Минимизация ущерба от инцидентов безопасности

В этой статье объясняется, как управлять инцидентами безопасности и минимизировать их влияние с помощью принципов "Никому не доверяй" в рамках модели внедрения безопасности Microsoft.

Этот бизнес-сценарий помогает достичь следующего результата:

Минимизация ущерба для бизнеса от инцидентов безопасности

Как бизнес-лидер, вы знаете, что кибератаки неизбежны. Важно, насколько быстро можно обнаруживать, содержать и восстанавливаться от инцидентов безопасности, чтобы снизить операционные нарушения, финансовые потери и репутационные последствия.

Это руководство помогает вашей организации снизить влияние инцидентов безопасности на бизнес, повышая устойчивость, повышая эффективность реагирования и ускоряя восстановление на предприятии.

Как работает это руководство

Эта статья является частью структурированной модели внедрения , которая связывает стратегию безопасности с реализацией:

  • Начните с бизнес-сценария , подобного этому, чтобы определить результат, который вы хотите достичь.

  • Определите дисциплины безопасности , применяемые к этому сценарию.

    Используйте эти дисциплины для определения требуемой стратегии, архитектуры, процессов и элементов управления для сценария. Проработайте каждую дисциплину, чтобы понять, что необходимо планировать, разрабатывать и реализовывать в организации.

  • Используйте технические решения для реализации этих требований с помощью технологий Microsoft, применяя элементы управления в таких компонентах технологий, как идентификация и данные.

Этот подход гарантирует, что реагирование на инциденты безопасности и восстановление интегрированы в общую архитектуру "Никому не доверяй", обеспечивая быстрое обнаружение, сдерживание и восстановление.

Почему для минимизации ущерба для атак требуется новый подход

Успех в обеспечении безопасности означает неудачу злоумышленника, но вы не можете гарантировать, что сможете остановить любую атаку. Поскольку ущерб от успешных атак кибербезопасности неизбежен, сосредоточьтесь на создании устойчивости, гарантируя, что вы можете:

  • Предотвратить как можно больше атак.
  • Эффективно реагировать на случаи атак, чтобы ограничить ущерб и быстро восстановить бизнес-активы и службы.
  • Узнайте, как применять уроки, полученные и постоянно повышая устойчивость.

Диаграмма, показывающая, что успех в обеспечении безопасности означает неудачу злоумышленника за счет непрерывного цикла предотвращения атак, реагирования и восстановления в случае успешных атак, а также извлечения уроков для повышения устойчивости

Ценность для бизнеса

Ценность инвестиций в минимизацию ущерба для бизнеса приносит пользу всей организации, но отличается по роли.

Roles Ценность
Руководство по бизнесу Сокращает бизнес-нарушения, время простоя и риск от инцидентов безопасности путем ограничения частоты и серьезности нарушений и повышения скорости восстановления. Быстрое восстановление операций и целостности данных сводит к минимуму нормативные и репутационные последствия, уменьшая количество инцидентов, требующих публичного раскрытия. Безопасность становится фактором, обеспечивающим гибкость бизнеса, гарантируя, что решения о реализации и инвестициях принимаются с учетом рискового контекста, а не ограничиваются инцидентами.
Роли технологий Снижает операционное трение при удовлетворении требований к безопасности и технологии путем автоматизации элементов управления и стандартизации процессов доступа и восстановления. Снижение частоты инцидентов и их воздействия уменьшает объем усилий, необходимых для устранения последствий и восстановления, позволяя командам сосредоточиться на предоставлении надежных, масштабируемых сервисов, поддерживающих удаленный и гибридный формат работы.
Роли безопасности Усложняет действия злоумышленников и снижает рентабельность их атак за счёт применения единообразных средств контроля на основе идентичности для пользователей, устройств и приложений. Повышенная прозрачность и автоматизация сокращают число повторяющихся инцидентов по сценарию «дня сурка», позволяя командам безопасности тратить меньше времени на повторяющиеся задачи по локализации инцидентов и больше — на проактивное снижение рисков и повышение устойчивости.

Выравнивание дисциплин безопасности

Дисциплины безопасности представляют структурированные области подотчетности, необходимые для реализации этого бизнес-сценария.

  • Дисциплины планирования и надзора определяют стратегию, управление и координацию между организациями.
  • Дисциплины технической стратегии определяют необходимые возможности архитектуры, эксплуатации и управления.
  • Операционные дисциплины гарантируют, что средства контроля безопасности остаются эффективными с течением времени с помощью мониторинга, реагирования и непрерывного улучшения. Они обнаруживают неправильное использование, отвечают на угрозы и ведут постоянные улучшения состояния безопасности.

Планирование и надзорные дисциплины

Discipline Действие
Стратегия, интеграция и управление Настройте кросс-командные процессы и управление, чтобы управлять предотвращением, реагированием и обучением в рамках безопасности, технологий и бизнес-команд.
Сквозная архитектура безопасности Убедитесь, что технические средства и возможности интегрированы для быстрого применения уроков, полученных в организации. Эта интеграция включает создание эффективных средств управления безопасностью во всех процессах, людях и технологиях - как существующих технологий, так и новых технологий, таких как искусственный интеллект.

Требовать ведение журнала действий и обнаружение аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления.

Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps.

Дисциплины технической стратегии

Discipline Действие
Доступ и удостоверения Внедрите надежные меры защиты, такие как многофакторная аутентификация и устойчивые к фишингу средства аутентификации, чтобы предотвратить широко известные методы атак.

Поддержка ведения журнала действий и обнаружения аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления.

Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps.
Безопасность инфраструктуры Установите строгие средства управления, чтобы предотвратить известные методы атаки во всех ресурсах инфраструктуры в техническом пространстве, включая многооблачные и локальные центры обработки данных.

Поддержка ведения журнала действий и обнаружения аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления.

Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps.
Безопасность разработки Установите надежные элементы управления, чтобы предотвратить известные методы атаки во всех новых разработках и существующих приложениях.

Поддержка ведения журнала действий и обнаружения аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления.

Создавайте процессы для быстрой поддержки расследований атак, восстановления и интеграции исправлений для ошибок безопасности.

Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps.
Безопасность данных Установите строгие средства контроля, чтобы предотвратить потерю, шифрование, изменение или другое влияние на безопасность или конфиденциальность ресурсов данных, которые хранят интеллектуальную собственность, торговые секреты, регулируемые данные и другую конфиденциальную информацию.

Поддержка ведения журнала действий и обнаружения аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления

Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps.
Безопасность OT и Интернета вещей Создайте строгие средства контроля, чтобы предотвратить успешные атаки на эти активы, которые напрямую взаимодействуют с физическими процессами и физическим миром и могут привести к жизни, безопасности, финансовой и других негативных последствий.

Поддержка ведения журнала действий и обнаружения аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления.

Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps.

Операционные дисциплины

Discipline Действие
SecOps Внедрите непрерывный подход к обучению, чтобы повысить эффективность реагирования SecOps и обмениваться аналитическими данными о киберугрозах, включая сведения о наиболее распространённых методах атак и субъектах угроз. Этот подход позволяет сосредоточить улучшения на атаках с наибольшим воздействием на бизнес, наиболее часто встречающихся атаках, а также на других атаках, которые создают непропорционально большую нагрузку на команды SecOps, ИБ и ИТ-специалистов.
Управление безопасностью Создайте подход непрерывного обучения для интеграции аналитики угроз из SecOps и бизнес-контекста, чтобы отслеживать и помочь командам технологий снизить высокий уровень уязвимостей с высоким бизнес-воздействием, которое непропорционально влияет на бизнес-риск.

Обязательные технологические основы

Технологические основы представляют собой основные возможности Microsoft в области безопасности, которые поддерживают этот бизнес-сценарий.

Технологический столп Defender XDR Microsoft Sentinel
Перекрестный столп Сопоставляет сигналы Defender для конечных точек, Defender для удостоверений личности, Defender для Office 365 и Defender for Cloud Apps, чтобы обнаруживать и расследовать угрозы и реагировать на них как на взаимосвязанные инциденты. Получает и анализирует данные по всем технологическим направлениям из решений Microsoft и сторонних источников, обеспечивая централизованное обнаружение, расследование и автоматизированное реагирование.
Идентичность Defender for Identity обнаруживает проблемы гибридной идентификации, такие как неправомерное использование учетных данных, латеральное перемещение и злоупотребление привилегиями. Эти сигналы идентификации коррелируются в Defender XDR для обнаружения и реагирования на атаки. Получает журналы событий идентификации из Microsoft Entra и от внешних поставщиков удостоверений, чтобы выявлять подозрительную аутентификацию и подозрительное поведение учетных записей.
Конечные точки Microsoft Defender для конечной точки обнаруживает, изучает и реагирует на угрозы на устройствах. Эти сигналы конечной точки коррелируются в Defender XDR для обнаружения и реагирования на атаки. Сопоставляет данные телеметрии конечных точек из Microsoft и сторонних источников для обнаружения атак и отслеживания действий на разных устройствах.
Networks Сопоставляет сетевые сигналы между конечными точками, удостоверениями, приложениями и инфраструктурой для обнаружения сетевых угроз. Анализирует сетевые журналы и потоковые данные из нескольких источников для обнаружения действий и атак сети и управления ими.
Приложения Microsoft Defender для Office 365 защищает средства электронной почты и совместной работы от фишинга, вредоносных программ и бизнес-атак. Microsoft Defender for Cloud Apps обеспечивает видимость и контроль над приложениями SaaS/cloud. Отслеживает действия между Microsoft и сторонними приложениями SaaS для обнаружения аномального поведения и угроз.
Данные Microsoft Defender XDR сопоставляет сигналы с данными Microsoft Purview для обнаружения раскрытия конфиденциальных данных и потенциальной эксфильтрации данных в различных рабочих нагрузках. Анализирует доступ к данным и модели их перемещения между источниками для выявления эксфильтрации данных и внутренних угроз.
Инфраструктура Microsoft Defender для облака обнаруживает угрозы и неправильные конфигурации в облачных и гибридных рабочих нагрузках. Эти сигналы коррелируются в Defender XDR для обнаружения атак на основе инфраструктуры. Собирает телеметрию инфраструктуры из облачных и локальных сред для обнаружения скомпрометированных ресурсов и атак.
Искусственный интеллект Использует расследование на основе ИИ и автоматическое пресечение атак на основе коррелированных сигналов для ускорения обнаружения и реагирования. Применяет аналитику и машинное обучение для определения приоритетов угроз и снижения шума в крупномасштабных наборах данных.

Дальнейшие действия

Проверьте дисциплины безопасности.