Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как укрепить позицию и соответствие требованиям с помощью принципов "Никому не доверяй", в рамках Microsoft [модели внедрения безопасности](security-adoption-model.md).
Этот бизнес-сценарий помогает достичь следующего результата:
Непрерывно повышайте уровень безопасности и соответствие требованиям
Как бизнес-лидер, вы должны соответствовать вашему фидуциарному долгу, чтобы защититься от риска безопасности. Защита должна охватывать инциденты безопасности от развития угроз и соответствовать нормативным требованиям, часто с теми же ограниченными ресурсами.
Этот бизнес-сценарий входит в нашу структурированную модель внедрения, которая помогает вам достигать бизнес-целей благодаря современному подходу к безопасности, основанному на принципах "Никому не доверяй".
Это руководство помогает вашей организации повысить уровень безопасности и обеспечить соответствие требованиям путем непрерывного определения риска, приоритета исправления и укрепления защиты в организации.
Как работает это руководство
Эта статья является частью структурированной модели внедрения , которая связывает стратегию безопасности с реализацией:
Начните с бизнес-сценария , подобного этому, чтобы определить результат, который вы хотите достичь.
Идентификация дисциплин безопасности, применяемых к этому сценарию.
Используйте эти дисциплины для определения требуемой стратегии, архитектуры, процессов и элементов управления для сценария. Проработайте каждую дисциплину, чтобы понять, что необходимо планировать, разрабатывать и реализовывать в организации.
Используйте технические решения для реализации этих требований с помощью технологий Microsoft, применяя элементы управления в технологии такие как идентификация и данные.
Этот подход гарантирует непрерывное улучшение состояния безопасности и соответствие требованиям в рамках общей архитектуры "Никому не доверяй", а не как отдельные усилия.
Почему для обеспечения безопасности требуется новый подход
Организации сталкиваются с двумя пересекающимися проблемами: защита от все более сложных угроз во время проведения расширения нормативных требований и обязательств по соответствию требованиям.
- Состояние безопасности: ваше состояние безопасности представляет общую способность вашей организации предотвращать, обнаруживать и реагировать на киберугрозы. Сильный уровень безопасности измеримый, квантификируемый и постоянно улучшается по мере развития рисков и технологий.
- Соответствие нормативным требованиям: соответствие нормативным требованиям требует соблюдения законов, правил и отраслевых стандартов, таких как GDPR, CCPA, HIPAA и требования к месту расположения данных. Соответствие не является однократным усилием— оно требует устойчивых элементов управления, доказательств и операционной дисциплины.
С помощью обоих этих требований можно выполнить следующие требования:
- Систематический подход к реализации элементов управления безопасностью
- Встроенные возможности, которые часто превышают требования соответствия требованиям
- Интегрированные средства, которые снижают сложность и операционные затраты
- Измеряемое отслеживание хода выполнения и отчеты
Ценность для бизнеса
Значение непрерывного улучшения состояния безопасности и соответствия требованиям для всей организации, но отличается для разных ролей.
| Roles | Ценность |
|---|---|
| Руководство по бизнесу | Работайте со встроенной безопасностью, которая соответствует бизнес-целям, не создавая лишних препятствий. Уменьшите время восстановления после инцидентов безопасности при выполнении нормативных и законодательных требований. Ограничение финансового, юридического и репутационного влияния от сбоев безопасности и соответствия требованиям. |
| Роли технологий | Создайте стандартизованную систему безопасности с автоматизированным соответствием, прогнозируемыми затратами и снижением операционного трения при соблюдении требований к технологии и безопасности. |
| Роли безопасности | Получите улучшенную видимость и контроль над рисками организации. Постепенно повышайте сложность проведения атак, чтобы снизить рентабельность действий злоумышленника (ROI), а также ограничить масштаб возможного ущерба и сократить поверхность атаки. |
Выравнивание дисциплин безопасности
Дисциплины безопасности представляют структурированные области подотчетности, необходимые для реализации этого бизнес-сценария.
- Дисциплины планирования и надзора определяют стратегию, управление и координацию между организациями.
- Дисциплины технической стратегии определяют необходимые возможности архитектуры, эксплуатации и управления.
- Операционные дисциплины гарантируют, что средства контроля безопасности остаются эффективными с течением времени с помощью мониторинга, реагирования и непрерывного улучшения. Они обнаруживают неправильное использование, отвечают на угрозы и ведут постоянные улучшения состояния безопасности.
Планирование и надзорные дисциплины
| Discipline | Действие |
|---|---|
| Стратегия, интеграция и управление | Определите процессы управления, определяющие цели безопасности, приоритеты и терпимость к рискам. Задайте измеримые цели и отслеживайте прогресс в достижении зрелости безопасности. |
| Сквозная архитектура безопасности | Реализуйте средства управления безопасностью и мониторинг во всем технологическом активе. Интегрируйте эти элементы управления в единое представление для владельцев активов и руководителей, а также архитектуры проектирования, защищенные по умолчанию при поддержке требований соответствия. |
Дисциплины технической стратегии
| Discipline | Действие |
|---|---|
| Доступ и удостоверения | Убедитесь, что организация имеет преднамеренный и обоснованный подход к управлению доступом к ресурсам. Реализуйте элементы управления безопасностью на основе удостоверений, поддерживающие принципы "Никому не доверяй" и обеспечивающие видимость шаблонов доступа. |
| Безопасность инфраструктуры | Последовательно и эффективно применяйте средства контроля безопасности для всех ресурсов инфраструктуры в техническом пространстве, включая все облака, локальные центры обработки данных и устаревшие системы. Создавайте, отслеживайте и применяйте безопасные базовые показатели и стандарты конфигурации в общих операционных системах, устройствах, приложениях и других компонентах. |
| Безопасность разработки | Последовательно и эффективно применяйте элементы управления безопасностью в существующем программном обеспечении и новой разработке. Интеграция и автоматизация включения элементов управления безопасностью в процессы разработки. Установите процессы для быстрого исправления ошибок безопасности, обнаруженных в любое время во время жизненного цикла программного обеспечения, включая после выпуска. |
| Безопасность данных | Последовательно и эффективно применяйте средства контроля безопасности, чтобы обеспечить безопасность и гарантии конфиденциальности для ресурсов данных, которые хранят интеллектуальную собственность, торговые секреты, регулируемые данные и другие конфиденциальные данные. Реализуйте элементы управления, удовлетворяющие нормативным требованиям и защищающие от потери данных. |
| Безопасность OT и Интернета вещей | Убедитесь, что организация применяет целенаправленный и обоснованный подход к устройствам OT/IoT, взаимодействующим с физическими процессами и физическим миром. |
Операционные дисциплины
| Discipline | Действие |
|---|---|
| SecOps | Определяйте приоритеты мониторинга и мер по снижению рисков на основе наиболее частых и значимых инцидентов безопасности, используя данные об угрозах от SecOps и из внешних источников. Непрерывно улучшает возможности обнаружения и реагирования. |
| Управление безопасностью | Непрерывно оценивать, измерять и улучшать безопасность в организации. Используйте такие инструменты, как Microsoft Security Exposure Management и Secure Score, для отслеживания прогресса. Определите приоритет исправления на основе рисков и влияния на бизнес. |
Обязательные технологические основы
Технологические основы представляют собой основные возможности Microsoft в области безопасности, которые поддерживают этот бизнес-сценарий.
| Столб | Управление воздействием безопасности | Расширенная безопасность GitHub | Priva |
|---|---|---|---|
| Идентичность | Microsoft Security Exposure Management выявляет риски, связанные с идентификационными данными, включая учетные записи с избыточными привилегиями, устаревшие учетные данные и пути атак, использующие ошибки в конфигурации идентификационных данных. | GitHub Advanced Security обнаруживает жёстко заданные учётные данные и ключи API в исходном коде, чтобы снизить риск, связанный с удостоверениями, возникающий из-за раскрытия учётных данных. Интеграция с элементами управления доступом к репозиторию гарантирует, что только авторизованные пользователи могут изменять конфиденциальный код. | Microsoft Priva интегрируется с Microsoft Entra, чтобы отслеживать, какие удостоверения личности получают доступ к персональным данным, и поддерживает запросы субъектов данных, помогая людям контролировать свои персональные данные. |
| Конечные точки | Microsoft Security Exposure Management объединяет сведения об уязвимостях конечных точек, неправильных настройках и рисках подверженности, обеспечивая единое представление о состоянии безопасности устройств. | NA | Microsoft Priva отслеживает обработку персональных данных на конечных точках и помогает выявлять риски конфиденциальности от данных, хранящихся на пользовательских устройствах. |
| Networks | Microsoft Security Exposure Management картирует поверхности сетевых атак, выявляет открытые службы и выделяет пробелы в сегментации сети, которые могут обеспечить возможность бокового перемещения. | NA | Microsoft Priva помогает определить, когда персональные данные перемещаются по границам сети и поддерживают оценки передачи данных для соответствия требованиям между границами. |
| Приложения | Microsoft Security Exposure Management обнаруживает уязвимости приложений, рискованные конфигурации и теневые ИТ-ресурсы, помогая защитить поверхность атаки приложений. | Сканирование кода (SAST) в GitHub Advanced Security определяет уязвимости системы безопасности и ошибки написания кода перед выпуском, уменьшая количество уязвимостей, доступных для эксплойтов в развернутых приложениях. Кампании по безопасности и Copilot Autofix помогают командам устранять проблемы в широком масштабе, обеспечивая единые стандарты безопасности приложений. | Microsoft Priva обнаруживает персональные данные в Microsoft 365 приложениях и предоставляет представление о том, как личная информация используется в средствах совместной работы. |
| Данные | Microsoft Security Exposure Management выявляет риски раскрытия данных, включая файлы с избыточным доступом, конфиденциальные данные в незащищённых расположениях и пути атак, связанные с данными. | Сканирование секретов обнаруживает скомпрометированные учетные данные, токены и строки подключения в репозиториях, а защита при отправке помогает предотвращать новые утечки до их коммита. Это снижает риск доступа к данным через утечки секретов и поддерживает соответствие требованиям к защите данных. | Microsoft Priva предоставляет возможности, ориентированные на конфиденциальность, включая обнаружение персональных данных, управление рисками конфиденциальности, автоматизацию запросов на права субъекта и управление согласием. |
| Инфраструктура | Microsoft Security Exposure Management дает представление об уязвимостях облачной и локальной инфраструктуры, ошибках конфигурации и пробелах в соответствии требованиям в многооблачных средах. | Проверка зависимостей и проверка зависимостей определяют известные уязвимости в компонентах с открытым исходным кодом и файлах конфигурации перед развертыванием инфраструктуры или приложений, уменьшая унаследованный риск и поддерживая защиту инфраструктуры по умолчанию. | Microsoft Priva расширяет видимость конфиденциальности для данных, хранящихся в облачной инфраструктуре, помогая организациям поддерживать соответствие конфиденциальности в многооблачных средах. |
| Искусственный интеллект | Microsoft Security Exposure Management использует ИИ для моделирования путей атак, приоритизации рисков на основе возможности эксплуатации и влияния на бизнес, а также предоставления интеллектуальных рекомендаций по улучшению состояния безопасности. | GitHub Advanced Security сканирует ИИ-вспомогательный и человеческий код, помогая командам поддерживать стандарты безопасности, так как ИИ ускоряет разработку. Исправление с помощью искусственного интеллекта ускоряет устранение уязвимостей без обхода элементов управления безопасностью. | Microsoft Priva поддерживает соответствие конфиденциальности для рабочих нагрузок ИИ, помогая организациям понять, как персональные данные используются в сценариях обучения и вывода ИИ. |