Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В рамках руководства по внедрению Zero Trust в этой статье описывается бизнес-сценарий предотвращения или снижения бизнес-ущерба от нарушения кибербезопасности. В этом сценарии рассматривается руководящий принцип Zero Trust предполагаемое нарушение, который включает:
- Минимизируйте радиус взрыва и сегментируйте доступ
- Проверка сквозного шифрования
- Используйте аналитику, чтобы повысить прозрачность, усилить обнаружение угроз и улучшить защиту.
С гибридными моделями ИТ-инфраструктуры активы и данные вашей организации находятся как в локальной среде, так и в облаке, а злоумышленники могут применять множество различных методов для их атак. Ваша организация должна быть в состоянии предотвратить эти атаки как можно больше, и при нарушении свести к минимуму ущерб атаки.
Традиционные подходы, ориентированные на обеспечение безопасности на основе периметра для локальной среды, где вы доверяете всем пользователям в периметре частной сети вашей организации, больше не актуальны. Если злоумышленник получает доступ к частной сети, он может получить соответствующие разрешения, получить доступ к любым данным, приложениям или ресурсам в нем. Они могут нарушить сеть, украв учетные данные пользователя, используя уязвимость безопасности или введя инфекцию вредоносных программ. Такие атаки могут привести к потере доходов и высоких премий киберстрахования, что может быть значительной неудачей для финансового здоровья вашей организации и репутации рынка.
Форестер подвел итоги за 2021 год.
- Почти две трети организаций были нарушены в прошлом году, и это стоило им в среднем $ 2,4 млн за нарушение. — Forester, Состояние нарушений в корпоративных системах 2021 г. (апрель 2022 г.)
В облаке плохие субъекты не должны физически нарушать периметр частной сети. Они могут атаковать облачные цифровые ресурсы из любого места в мире.
Работоспособность и репутация вашей организации зависят от вашей стратегии безопасности. Благодаря широко распространенному внедрению облачных корпоративных сред и росту мобильных сотрудников объемы данных существуют за пределами традиционных границ корпоративных сетей. В этой таблице приведены основные различия между традиционной и современной защитой от угроз с Zero Trust.
| Традиционная защита от угроз с помощью элементов управления частной сетью | Современная защита от угроз с помощью Zero Trust |
|---|---|
| Традиционная защита зависит от безопасности на основе периметра, где вы доверяете всем пользователям в частной сети. Сети периметра могут включать: — Мало сегментации сети или периметра безопасности и открытых, неструктурированных сетей. — Минимальная защита от угроз и фильтрация статического трафика. — Незашифрованный внутренний трафик. |
Модель Zero Trust перемещает защиту сети от статических, сетевых периметров к фокусировке на пользователях, устройствах, активах и ресурсах. Предположим, что нарушение может произойти и произойдет. Риски безопасности могут существовать внутри и за пределами сети, вы постоянно подвергаетесь атаке, и инцидент безопасности может произойти в любое время. Комплексная и современная инфраструктура защиты от угроз может обеспечить своевременное обнаружение и реагирование на атаки. Свести к минимуму радиус воздействия инцидентов безопасности с помощью слоев защиты, которые вместе сокращают масштабы ущерба и скорость его распространения. |
Чтобы уменьшить влияние значительного инцидента, все перечисленные ниже важные:
- Определение бизнес-риска нарушения
- Планирование подхода на основе рисков для реагирования на нарушение
- Понимание причиненного ущерба репутации и отношений вашей организации с другими организациями
- Добавьте многослойную защиту
Руководство в этой статье описывает, как можно приступить к работе с стратегией предотвращения и снижения ущерба от нарушения. Две дополнительные статьи содержат сведения о том, как реализовать эту стратегию с помощью:
- Инфраструктура предотвращения и восстановления нарушений безопасности
- Средства защиты от угроз и обнаружения и реагирования с расширенными возможностями (XDR)
Первым шагом в направлении надежной системы безопасности является определение того, как ваша организация уязвима с помощью оценки рисков.
Оценка риска и состояния безопасности
Когда вы решите принять стратегию, чтобы предотвратить нарушение и уменьшить ущерб, вызванный одним, важно рассмотреть и оценить метрику риска. Упражнение по стратегической количественной оценке риска позволяет задать метрику для склонности к риску. Это требует, чтобы вы провели базовую оценку риска вместе с анализом критически важных для бизнеса нарушений, которые могут повлиять на ваш бизнес. Сочетание задокументированного аппетита к риску в отношении сценариев нарушения, которые вы готовы решить, является основой стратегии подготовки и устранения последствий нарушений.
Обратите внимание, что практически невозможно предотвратить нарушения в качестве абсолютного. Как описано в статье «Отдача от инвестиций для атакующего», цель состоит в том, чтобы постепенно увеличить сопротивление кибератакам до такой степени, когда атакующие, против которых вы можете или хотите защититься, больше не получают жизнеспособную отдачу от своих атак. Виды атак и экономическая целесообразность защиты должны быть учтены в рамках анализа рисков.
Снижение ущерба от нарушения дает значительную энергию вариантам во время и после нарушения, что позволяет вашей организации быстро восстановиться от ожидаемого нарушения или типа нарушения. Эти типы нарушений и готовность к восстановлению определены в последующих разделах этой статьи.
Распознавание намерения нарушения должно быть частью подготовки к нарушению. Все нарушения имеют элемент злонамеренного или уголовного намерения, однако финансово мотивированные нарушения обладают потенциалом для гораздо большего ущерба по сравнению со случайными или оппортунистическими нарушениями.
Дополнительные сведения о состоянии безопасности и оценке рисков см. в статье "Быстрое модернизация системы безопасности".
Примеры рисков по типу бизнеса
Бизнес-требования зависят от результирующего анализа рисков для вашего типа бизнеса. В следующих текстах рассматривается несколько бизнес-вертикалей и то, как их конкретные потребности управляют сегментированным анализом рисков.
Добыча
Горнодобывающая промышленность смотрит больше на шахту будущего, где операционные технологии (OT) системы используют меньше ручных процессов. Примером является использование пользовательских машинных интерфейсов (HMI), которые используют интерфейс приложения для выполнения заданий и задач в заводе обработки. Так как эти HMIs предназначены в качестве приложений, риски кибербезопасности для этой отрасли могут быть выше.
Угроза больше не становится одной из потерь данных или кражи корпоративных активов. Угроза становится одной из внешних субъектов, которые используют кражу удостоверений для доступа к критически важным системам и вмешиваются в производственные процессы.
Розничная торговля
Основные риски, связанные с нарушениями в розничной отрасли, могут возникнуть, когда существует несколько доменов для нескольких брендов, которые расположены в одном арендаторе. Сложности управления локальными или облачными удостоверениями могут создавать уязвимости.
Сектор здравоохранения
Основными рисками в секторе здравоохранения являются потери данных. Несанкционированное раскрытие конфиденциальных медицинских записей может быть прямой угрозой для данных и законов о конфиденциальности информации, которые зарезервированы для пациентов и клиентов, а также, на основе местных нормативных актов, могут понести существенные штрафы.
Государственный сектор
Государственные организации представляют самые высокие риски для информационной безопасности. Репутационный ущерб, национальная безопасность и потеря данных находятся под угрозой. Именно поэтому государственные организации должны подписаться на более строгие стандарты, такие как Национальный институт стандартов и технологий (NIST).
В рамках подготовки и реагирования на нарушение безопасности воспользуйтесь преимуществами Microsoft Defender аналитики угроз для поиска и изучения типов атак и векторов угроз, которые наиболее важны для вашей вертикали.
Риски распространенных типов атак
Предотвращение или снижение бизнес-ущерба от нарушения кибербезопасности включает осведомленность о наиболее распространенных типах атак. Хотя следующие типы атак в настоящее время являются наиболее распространенными, ваша команда кибербезопасности также должна знать о новых типах атак, некоторые из которых могут увеличить или заменить их.
Идентичности
Инциденты кибербезопасности обычно начинаются с кражи учетных данных определенного рода. Учетные данные могут быть украдены с помощью различных методов:
Фишинг
Злоумышленник выдает себя за доверенное лицо и заставляет сотрудников открыть электронные письма, тексты или мгновенные сообщения. Может также включать фишинг с помощью копья, в котором злоумышленник использует сведения, относящиеся к пользователю, для создания более правдоподобной атаки фишинга. Кража технических учетных данных может произойти из-за перехода по URL-адресу или из-за фишинговой атаки с использованием многофакторной аутентификации (MFA).
Вишинг
Злоумышленник использует методы социальной инженерии для целевой поддержки инфраструктуры, например вспомогательных служб, для получения или изменения учетных данных.
Распыление пароля
Злоумышленник пытается получить большой список возможных паролей для определенной учетной записи или набора учетных записей. Возможные пароли могут быть основаны на общедоступных данных о пользователе, таких как рождение в профилях социальных сетей.
Во всех этих случаях навыки и образование являются важными как для пользователей в качестве целей фишинговых атак, так и для служб поддержки в качестве целей вишинговых атак. Вспомогательные службы должны иметь протоколы для проверки подлинности запрашивающих пользователей перед выполнением конфиденциальных действий в учетных записях пользователей или разрешениях.
Устройства
Устройства пользователей являются еще одним способом для злоумышленников, которые обычно полагаются на компрометацию устройств для установки вредоносных программ, таких как вирусы, шпионские программы, программы-шантажисты и другое нежелательное программное обеспечение, которое устанавливает без согласия.
Злоумышленники также могут использовать учетные данные устройства для получения доступа к приложениям и данным.
Сеть
Злоумышленники также могут использовать свои сети для воздействия на системы или определения конфиденциальных данных. Распространенные типы сетевых атак включают:
Распределенный отказ в обслуживании (DDos)
Атаки, направленные на перегрузку онлайн-сервисов трафиком, чтобы сделать сервис недоступным.
Прослушивание
Злоумышленник перехватывает сетевой трафик и стремится получить пароли, номера кредитных карт и другую конфиденциальную информацию.
Внедрение кода и SQL-инъекции
Злоумышленник передает вредоносный код вместо значений данных через форму или ЧЕРЕЗ API.
Межсайтовый скриптинг
Злоумышленник использует сторонние веб-ресурсы для запуска скриптов в веб-браузере жертвы.
Как бизнес-лидеры думают о предотвращении или сокращении бизнес-ущерба от нарушения
Прежде чем начать любую техническую работу, важно понять различные мотивы для инвестирования в предотвращение и снижение бизнес-ущерба от нарушения, так как эти мотивации помогают информировать стратегию, цели и меры для успеха.
В следующей таблице приводятся причины, по которым бизнес-лидеры по всей организации должны инвестировать в предотвращение или снижение ущерба от нарушения.
| Должность | Почему важно предотвратить или уменьшить ущерб от нарушения бизнес-процессов. |
|---|---|
| Главный исполнительный директор (генеральный директор) | Бизнес должен быть уполномочен для достижения своих стратегических целей и целей, независимо от климата кибербезопасности. Гибкость бизнеса и бизнес-выполнение не должны быть ограничены из-за инцидента или нарушения. Бизнес-лидеры должны понимать, что безопасность является частью бизнес-императивов и инвестиций как в предотвращение нарушений, так и в готовность к нарушениям безопасности требуется для обеспечения непрерывности бизнес-процессов. Стоимость успешной и разрушительной кибератаки может быть гораздо больше, чем цена реализации мер безопасности. |
| Главный директор по маркетингу (CMO) | Как бизнес воспринимается как внутри компании, так и вне её, не должен зависеть от возможных нарушений или готовности к ним. Узнайте, как сообщать о готовности к реагированию на нарушение и информировать об этом во внутреннем и внешнем контексте; это является вопросом подготовки. Успешная атака может стать общеизвестной, потенциально причиняя ущерб стоимости бренда, если не существует плана коммуникации по утечке данных. |
| Главный информационный директор (CIO) | Приложения, используемые вашей организацией, должны быть устойчивыми к атакам при защите данных организации. Безопасность должна быть измеримым результатом и согласована с ИТ-стратегией. Предотвращение и управление нарушениями безопасности должны быть согласованы с целостностью данных, конфиденциальностью и доступностью. |
| Главный директор по информационной безопасности (CISO) | Безопасность должна быть согласована как бизнес-императив для C-Suite. Готовность к нарушению и реагирование согласованы с достижением основных бизнес-стратегий с обеспечением безопасности технологии, согласованной с устранением бизнес-рисков. |
| Главный операционный директор (COO) | Процесс реагирования на инциденты зависит от руководства и стратегического руководства, предоставленного этой ролью. Крайне важно, чтобы превентивные и адаптивные действия выполнялись в соответствии с корпоративной стратегией. Подготовка к нарушениям в рамках концепции "Предполагаемое нарушение" означает, что все подразделения, подчиняющиеся директора по операциям (COO), должны функционировать на уровне готовности к нарушениям, гарантируя, что нарушение может быть изолировано и смягчено быстро, не останавливая бизнес. |
| Главный финансовый директор (CFO) | Подготовка и устранение нарушений являются функциями бюджетных расходов на безопасность. Финансовые системы должны быть надежными и способны выживать из-за нарушения. Финансовые данные должны быть классифицированы, защищены и архивированы как конфиденциальный набор данных. |
Подход Zero Trust решает несколько проблем безопасности, возникающих из-за нарушений безопасности. Вы можете подчеркнуть следующие преимущества подхода Zero Trust с бизнес-лидерами.
| Преимущества | Описание |
|---|---|
| Обеспечение выживания | В зависимости от природы или мотивации злоумышленника нарушение может быть разработано для значительного влияния или нарушения способности вашей организации выполнять обычные бизнес-действия. Подготовка к нарушению значительно повышает вероятность того, что ваша организация успешно переживет нарушение, направленное на взлом или отключение. |
| Контроль ущерба вашей репутации | Нарушение, которое приводит к доступу к конфиденциальным данным, может иметь серьезные последствия, такие как ущерб репутации бренда, потеря конфиденциальной интеллектуальной собственности, нарушение клиентов, нормативные штрафы и финансовый вред вашему бизнесу. Zero Trust безопасность помогает сократить область атаки путем непрерывной оценки, мониторинга и анализа ИТ-инфраструктуры как локальной, так и в облаке. Архитектура Zero Trust помогает определять политики, которые обновляются автоматически при определении рисков. |
| Уменьшение радиуса взрыва в организации | Развертывание модели Zero Trust может помочь свести к минимуму влияние внешнего или инсайдерского нарушения. Она повышает способность вашей организации обнаруживать и реагировать на угрозы в режиме реального времени и сокращает зону взрыва атак путем ограничения бокового перемещения. |
| Демонстрация надежной позиции в области безопасности и управления рисками | Подход Zero Trust позволяет выполнять триадные оповещения, корреляцию дополнительных сигналов об угрозах и действия по исправлению. Анализ сигналов помогает улучшить вашу осанку, оценивая культуру безопасности и определяя области для улучшения или лучшие практики. Любое изменение в сети автоматически активирует анализ потенциально вредоносных действий. Вы получаете полную видимость всех активов и ресурсов в ваших сетях и их работе, что приводит к значительному сокращению уровня риска. |
| Более низкие страховые премии на киберстрахование | Чтобы оценить стоимость киберстрахования, вам нужна надежная и хорошо определенная модель безопасности и архитектура. Реализуя подход Zero Trust к безопасности, вы получаете контроль, видимость и управление с помощью анализа в режиме реального времени для защиты вашей сети и конечных точек. Ваша команда безопасности может обнаружить и преодолеть пробелы в общем состоянии безопасности и доказать страховщикам, что у вас есть упреждающие стратегии и системы. Подход Zero Trust также улучшает киберустойчивость и может даже помочь окупиться за счет снижения страховых премий. |
| Повышение эффективности команды безопасности и морального поведения | Zero Trust развертывания сокращают усилия, выполняемые вручную для вашей группы безопасности, автоматив стандартные задачи, такие как подготовка ресурсов, проверка доступа и аттестация. В результате вы можете укрепить позиции ваших команд безопасности, предоставив им необходимое время и телеметрию для обнаружения, сдерживания и нейтрализации наиболее критически важных атак и рисков, как внутренних, так и внешних, что, в свою очередь, повышает мотивацию ИТ-отдела и отдела безопасности. |
Дополнительные сведения для обмена с бизнес-лидерами см. в разделе "Свести к минимуму влияние внутренних или внешних злоумышленников".
Цикл внедрения для предотвращения или уменьшения бизнес-ущерба от нарушения
Этот набор статей описывает данный бизнес-сценарий, используя те же этапы жизненного цикла, что и Cloud Adoption Framework для Azure — определение стратегии, планирование, подготовка, внедрение и управление, но с адаптацией для Zero Trust.
В следующей таблице представлена доступна версия иллюстрации.
| Определение стратегии | Планирование | Готово | Усыновлять | Контроль и управление |
|---|---|---|---|---|
| Результаты Выравнивание организации Стратегические цели |
Команда заинтересованных лиц Технические планы Готовность к применению навыков |
Оценивать Тест Пилот |
Постепенно внедряйте по всему вашему цифровому пространству | Отслеживание и измерение Мониторинг и обнаружение Итерировать для достижения зрелости |
Дополнительные сведения о цикле внедрения Zero Trust см. в обзоре рамок внедрения Zero Trust.
Чтобы предотвратить или уменьшить бизнес-ущерб от нарушения, используйте сведения в следующих дополнительных статьях:
- Реализация инфраструктуры защиты от нарушений безопасности и восстановления
- Реализация защиты от угроз и XDR
Обратите внимание, что рекомендации по развертыванию для этих двух отдельных треков требуют участия отдельных групп ИТ-отдела и действий для каждого трека можно выполнять параллельно.
Дальнейшие шаги
Для этого бизнес-сценария:
- Реализация инфраструктуры защиты от нарушений безопасности и восстановления
- Реализация защиты от угроз и XDR
Дополнительные статьи в платформе внедрения Zero Trust:
- Обзор платформы внедрения Zero Trust
- Быстрая модернизация состояния безопасности
- Безопасная удаленная и гибридная работа
- Определение и защита конфиденциальных бизнес-данных
- Соответствие нормативным требованиям и требованиям к соответствию
Ресурсы отслеживания хода выполнения
Для любого из Zero Trust бизнес-сценариев можно использовать следующие ресурсы отслеживания хода выполнения.
| Ресурс отслеживания хода выполнения | Это помогает вам... | Предназначен для... |
|---|---|---|
Этапы плана внедрения, сетка которого доступна для скачивания в формате Visio или PDF
|
Легко понять улучшения безопасности для каждого бизнес-сценария и объем усилий для различных стадий и целей фазы планирования. | Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица. |
| Отслеживание внедрения Zero Trust скачиваемая презентация PowerPoint |
Отслеживайте ход выполнения этапов и целей этапа плана. | Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица. |
Цели и задачи бизнес-сценария скачиваемого файла Excel
|
Назначьте ответственного и отслеживайте ход выполнения этапов, целей и задач фазы планирования. | Руководители бизнес-проектов, ИТ-руководители и ИТ-специалисты по внедрению. |
Дополнительные ресурсы см. в разделе ресурсы для оценки и отслеживания хода выполнения Zero Trust.