Внедрить дисциплину оценки уровня защищенности

Эта статья помогает руководителям безопасности и технологиям устанавливать или модернизировать дисциплину управления безопасностью. Эта дисциплина сосредоточена на постоянном снижении воздействия организации на атаки путем выявления и устранения наиболее вероятных путей атак к критически важным ресурсам.

Дисциплины безопасности — это группировки связанных работ по обеспечению безопасности, которые помогают организациям последовательно предоставлять результаты безопасности во всем технологическом активе. В модели внедрения безопасности дисциплины помогают обеспечить мост между бизнес-сценариями и технической реализацией, гарантируя, что инвестиции в безопасность преобразуются в реальные измеримые результаты в рамках модели внедрения безопасности.

Почему эта дисциплина

Большинство успешных кибератак не начинаются с расширенных эксплойтов. Сначала они используют хорошо известные, легко эксплуатируемые уязвимости — часто в системах управления идентификацией, на конечных устройствах, в инфраструктуре, приложениях или конфигурации.

Дисциплина «Состояние безопасности» предназначена для предотвращения атак до их возникновения и дополняет дисциплину «Операции безопасности» (SecOps), которая сосредоточена на обнаружении, расследовании и реагировании после компрометации.

  • Состояние защищенности сокращает возможности злоумышленников.
  • Операции по обеспечению безопасности ограничивают последствия, когда меры предотвращения не срабатывают.

Вместе они формируют полную операционную модель безопасности.

Без выделенной дисциплины по обеспечению безопасности организации часто рассматривают управление позы следующим образом:

  • Периодическое сканирование уязвимостей.
  • Флажок соответствия.
  • Набор не связанных между собой проектов по устранению проблем.

Этот подход оставляет системные недостатки на месте, пока злоумышленники не эксплуатируют их.

На этой схеме показана взаимодополняющая природа операций управления безопасностью и безопасности:

Схема, показывающая управление безопасностью, фокусируется на предотвращении атак (слева от удара), а операции безопасности управляют инцидентами, которые происходят (справа от удара).

Миссия и результаты

Уменьшите вероятность и влияние кибератак, постоянно определяя и устраняя наиболее эксплуатируемые риски в сфере технологий организации.

Организации, которые зрелы в этой дисциплине, достигают следующего:

  • Непрерывное обнаружение активов в современной ИТ-среде.
  • Приоритизированная видимость эксплуатируемых уязвимостей и векторов атак.
  • Более быстрое и эффективное устранение проблем командами, отвечающими за активы.
  • Уменьшение поверхности атаки и радиуса взрыва.
  • Улучшена устойчивость к нарушениям бизнес-процессов.

Состояние безопасности служит операционным продолжением корпоративного управления, преобразуя приоритеты корпоративных рисков в повседневную работу по их устранению.

Как применить эту дисциплину

Чтобы эффективно применять дисциплину управления безопасностью, сосредоточьтесь на создании непрерывного, управляемого рисками подхода к пониманию и улучшению состояния безопасности вашей организации:

  1. Определите стратегию управления уровнем защищённости, согласованную с бизнес-рисками
    Определите четкий подход к выявлению, измерению и приоритету рисков безопасности на основе их потенциального влияния на бизнес.
  2. Обеспечение непрерывной видимости в среде
    Поддерживайте актуальное представление об активах, конфигурациях и уязвимостях во всех удостоверениях, устройствах, приложениях, инфраструктуре и данных.
  3. Стандартизация оценки и приоритета рисков безопасности
    Предоставьте четкие указания, чтобы гарантировать, что уязвимости, ошибки конфигурации и риски оцениваются последовательно и устраняются с учетом их влияния.
  4. Согласуйте управление состоянием защищённости с бизнес-приоритетами и критически важными активами
    Сосредоточьтесь на усилиях по исправлению наиболее важных рисков, влияющих на высокоценные активы и ключевые бизнес-сценарии.
  5. Непрерывное улучшение положения путем измерения и исправления
    Используйте аналитические сведения об оценках, тенденциях риска и усилиях по исправлению, чтобы сократить воздействие и укрепить безопасность с течением времени.

Управление изменением

Современное управление состоянием безопасности представляет собой переход от статического отчета об уязвимостях к непрерывному сокращению рисков.

Традиционный подход Современная дисциплина
Периодические проверки уязвимостей Непрерывное обнаружение активов и рисков.
Приоритизация на основе соответствия требованиям Приоритизация с учетом угроз
Результаты, принадлежащие безопасности Общая подотчетность с инженерными командами и владельцами предприятий систем.
Однократное исправление Непрерывное исправление и улучшение.
Исправление в исключительных случаях Исправление по умолчанию.

На следующей схеме показаны основные элементы направления «Уровень защищённости».

Схема, показывающая миссию по управлению безопасностью с ключевыми элементами: непрерывное обнаружение ресурсов, определение и приоритет уязвимостей и включение устранения рисков.

Ключевые принципы

Основные принципы модернизации включают:

  • Расширение возможностей: Это больше, чем просто инструменты и отчеты. Обустраивайте команды по проектированию и операциям с помощью рекомендаций, контекста, автоматизации и образования, чтобы снизить риск в рамках их нормальной работы.
  • Объём: устранение недостатков по нескольким направлениям:
    • Функциональные — устранение недостатков проектирования и реализации.
    • Конфигурация — устранение неправильной конфигурации и дрейфа конфигурации с течением времени.
    • Операционная — устранение административных и операционных методик, которые позволяют использовать злоупотребление (например, слабую обработку учетных данных).
  • Эксплуатация: Превратите повышение уровня защищённости в непрерывный инженерный процесс, а не в разовую очистку. Для этого требуется устойчивое сотрудничество, культурные изменения и добавочный прогресс.

Эта дисциплина требует культурных изменений, постоянного сотрудничества и постепенного совершенствования, а не разовых проектов по устранению недостатков.

Стратегия уровня защищённости

Эффективная стратегия обеспечения безопасности сосредоточена на трех непрерывных действиях:

  1. Обнаружение активов: непрерывно идентифицируйте активы по всему современному объекту, включая:

    • Системы удостоверений
    • Endpoints
    • Приложения SaaS
    • Облачная и локальная инфраструктура
    • OT, IoT и новые платформы

    Для этого требуется тесная совместная работа с группами владения активами, конфигурации и платформы.

  2. Определение и приоритет рисков, доступных для эксплойтов: фокусируйте внимание на уязвимостях и путях атак, которые:

    • Дешево для злоумышленников, которые будут использовать.
    • Надежность при любом масштабе.
    • Общие точки входа для многоэтапных атак.

    Аналитика угроз и закономерности атак в реальном мире должны информировать о приоритетах, а не оценках серьезности.

  3. Обеспечить снижение рисков: работать с командами, отвечающими за активы, чтобы:

    • Интеграция исправления в существующие рабочие процессы.
    • Уменьшите трение и повторите усилия.
    • Отслеживайте ход выполнения задач по сокращению рисков.

    Уровень защищённости эффективен, когда устранять проблемы быстрее и проще, чем игнорировать риски.

Роли по дисциплинам и соавторы

Уровень защищённости по своей природе носит межфункциональный характер.

К основным ролям относятся:

  • Группы инженеров и операций: руководители технологий и безопасности, инженеры безопасности и автоматизации, которые отвечают за реализацию мер по устранению рисков и поддержанию гигиены в разных странах:

    • Идентификация и доступ
    • Networking
    • Конечные точки и производительность пользователей
    • Инфраструктура и платформы (облако, локальная среда, CI/CD)
    • Данные
    • AI
    • Среды OT
  • Архитектурные роли: проектируют системы и меры контроля, которые дисциплина управления состоянием безопасности отслеживает и совершенствует:

    • Корпоративный архитектор
    • Архитектор систем безопасности
    • Архитекторы инфраструктуры, идентификации, приложений, данных и ИИ.
    • Архитекторы данных и искусственного интеллекта (ИИ).
  • Стратегия безопасности, интеграция и управление (все остальные): предоставление направления и поддержки с помощью:

    • Приоритет риска и метрики
    • Соответствие требованиям и выравнивание политик
    • Образование и участие в обеспечении безопасности
  • Аналитика угроз и SecOps: информирование о приоритете на основе поведения злоумышленников, активных кампаний и новых методов.

Выравнивание с другими дисциплинами

Управление состоянием безопасности тесно взаимодействует с другими дисциплинами:

  • SecOps: предотвращение дополняет обнаружение и реагирование.
  • Стратегия безопасности, интеграция и управление: приоритет риска и метрики.
  • Архитектура безопасности: согласованное размещение элементов управления.
  • Доступ и цифровые идентификаторы: сокращение путей атак, связанных с цифровыми идентификаторами.
  • Инфраструктура, разработка и безопасность данных: устранение системных недостатков.

Вместе эти дисциплины создают единую операционную модель безопасности.

Соответствие технологическим направлениям

Уровень защищённости охватывает все технологические направления:

  • Удостоверения — этот столп является главным приоритетом для обеспечения безопасности, так как удостоверение является точкой входа с высоким риском, которая является базовой для почти всех атак. Почти все многоэтапные атаки основаны на атаках на учетные данные, таких как Pass-the-Hash, атаки с использованием Kerberos-билетов и другие методы, которые позволяют осуществлять латеральное перемещение и получать доступ к другим ресурсам организации. Эти атаки часто используют привилегированные учетные записи, связанные с ИТ-администраторами или учетными записями административной службы.
  • Конечные точки: Конечные точки — это распространённая точка опоры для злоумышленников и среда для подготовки дальнейших атак. Очень важно быстро найти и устранить уязвимости конечных точек.
  • Инфраструктура: быстрое поиск и устранение уязвимостей инфраструктуры важно, так как инфраструктура оказывает широкое влияние из-за общих зависимостей для размещенных рабочих нагрузок и данных.
  • Приложения. Быстрое поиск и устранение этих уязвимостей важно, так как субъекты угроз часто нацелены на электронную почту, совместную работу, линию бизнеса и другие приложения для ввода и бокового обхода по всей организации для доступа к бизнес-ресурсам.
  • Данные: данные представляют собой ценную цель для кражи, вымогательства и сбоев. Злоумышленники часто нацеливаются на данные с целью кражи интеллектуальной собственности, их шифрования для получения рычага давления при вымогательстве или атаках с использованием программ-вымогателей, планирования будущих атак и в других целях.
  • Сети: атаки субъектов угроз, использующие сетевое подключение. Средства управления безопасностью сети ограничивают пути связи, ограничивают перемещение злоумышленников и обнаруживают ненормальные потоки.
  • ИИ: новые области атак ИИ требуют новых возможностей обнаружения и защиты.

Дисциплина создает согласованные навыки, инструменты и процессы во всех основных аспектах.

Дальнейшие действия

Microsoft Unified предлагает семинары под руководством экспертов, которые помогают организациям ускорить модернизацию стратегии, архитектуры и технологий управления состоянием безопасности. К этим семинарам относятся следующие:

  • Семинары по архитектуре и стратегии — семинар по Структуре внедрения безопасности (SAF) для директоров по информационной безопасности (CISO)* посвящен управлению состоянием безопасности как части современной и эффективной стратегии и программы безопасности.
  • Семинары по внедрению технологий — программа Onboarding Accelerator - Microsoft Security Exposure Management помогает ускорить внедрение Microsoft Security Exposure Management.

Обратитесь к менеджеру по работе с клиентами, чтобы получить дополнительные сведения о семинарах, управляемых Microsoft.