安全状况现代化包括实现其他业务场景中建议的技术目标(或由组织确定优先级)。 这些都取决于安全状况。
当过渡到此场景和其他场景的采用阶段时,请务必传达状态、进度和价值。
治理和管理
安全治理是一个持续过程。 当过渡到此阶段时,请转移到跟踪和测量已实现的零信任体系结构的每一部分的结果。 通过监视和检测,将发现为成熟度进行迭代的机会。
跟踪和度量
这篇场景文章建议使用不同的报告和仪表板来评估状态和衡量进度。 最终,你希望开发一组指标,用于显示进展情况,并确定新漏洞可能出现的位置。 可以使用各种报告和仪表板来收集对组织最重要的指标。
团队和组织指标
下表列出了可用于跟踪团队和组织安全态势的一些示例指标。
| 业务支持 | 安全状况 | 安全响应 | 安全性改进 |
|---|---|---|---|
| 安全评审的平均时间 | 经过评审的新应用的百分比 | 平均恢复时间(MTTR) | 打开的现代化项目数 |
| 应用程序安全评审的天数 | 来自安全功能分数的评分 | 平均确认时间(MTTA) | 在过去 60 天内实现的现代化项目里程碑数 |
| 托管设备的平均启动和登录时间 | 符合应用百分比 | 还原关键系统的时间 | 从工作流中移除的重复手动步骤数 |
| 用户工作流中的安全中断数 | 满足 100% 要求的特权帐户数 | 高严重性事件数 | 从内部和外部事件中吸取的教训数 |
| 在低价值安全活动上花费的 IT 支持人员时间百分比 | 满足 100% 要求的帐户数 | 事件增长率(整体) |
产品内仪表板和报告
除了旨在配合本采用指南的基于 PowerPoint 和 Excel 的跟踪工具外,Microsoft 还提供产品内体验来跟踪你的技术实施进度。
Microsoft 安全漏洞管理是一种安全解决方案,可跨公司资产和工作负载提供安全态势的统一视图。 在此工具中,安全计划帮助你评估在特定安全风险领域的准备情况和成熟度。 安全计划采取积极主动的方法来管理针对特定风险或领域相关目标的安全计划。
使用“零信任”计划来跟踪你的组织在实现零信任安全方面的进度。 此计划与此 Microsoft 零信任采用框架保持一致,使你能够使用与业务方案相符的指标来跟踪进度。 这些指标捕获你在已排定优先级的可操作建议中的资源覆盖范围,以帮助安全团队保护其组织。 该计划还提供有关你的零信任进度的实时数据,可与利益干系人共享该数据。
每个指标都包含见解,这些见解可帮助团队了解当前状态 — 为团队提供建议详细信息、确定哪些资产受到影响,以及衡量对整体零信任成熟度的影响。
零信任采用是一种团队性任务,要求安全和 IT 运营团队保持一致并协同工作,以优先处理可改进整体零信任成熟度的变化。 在指标和任务级别,你可以与相应的团队和所有者共享建议。 然后,所有者可以直接链接到相应安全控制的管理员体验,以配置和部署相应建议。
此零信任采用框架鼓励采取基于风险的方法和/或防御策略。 通过上述任一方法,可以针对漏洞管理工具中的其他安全计划(如勒索软件保护或具体的威胁计划),并在零信任计划中不断提高零信任成熟度。
你可以将零信任计划与此零信任采用框架一起使用。 该计划内的指标和任务将按零信任业务方案进行组织。
监视和检测
浏览每个业务场景时,请确定如何监视和检测环境和漏洞更改。 许多监视和检测功能都可通过扩展检测和响应 (XDR) 工具提供,包括 Microsoft Defender XDR 产品套件和 Microsoft Sentinel。 这些是在防止或减少数据泄露造成的业务损失业务场景中实现的。
迭代提高成熟度
实现零信任是一个旅程。 在企业规模的组织中,可能需要数年时间才能完全实现。 在此期间,攻击者也在不断改进他们的技术。 请务必将指标与监视和检测功能结合使用,以确定需要循环访问和成熟零信任环境的各个方面。 此外,继续评估和改进衡量成功的方式,并传达进度、状态和价值。
后续步骤
进度跟踪资源
对于任何零信任业务方案,都可以使用以下进度跟踪资源。
| 进度跟踪资源 | 有助于… | 面向的对象 |
|---|---|---|
采用方案计划阶段网格 - 可下载的 Visio 文件或 PDF 
|
轻松了解每个业务方案的安全增强,以及“计划”阶段的各个阶段和目标的工作量。 | 业务方案项目负责人、业务主管和其他利益干系人。 |
零信任采用跟踪器 - 可下载的 PowerPoint 幻灯片 
|
跟踪“计划”阶段的各个阶段和目标的进度。 | 业务方案项目负责人、业务主管和其他利益干系人。 |
业务方案目标和任务 - 可下载的 Excel 工作簿 
|
分配所有权并跟踪“计划”阶段的各个阶段、目标和任务的进度。 | 业务方案项目负责人、IT 负责人和 IT 实现者。 |
有关其他资源,请参阅零信任评估和进度跟踪资源。