Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется, как управлять инцидентами безопасности и минимизировать их влияние с помощью принципов "Никому не доверяй" в рамках модели внедрения безопасности Microsoft.
Этот бизнес-сценарий помогает достичь следующего результата:
Минимизация ущерба для бизнеса от инцидентов безопасности
Как бизнес-лидер, вы знаете, что кибератаки неизбежны. Важно, насколько быстро можно обнаруживать, содержать и восстанавливаться от инцидентов безопасности, чтобы снизить операционные нарушения, финансовые потери и репутационные последствия.
Это руководство помогает вашей организации снизить влияние инцидентов безопасности на бизнес, повышая устойчивость, повышая эффективность реагирования и ускоряя восстановление на предприятии.
Как работает это руководство
Эта статья является частью структурированной модели внедрения , которая связывает стратегию безопасности с реализацией:
Начните с бизнес-сценария , подобного этому, чтобы определить результат, который вы хотите достичь.
Определите дисциплины безопасности , применяемые к этому сценарию.
Используйте эти дисциплины для определения требуемой стратегии, архитектуры, процессов и элементов управления для сценария. Проработайте каждую дисциплину, чтобы понять, что необходимо планировать, разрабатывать и реализовывать в организации.
Используйте технические решения для реализации этих требований с помощью технологий Microsoft, применяя элементы управления в таких компонентах технологий, как идентификация и данные.
Этот подход гарантирует, что реагирование на инциденты безопасности и восстановление интегрированы в общую архитектуру "Никому не доверяй", обеспечивая быстрое обнаружение, сдерживание и восстановление.
Почему для минимизации ущерба для атак требуется новый подход
Успех в обеспечении безопасности означает неудачу злоумышленника, но вы не можете гарантировать, что сможете остановить любую атаку. Поскольку ущерб от успешных атак кибербезопасности неизбежен, сосредоточьтесь на создании устойчивости, гарантируя, что вы можете:
- Предотвратить как можно больше атак.
- Эффективно реагировать на случаи атак, чтобы ограничить ущерб и быстро восстановить бизнес-активы и службы.
- Узнайте, как применять уроки, полученные и постоянно повышая устойчивость.
Ценность для бизнеса
Ценность инвестиций в минимизацию ущерба для бизнеса приносит пользу всей организации, но отличается по роли.
| Roles | Ценность |
|---|---|
| Руководство по бизнесу | Сокращает бизнес-нарушения, время простоя и риск от инцидентов безопасности путем ограничения частоты и серьезности нарушений и повышения скорости восстановления. Быстрое восстановление операций и целостности данных сводит к минимуму нормативные и репутационные последствия, уменьшая количество инцидентов, требующих публичного раскрытия. Безопасность становится фактором, обеспечивающим гибкость бизнеса, гарантируя, что решения о реализации и инвестициях принимаются с учетом рискового контекста, а не ограничиваются инцидентами. |
| Роли технологий | Снижает операционное трение при удовлетворении требований к безопасности и технологии путем автоматизации элементов управления и стандартизации процессов доступа и восстановления. Снижение частоты инцидентов и их воздействия уменьшает объем усилий, необходимых для устранения последствий и восстановления, позволяя командам сосредоточиться на предоставлении надежных, масштабируемых сервисов, поддерживающих удаленный и гибридный формат работы. |
| Роли безопасности | Усложняет действия злоумышленников и снижает рентабельность их атак за счёт применения единообразных средств контроля на основе идентичности для пользователей, устройств и приложений. Повышенная прозрачность и автоматизация сокращают число повторяющихся инцидентов по сценарию «дня сурка», позволяя командам безопасности тратить меньше времени на повторяющиеся задачи по локализации инцидентов и больше — на проактивное снижение рисков и повышение устойчивости. |
Выравнивание дисциплин безопасности
Дисциплины безопасности представляют структурированные области подотчетности, необходимые для реализации этого бизнес-сценария.
- Дисциплины планирования и надзора определяют стратегию, управление и координацию между организациями.
- Дисциплины технической стратегии определяют необходимые возможности архитектуры, эксплуатации и управления.
- Операционные дисциплины гарантируют, что средства контроля безопасности остаются эффективными с течением времени с помощью мониторинга, реагирования и непрерывного улучшения. Они обнаруживают неправильное использование, отвечают на угрозы и ведут постоянные улучшения состояния безопасности.
Планирование и надзорные дисциплины
| Discipline | Действие |
|---|---|
| Стратегия, интеграция и управление | Настройте кросс-командные процессы и управление, чтобы управлять предотвращением, реагированием и обучением в рамках безопасности, технологий и бизнес-команд. |
| Сквозная архитектура безопасности | Убедитесь, что технические средства и возможности интегрированы для быстрого применения уроков, полученных в организации. Эта интеграция включает создание эффективных средств управления безопасностью во всех процессах, людях и технологиях - как существующих технологий, так и новых технологий, таких как искусственный интеллект. Требовать ведение журнала действий и обнаружение аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления. Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps. |
Дисциплины технической стратегии
| Discipline | Действие |
|---|---|
| Доступ и удостоверения | Внедрите надежные меры защиты, такие как многофакторная аутентификация и устойчивые к фишингу средства аутентификации, чтобы предотвратить широко известные методы атак. Поддержка ведения журнала действий и обнаружения аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления. Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps. |
| Безопасность инфраструктуры | Установите строгие средства управления, чтобы предотвратить известные методы атаки во всех ресурсах инфраструктуры в техническом пространстве, включая многооблачные и локальные центры обработки данных. Поддержка ведения журнала действий и обнаружения аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления. Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps. |
| Безопасность разработки | Установите надежные элементы управления, чтобы предотвратить известные методы атаки во всех новых разработках и существующих приложениях. Поддержка ведения журнала действий и обнаружения аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления. Создавайте процессы для быстрой поддержки расследований атак, восстановления и интеграции исправлений для ошибок безопасности. Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps. |
| Безопасность данных | Установите строгие средства контроля, чтобы предотвратить потерю, шифрование, изменение или другое влияние на безопасность или конфиденциальность ресурсов данных, которые хранят интеллектуальную собственность, торговые секреты, регулируемые данные и другую конфиденциальную информацию. Поддержка ведения журнала действий и обнаружения аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps. |
| Безопасность OT и Интернета вещей | Создайте строгие средства контроля, чтобы предотвратить успешные атаки на эти активы, которые напрямую взаимодействуют с физическими процессами и физическим миром и могут привести к жизни, безопасности, финансовой и других негативных последствий. Поддержка ведения журнала действий и обнаружения аномальных действий (потенциальных атак) для обеспечения эффективного реагирования и восстановления. Расставляйте приоритеты для мер безопасности на основе аналитических данных о киберугрозах из SecOps. |
Операционные дисциплины
| Discipline | Действие |
|---|---|
| SecOps | Внедрите непрерывный подход к обучению, чтобы повысить эффективность реагирования SecOps и обмениваться аналитическими данными о киберугрозах, включая сведения о наиболее распространённых методах атак и субъектах угроз. Этот подход позволяет сосредоточить улучшения на атаках с наибольшим воздействием на бизнес, наиболее часто встречающихся атаках, а также на других атаках, которые создают непропорционально большую нагрузку на команды SecOps, ИБ и ИТ-специалистов. |
| Управление безопасностью | Создайте подход непрерывного обучения для интеграции аналитики угроз из SecOps и бизнес-контекста, чтобы отслеживать и помочь командам технологий снизить высокий уровень уязвимостей с высоким бизнес-воздействием, которое непропорционально влияет на бизнес-риск. |
Обязательные технологические основы
Технологические основы представляют собой основные возможности Microsoft в области безопасности, которые поддерживают этот бизнес-сценарий.
| Технологический столп | Defender XDR | Microsoft Sentinel |
|---|---|---|
| Перекрестный столп | Сопоставляет сигналы Defender для конечных точек, Defender для удостоверений личности, Defender для Office 365 и Defender for Cloud Apps, чтобы обнаруживать и расследовать угрозы и реагировать на них как на взаимосвязанные инциденты. | Получает и анализирует данные по всем технологическим направлениям из решений Microsoft и сторонних источников, обеспечивая централизованное обнаружение, расследование и автоматизированное реагирование. |
| Идентичность | Defender for Identity обнаруживает проблемы гибридной идентификации, такие как неправомерное использование учетных данных, латеральное перемещение и злоупотребление привилегиями. Эти сигналы идентификации коррелируются в Defender XDR для обнаружения и реагирования на атаки. | Получает журналы событий идентификации из Microsoft Entra и от внешних поставщиков удостоверений, чтобы выявлять подозрительную аутентификацию и подозрительное поведение учетных записей. |
| Конечные точки | Microsoft Defender для конечной точки обнаруживает, изучает и реагирует на угрозы на устройствах. Эти сигналы конечной точки коррелируются в Defender XDR для обнаружения и реагирования на атаки. | Сопоставляет данные телеметрии конечных точек из Microsoft и сторонних источников для обнаружения атак и отслеживания действий на разных устройствах. |
| Networks | Сопоставляет сетевые сигналы между конечными точками, удостоверениями, приложениями и инфраструктурой для обнаружения сетевых угроз. | Анализирует сетевые журналы и потоковые данные из нескольких источников для обнаружения действий и атак сети и управления ими. |
| Приложения | Microsoft Defender для Office 365 защищает средства электронной почты и совместной работы от фишинга, вредоносных программ и бизнес-атак. Microsoft Defender for Cloud Apps обеспечивает видимость и контроль над приложениями SaaS/cloud. | Отслеживает действия между Microsoft и сторонними приложениями SaaS для обнаружения аномального поведения и угроз. |
| Данные | Microsoft Defender XDR сопоставляет сигналы с данными Microsoft Purview для обнаружения раскрытия конфиденциальных данных и потенциальной эксфильтрации данных в различных рабочих нагрузках. | Анализирует доступ к данным и модели их перемещения между источниками для выявления эксфильтрации данных и внутренних угроз. |
| Инфраструктура | Microsoft Defender для облака обнаруживает угрозы и неправильные конфигурации в облачных и гибридных рабочих нагрузках. Эти сигналы коррелируются в Defender XDR для обнаружения атак на основе инфраструктуры. | Собирает телеметрию инфраструктуры из облачных и локальных сред для обнаружения скомпрометированных ресурсов и атак. |
| Искусственный интеллект | Использует расследование на основе ИИ и автоматическое пресечение атак на основе коррелированных сигналов для ускорения обнаружения и реагирования. | Применяет аналитику и машинное обучение для определения приоритетов угроз и снижения шума в крупномасштабных наборах данных. |