Укрепление состояния безопасности и соответствия требованиям

В этой статье объясняется, как укрепить позицию и соответствие требованиям с помощью принципов "Никому не доверяй", в рамках Microsoft [модели внедрения безопасности](security-adoption-model.md).

Этот бизнес-сценарий помогает достичь следующего результата:

Непрерывно повышайте уровень безопасности и соответствие требованиям

Как бизнес-лидер, вы должны соответствовать вашему фидуциарному долгу, чтобы защититься от риска безопасности. Защита должна охватывать инциденты безопасности от развития угроз и соответствовать нормативным требованиям, часто с теми же ограниченными ресурсами.

Этот бизнес-сценарий входит в нашу структурированную модель внедрения, которая помогает вам достигать бизнес-целей благодаря современному подходу к безопасности, основанному на принципах "Никому не доверяй".

Это руководство помогает вашей организации повысить уровень безопасности и обеспечить соответствие требованиям путем непрерывного определения риска, приоритета исправления и укрепления защиты в организации.

Как работает это руководство

Эта статья является частью структурированной модели внедрения , которая связывает стратегию безопасности с реализацией:

  • Начните с бизнес-сценария , подобного этому, чтобы определить результат, который вы хотите достичь.

  • Идентификация дисциплин безопасности, применяемых к этому сценарию.

    Используйте эти дисциплины для определения требуемой стратегии, архитектуры, процессов и элементов управления для сценария. Проработайте каждую дисциплину, чтобы понять, что необходимо планировать, разрабатывать и реализовывать в организации.

  • Используйте технические решения для реализации этих требований с помощью технологий Microsoft, применяя элементы управления в технологии такие как идентификация и данные.

Этот подход гарантирует непрерывное улучшение состояния безопасности и соответствие требованиям в рамках общей архитектуры "Никому не доверяй", а не как отдельные усилия.

Почему для обеспечения безопасности требуется новый подход

Организации сталкиваются с двумя пересекающимися проблемами: защита от все более сложных угроз во время проведения расширения нормативных требований и обязательств по соответствию требованиям.

  • Состояние безопасности: ваше состояние безопасности представляет общую способность вашей организации предотвращать, обнаруживать и реагировать на киберугрозы. Сильный уровень безопасности измеримый, квантификируемый и постоянно улучшается по мере развития рисков и технологий.
  • Соответствие нормативным требованиям: соответствие нормативным требованиям требует соблюдения законов, правил и отраслевых стандартов, таких как GDPR, CCPA, HIPAA и требования к месту расположения данных. Соответствие не является однократным усилием— оно требует устойчивых элементов управления, доказательств и операционной дисциплины.

С помощью обоих этих требований можно выполнить следующие требования:

  • Систематический подход к реализации элементов управления безопасностью
  • Встроенные возможности, которые часто превышают требования соответствия требованиям
  • Интегрированные средства, которые снижают сложность и операционные затраты
  • Измеряемое отслеживание хода выполнения и отчеты

Ценность для бизнеса

Значение непрерывного улучшения состояния безопасности и соответствия требованиям для всей организации, но отличается для разных ролей.

Roles Ценность
Руководство по бизнесу Работайте со встроенной безопасностью, которая соответствует бизнес-целям, не создавая лишних препятствий. Уменьшите время восстановления после инцидентов безопасности при выполнении нормативных и законодательных требований. Ограничение финансового, юридического и репутационного влияния от сбоев безопасности и соответствия требованиям.
Роли технологий Создайте стандартизованную систему безопасности с автоматизированным соответствием, прогнозируемыми затратами и снижением операционного трения при соблюдении требований к технологии и безопасности.
Роли безопасности Получите улучшенную видимость и контроль над рисками организации. Постепенно повышайте сложность проведения атак, чтобы снизить рентабельность действий злоумышленника (ROI), а также ограничить масштаб возможного ущерба и сократить поверхность атаки.

Выравнивание дисциплин безопасности

Дисциплины безопасности представляют структурированные области подотчетности, необходимые для реализации этого бизнес-сценария.

  • Дисциплины планирования и надзора определяют стратегию, управление и координацию между организациями.
  • Дисциплины технической стратегии определяют необходимые возможности архитектуры, эксплуатации и управления.
  • Операционные дисциплины гарантируют, что средства контроля безопасности остаются эффективными с течением времени с помощью мониторинга, реагирования и непрерывного улучшения. Они обнаруживают неправильное использование, отвечают на угрозы и ведут постоянные улучшения состояния безопасности.

Планирование и надзорные дисциплины

Discipline Действие
Стратегия, интеграция и управление Определите процессы управления, определяющие цели безопасности, приоритеты и терпимость к рискам. Задайте измеримые цели и отслеживайте прогресс в достижении зрелости безопасности.
Сквозная архитектура безопасности Реализуйте средства управления безопасностью и мониторинг во всем технологическом активе. Интегрируйте эти элементы управления в единое представление для владельцев активов и руководителей, а также архитектуры проектирования, защищенные по умолчанию при поддержке требований соответствия.

Дисциплины технической стратегии

Discipline Действие
Доступ и удостоверения Убедитесь, что организация имеет преднамеренный и обоснованный подход к управлению доступом к ресурсам.

Реализуйте элементы управления безопасностью на основе удостоверений, поддерживающие принципы "Никому не доверяй" и обеспечивающие видимость шаблонов доступа.
Безопасность инфраструктуры Последовательно и эффективно применяйте средства контроля безопасности для всех ресурсов инфраструктуры в техническом пространстве, включая все облака, локальные центры обработки данных и устаревшие системы.

Создавайте, отслеживайте и применяйте безопасные базовые показатели и стандарты конфигурации в общих операционных системах, устройствах, приложениях и других компонентах.
Безопасность разработки Последовательно и эффективно применяйте элементы управления безопасностью в существующем программном обеспечении и новой разработке.

Интеграция и автоматизация включения элементов управления безопасностью в процессы разработки.

Установите процессы для быстрого исправления ошибок безопасности, обнаруженных в любое время во время жизненного цикла программного обеспечения, включая после выпуска.
Безопасность данных Последовательно и эффективно применяйте средства контроля безопасности, чтобы обеспечить безопасность и гарантии конфиденциальности для ресурсов данных, которые хранят интеллектуальную собственность, торговые секреты, регулируемые данные и другие конфиденциальные данные.

Реализуйте элементы управления, удовлетворяющие нормативным требованиям и защищающие от потери данных.
Безопасность OT и Интернета вещей Убедитесь, что организация применяет целенаправленный и обоснованный подход к устройствам OT/IoT, взаимодействующим с физическими процессами и физическим миром.

Операционные дисциплины

Discipline Действие
SecOps Определяйте приоритеты мониторинга и мер по снижению рисков на основе наиболее частых и значимых инцидентов безопасности, используя данные об угрозах от SecOps и из внешних источников. Непрерывно улучшает возможности обнаружения и реагирования.
Управление безопасностью Непрерывно оценивать, измерять и улучшать безопасность в организации.

Используйте такие инструменты, как Microsoft Security Exposure Management и Secure Score, для отслеживания прогресса.

Определите приоритет исправления на основе рисков и влияния на бизнес.

Обязательные технологические основы

Технологические основы представляют собой основные возможности Microsoft в области безопасности, которые поддерживают этот бизнес-сценарий.

Столб Управление воздействием безопасности Расширенная безопасность GitHub Priva
Идентичность Microsoft Security Exposure Management выявляет риски, связанные с идентификационными данными, включая учетные записи с избыточными привилегиями, устаревшие учетные данные и пути атак, использующие ошибки в конфигурации идентификационных данных. GitHub Advanced Security обнаруживает жёстко заданные учётные данные и ключи API в исходном коде, чтобы снизить риск, связанный с удостоверениями, возникающий из-за раскрытия учётных данных. Интеграция с элементами управления доступом к репозиторию гарантирует, что только авторизованные пользователи могут изменять конфиденциальный код. Microsoft Priva интегрируется с Microsoft Entra, чтобы отслеживать, какие удостоверения личности получают доступ к персональным данным, и поддерживает запросы субъектов данных, помогая людям контролировать свои персональные данные.
Конечные точки Microsoft Security Exposure Management объединяет сведения об уязвимостях конечных точек, неправильных настройках и рисках подверженности, обеспечивая единое представление о состоянии безопасности устройств. NA Microsoft Priva отслеживает обработку персональных данных на конечных точках и помогает выявлять риски конфиденциальности от данных, хранящихся на пользовательских устройствах.
Networks Microsoft Security Exposure Management картирует поверхности сетевых атак, выявляет открытые службы и выделяет пробелы в сегментации сети, которые могут обеспечить возможность бокового перемещения. NA Microsoft Priva помогает определить, когда персональные данные перемещаются по границам сети и поддерживают оценки передачи данных для соответствия требованиям между границами.
Приложения Microsoft Security Exposure Management обнаруживает уязвимости приложений, рискованные конфигурации и теневые ИТ-ресурсы, помогая защитить поверхность атаки приложений. Сканирование кода (SAST) в GitHub Advanced Security определяет уязвимости системы безопасности и ошибки написания кода перед выпуском, уменьшая количество уязвимостей, доступных для эксплойтов в развернутых приложениях. Кампании по безопасности и Copilot Autofix помогают командам устранять проблемы в широком масштабе, обеспечивая единые стандарты безопасности приложений. Microsoft Priva обнаруживает персональные данные в Microsoft 365 приложениях и предоставляет представление о том, как личная информация используется в средствах совместной работы.
Данные Microsoft Security Exposure Management выявляет риски раскрытия данных, включая файлы с избыточным доступом, конфиденциальные данные в незащищённых расположениях и пути атак, связанные с данными. Сканирование секретов обнаруживает скомпрометированные учетные данные, токены и строки подключения в репозиториях, а защита при отправке помогает предотвращать новые утечки до их коммита. Это снижает риск доступа к данным через утечки секретов и поддерживает соответствие требованиям к защите данных. Microsoft Priva предоставляет возможности, ориентированные на конфиденциальность, включая обнаружение персональных данных, управление рисками конфиденциальности, автоматизацию запросов на права субъекта и управление согласием.
Инфраструктура Microsoft Security Exposure Management дает представление об уязвимостях облачной и локальной инфраструктуры, ошибках конфигурации и пробелах в соответствии требованиям в многооблачных средах. Проверка зависимостей и проверка зависимостей определяют известные уязвимости в компонентах с открытым исходным кодом и файлах конфигурации перед развертыванием инфраструктуры или приложений, уменьшая унаследованный риск и поддерживая защиту инфраструктуры по умолчанию. Microsoft Priva расширяет видимость конфиденциальности для данных, хранящихся в облачной инфраструктуре, помогая организациям поддерживать соответствие конфиденциальности в многооблачных средах.
Искусственный интеллект Microsoft Security Exposure Management использует ИИ для моделирования путей атак, приоритизации рисков на основе возможности эксплуатации и влияния на бизнес, а также предоставления интеллектуальных рекомендаций по улучшению состояния безопасности. GitHub Advanced Security сканирует ИИ-вспомогательный и человеческий код, помогая командам поддерживать стандарты безопасности, так как ИИ ускоряет разработку. Исправление с помощью искусственного интеллекта ускоряет устранение уязвимостей без обхода элементов управления безопасностью. Microsoft Priva поддерживает соответствие конфиденциальности для рабочих нагрузок ИИ, помогая организациям понять, как персональные данные используются в сценариях обучения и вывода ИИ.

Дальнейшие действия

Проверьте дисциплины безопасности.