安全性整合
在您的組織中,安全性應該是每個人工作的一部分,就像商務需求、效能和可靠性一樣。 所有階層的安全性人員都應該熟悉整體業務優先順序、IT 計畫,以及組織的風險胃納。 請將安全性想像成編織企業每個層面的一條線。 安全性應該自然成為企業的一部分。 企業應該自然成為安全性的一部分。
您的組織必須維護安全性保證,同時將商務程式摩擦降至最低。
小組之間的內部摩擦和低層級的衝突可能會在組織中發生。 這種衝突不可持續。 所有小組在雲端、數位業務和零信任安全性的時代共同合作非常重要。 以不同目標、文化和語言運作的 Teams 讓組織效率低下且無效。
請確定安全性小組不會在定址接收器中運作。 小組應密切合作,以確保順暢的程式作業和知識共用。
觀看下列影片,以深入瞭解如何跨企業的所有領域整合安全性。
本指南說明如何改善與商務和 IT 小組的安全性整合,以及安全性小組之間的整合。
正規化關聯
克服許多組織中普遍存在的定址定址方法可能是一項挑戰,但可以完成。 主要要素是清楚結束狀態、明確程式,並為有形目標和行為的變化提供持續的領導支援。 下列元素對程式很重要:
- 識別共用目標和結果。
- 識別正確的安全性層級。
識別共用目標和結果
請確定您對涉及所有小組的目標有共同瞭解。 安全性小組有時會將自己定義為對商務和 IT 功能進行品質控制。 此方法會建立對抗動態並產生摩擦。 商務生產力、IT 目標和安全性目標可能會遭受這種動態影響。
請確定安全性小組與 IT 和商務對應人員緊密整合。 安全性小組會共同負責任何計畫的業務、IT 和安全性成果。 分享設計系統以符合商務和 IT 目標的挑戰。 在正確的時間分享安全性觀點和專業知識。
由於系統正在設計、實作、操作並持續改善,因此設定護欄非常重要,因此 沒有聲音主導與企業、IT 或安全性相關的所有決策 。
識別正確的安全性層級
某些安全性控制措施,例如生物 特徵辨識登入Windows Hello 企業版 具有讓使用者體驗變得更好且安全性更強的雙重優點。 許多安全措施會增加商務程式的摩擦,並可能會降低其速度。 我們努力先找出使用者和開發人員容易且看不見的安全性措施。 我們必須接受,有時必須做出取捨。
這些聯合團隊應該始終努力在過程中保持健康的摩擦水準,在正確的時間推動批評思維來創造價值。 例如,您可能會考慮攻擊者對新功能的處理方式,或改變某些資料對業務的影響。
團隊應該努力在兩個絕對真理之間取得最佳平衡:
- 無法略過安全性。 略過安全性通常會導致最終成本高於整合安全性的事件(生產力、收入、整體業務影響)。
- 安全性控制可以達到狀況不良的摩擦層級,其中安全性摩擦會妨礙其保護的價值。
當安全性整合到程式中時,尋找平衡非常重要。 專案關係人必須一起合作,以確保業務考慮、IT 可靠性和效能考慮,以及考慮安全性考慮和平衡。 組織也需要努力解決 80% 的問題,並規劃其他 20% 的組織。 在有 100% 的解決方案之前,組織會讓安全性控制、特性和功能保持一切風險。 反復的方法效果良好,更新和教育的基本概念也一樣。
如需健康安全性摩擦的詳細資訊,請參閱 安全性策略指引中的正確安全性摩擦 層級。
下一節說明如何將安全性專案關係人與 IT、終端使用者和工作負載擁有者整合。 它也包含安全性小組內的範例。
與 IT 和商務作業整合
雖然大部分的安全性功能都看不見,但一些安全性考慮會出現在日常商務和 IT 工作流程中。 安全性思維必須整合到規劃和經營業務的正常體驗中。
安全性更新程式
安全性更新是商務程式和安全性程式互動最常見的可見點之一。 這是常見的摩擦來源,因為它牽涉到兩個不同力量的艱難平衡,對應到組織中的個別專案關係人:
- 立即的業務影響: 安全性更新通常需要測試和系統重新開機,以耗用應用程式擁有者和 IT 小組的時間和資源,並可能導致停機對業務造成影響。
- 潛在的未來商務影響作為安全性風險: 如果未完全套用更新,攻擊者就可以利用弱點並造成業務影響。
如果小組在沒有共用目標和責任的情況下運作(例如,IT 和業務將焦點放在立即的業務影響上,安全性會占安全性風險的 100%,則它們將會在安全性更新上持續發生衝突。 這種衝突分散了團隊無休止的爭論,而不是他們一起解決問題,這讓他們能夠進入下一個問題、風險和商業價值創造機會。 整個組織的持續通訊,並建立接受更新的文化,將有很長的路要限制終端使用者的推回。 如果使用者知道他們會受到更好的保護,能夠提高生產力,並且能夠建置業務,因為安全性與他們並存,他們更有可能接受更新和持續教育。
正確地將擁有權益和風險的責任放在資產擁有者上,可讓他們更輕鬆地考慮立即和潛在的未來影響。 讓識別解決方案成為安全性、IT 和業務上所有主題專家的共同責任,藉由考慮更多且多樣化的觀點,提高解決方案的品質。 讓每個人都成為整個公司安全性故事中的專案關係人。 雖然每個人都可能沒有安全性作為日常角色,但他們確實有安全性需求來執行其角色。
此範例程式說明組織如何在有限的時間範圍內,使用共同的責任和彈性,開始解決此問題:
此程式會依照一般排程執行:
- 企業 IT 和安全性小組會藉由識別所需的安全性更新或修補程式,以及最高影響來啟動程式。 這些更新可透過全企業散發通道提供給終端使用者或工作負載擁有者。
- 終端使用者有固定的期間來測試更新、套用更新,以及重新開機其裝置。 在該期間到期之後,企業 IT 和安全性小組會套用更新或封鎖對公司資源的存取。 他們可能會使用 Microsoft Entra 條件式存取或協力廠商網路存取控制解決方案等機制。
- 工作負載擁有者會獲得固定的一段時間來測試更新、將它們套用至生產系統,並視需要重新開機。 在該自助期間,且任何寬限期到期之後,企業 IT 和安全性小組會強制更新套用或將其與其他公司資源隔離。 某些具有嚴格需求的組織可能會從 Azure 訂用帳戶或 AWS 帳戶中刪除資產,以解除委任資產。
- 企業 IT 和安全性小組會監視更新的狀態,並執行已識別的任何強制補救。
此程式不是靜態的,而且不會在一天內設定。 經過一段時間的反復建置並持續改善。 從您身分開始,並持續改善程式,以在這個結束狀態進行累加式進度。 使用下列維度進行持續改善規劃:
- 涵蓋範圍: 從少數應用程式小組開始,這些小組很有可能成功,或在遭入侵時產生重大業務影響。 新增更多內容,直到您涵蓋環境中的所有工作負載為止。
- 時間: 從您知道的期限開始,您可以完成並設定明確的藍圖,以持續縮短它們,直到您接近一周或更少的完整更新為止。
- 技術範圍。 持續改善您所涵蓋的修補程式和技術,包括應用程式程式碼中使用的應用程式、中介軟體和開放原始碼元件。 您應該鼓勵使用更新的元件,以降低維護負擔。 例如,使用 Azure SQL 資料庫 ,而不是安裝及更新您自己的 SQL Server。
- 程式: 持續改善小組之間的通道、優先順序指引、例外狀況程式,以及此程式所有其他層面。
整合安全性小組
安全性小組應共同合作並共同作業,以避免因在定址接收器中作業而產生的業務風險增加。 在安全性小組之間未共用學習和關鍵深入解析時,組織可能會從可能避免的未來事件中遭受更大的損害和影響。
安全性是一個動態專業領域,必須一律回應主動威脅,且一律要學習並持續改善程式、工具和技術。 安全性必須持續適應其組織攻擊者技術、技術平臺和商業模式的轉變。 安全性小組應共同合作,快速回應威脅,並持續將深入解析和學習整合到可改善組織安全性狀態的程式,以及快速回應攻擊的能力。
下列工作流程圖表說明安全性專業領域應如何共同作業,以完全整合學習和深入解析,以改善整體安全性。
安全性的主要任務是快速回應下列情況:
新事件: 具有組織資源存取權的作用中攻擊者,對必須快速補救為優先的組織造成立即風險。 補救之後,這些攻擊代表瞭解未來攻擊外觀的最佳機會。 無論是成功還是失敗,攻擊者都可能會再次重複追求相同的目標、技術或獲利模型。
新的深入解析和學習: 新的深入解析和學習可能來自下列來源:
外來事件。 其他組織的事件可以提供攻擊者的深入解析。 他們可能會在您的組織中嘗試相同。 此知識會通知改進計畫,或驗證您的投資是否在正確的軌道上。透過資訊共用和分析中心(ISAC)、與對等組織直接關聯性,或其他關於事件的公開報告和分析,探索外來事件。
新的技術功能。 雲端提供者和軟體廠商會持續創新。 他們會將功能新增至其產品:
- 需要安全性防禦的商務功能。
- 安全性功能,可改善安全性保護資產的能力。 這些功能可能是整合至雲端平臺或其他平臺技術的原生安全性功能。 它們可能是傳統的獨立安全性功能。
- 雲端式安全性所提供的可見度和遙測遠大於組織可從其單一內部部署環境取得的內容。 所有資料都是使用來自全國各地的中繼資料來收集。 資料會經過嚴格的分析程式,包括行為分析、引爆室、機器學習和 AI。
產業最佳做法: 來自國家標準與技術研究院(NIST)、網際網路安全中心(CIS)和開放群組等廠商和組織的產業最佳做法。 這些組織有一個憲章,可收集和分享安全性小組可從中學習的學習和最佳做法。
弱點是攻擊者可以利用的任何專案來控制資產,例如軟體弱點。 也有安全性設定選擇、密碼編譯演算法的弱點、不安全的做法,以及使用或管理系統的程式。 當您發現弱點時,請評估它們如何影響您的安全性狀態,以及偵測、回應及從攻擊中復原的能力。
回應威脅: 安全性作業小組會調查偵測。 他們藉由從組織中的控制點驅逐對手來回應他們。 根據組織的大小和事件的複雜度,此回應可能會牽涉到數個安全性小組。
根本原因分析: 識別導致重大事件產生較高可能性或更高影響的重要貢獻因素,會產生可改善組織安全性狀態和回應能力的深入解析學習。 這些學習可以沿著許多維度進行,包括攻擊工具和基礎結構、攻擊技術、目標、動機和獲利模型。 根本原因分析可以通知預防控制、偵測控制項、安全性作業程式,或安全性程式或架構的任何其他元素。
搜捕威脅: 主動搜捕威脅是持續的活動。 搜捕應該一律考慮在狩獵規劃和假設開發中的新見解或學習。 搜捕小組可能想要專注于重要層面:
- 最近廣泛或高影響弱點。
- 新的攻擊者群組。
- 在會議上示範的新攻擊技術。
設計和實作風險降低: 學到的課程必須整合到技術環境和安全性和商務程式。 Teams 應共同合作,將課程整合到架構、原則和標準中。 例如,在最近的內部或公用事件中竊取系統管理認證,可能會促使組織採用 Microsoft 特殊許可權存取中的控制措施。 如需詳細資訊,請參閱 安全性快速現代化計畫 。
下一步
當您規劃雲端採用時,請專注于將安全性功能整合在一起。 將安全性與較大的組織整合。 請密切關注安全性所產生的摩擦。 請確定摩擦狀況良好。 健康摩擦可降低組織的風險,而不會造成比保護更多的價值降低速度變慢。