Поддержание и развитие состояния безопасности
 Внедрение непрерывного улучшения и применение бдительности, чтобы оставаться перед злоумышленниками, которые постоянно развивают свои стратегии атак |
|---|
Состояние безопасности не должно ухудшаться с течением времени. Необходимо постоянно улучшать операции безопасности, чтобы новые нарушения обрабатывались более эффективно. Старайтесь выравнивать улучшения с этапами, определенными отраслевыми стандартами. Это приводит к повышению готовности, сокращению времени обнаружения инцидентов и эффективному сдерживанию и устранению рисков. Непрерывное улучшение должно основываться на уроках, извлеченных из прошлых инцидентов.
Важно измерять состояние безопасности, применять политики для поддержания этого положения, а также регулярно проверять способы устранения рисков безопасности и компенсировать элементы управления, чтобы постоянно улучшить состояние безопасности перед лицом изменяющихся угроз.
Пример сценария
Компания Contoso Race Day Performance создает системы сбора данных для профессиональных гоночных команд ралли. Большая часть системы внедрена в автомобили и предоставляет локальную обратную связь экипажу вождения, но в конце гонки все данные телеметрии передаются в облако для аналитической обработки. Обработка объединяет данные отслеживания и окружающей среды и данных телеметрии транспортных средств в отчеты, которые могут использоваться командой гонки для оценки их выполнения и точной настройки своих стратегий. Облачная система использует Azure Spark в Azure Synapse Analytics. Вспомогательные системы в рабочей нагрузке используют предложения PaaS. Система уже используется тремя из пяти лучших гоночных команд в мире.
Команды по гонкам являются очень защитными для своих данных и хотят знать, что делает компания Contoso Race Day Performance, чтобы следить за развитием угроз безопасности, которые могут скомпрометировать свои данные.
Моделирование угроз для выявления и устранения потенциальных угроз
Анализ каждого компонента рабочего процесса и оценка потенциальных угроз, которым может быть подвержен каждый компонент. Классификация выявленных угроз с помощью стандартной методологии отрасли.
При внедрении этого подхода можно создать отчет о векторах атак, приоритетных по уровню серьезности. Кроме того, можно быстро определить угрозы и уязвимости и настроить контрмеры.
Задача Компании Contoso
- Хотя у них еще нет инцидентов безопасности, команда рабочей нагрузки не имеет стандартного способа оценить наличие векторов угроз, которые не рассматриваются должным образом в существующих элементах управления безопасностью.
- Команда понимает, что у них есть слепое пятно в отношении безопасности своей рабочей нагрузки, и они рискуют быть пойманы вне охраны, если есть инцидент безопасности.
Применение подхода и результатов
- Команда занимается специалистом по вопросам безопасности, чтобы узнать, как выполнять моделирование угроз.
- После выполнения первоначального упражнения по моделированию угроз они обнаружили, что у них есть хорошо разработанные элементы управления для большинства векторов угроз, но они находят пробел в одной из задач очистки данных, которые происходят после завершения заданий Azure Spark и нашли два вектора внутренних угроз для кражи данных.
- Эти пробелы запланированы на исправление в следующем цикле разработки.
- Команда также находит устаревшую систему, используемую командой гонок, больше не использующим службу, которая имеет значительный доступ к телеметрии гонки. Часть исправления будет выведена из эксплуатации этой системы.
Независимо проверьте элементы управления
Выполняйте периодические тесты безопасности, проведенные экспертами, внешними для рабочей нагрузки, которые пытаются этически взломать систему. Выполняйте подпрограммную и интегрированную проверку уязвимостей для обнаружения эксплойтов в инфраструктуре, зависимостях и коде приложения.
Эти тесты позволяют проверять защиту безопасности путем имитации реальных атак с помощью таких методов, как тестирование на проникновение.
Угрозы можно ввести в рамках управления изменениями. Интеграция сканеров в конвейеры развертывания позволяет автоматически обнаруживать уязвимости и даже использовать карантин, пока уязвимости не будут удалены.
Задача Компании Contoso
- Упражнение по моделированию угроз помогло команде выявить пробелы в безопасности, и теперь они заинтересованы в проверке своих элементов управления, особенно после реализации их исправления.
- Команда экспериментировала с открытый код инструментами в прошлом, чтобы проверить их безопасность, и нашел упражнение весело и образование. Тем не менее, они и заинтересованные лица хотели бы привлечь специалистов по безопасности, чтобы регулярно проводить тщательное и строгое тестирование.
Применение подхода и результатов
- Команда взаимодействует с известным партнером Майкрософт, специализирующимся на облачной безопасности, чтобы обсудить тестирование на проникновение.
- Команда рабочей нагрузки подписывает заявление о работе для ежеквартально тестирования на проникновение, смешивая один тест в белом поле в год, чтобы обеспечить более высокую достоверность.
- Группа консультантов также помогает команде разработчиков получить антивредоносное ПО, установленное на полях разработки и локальных агентов сборки.
- Эти меры дают группе рабочей нагрузки и заинтересованным лицам высокую степень уверенности в том, что они будут готовы к эволюции угроз вперед.
Получение текущего и оставаться текущим
Оставайтесь в курсе обновлений, исправлений и исправлений безопасности. Непрерывно оценивать систему и улучшать ее на основе отчетов аудита, тестирования и уроков тестирования. Рассмотрите возможность автоматизации по мере необходимости. Используйте аналитику угроз с помощью аналитики безопасности для динамического обнаружения угроз. Регулярно просматривайте соответствие рабочей нагрузки рекомендациям по жизненному циклу разработки безопасности (SDL).
При внедрении этого подхода вы сможете убедиться, что состояние безопасности не ухудшается с течением времени. Интегрируя выводы из реальных атак и тестирования действий, вы сможете бороться с злоумышленниками, которые постоянно улучшают и эксплуатируют новые категории уязвимостей. Автоматизация повторяющихся задач снижает вероятность человеческой ошибки, которая может создать риск.
Проверка SDL обеспечивает четкость функций безопасности. SDL помогает поддерживать инвентаризацию ресурсов рабочей нагрузки и их отчетов безопасности, которые охватывают источник, использование, уязвимости эксплуатации и другие факторы.
Задача Компании Contoso
- Разработчики, ответственные за написание заданий Apache Spark, не решаются вводить изменения и, как правило, принимают "если это не сломано, не исправьте его" подход к заданиям. Это означает, что пакеты Python и R, которые они приносят в решение, скорее всего, будут устаревшими с течением времени.
Применение подхода и результатов
- После того как команда рабочей нагрузки проверяет внутренние процессы, они видят, что в рабочей нагрузке возникает риск незапатшированных компонентов, если процесс обслуживания заданий Spark не устранен.
- Команды принимают новый стандарт для заданий Apache, которые требуют обновления всех технологий, используемых вместе с их регулярно повторяющимися расписаниями обновлений и исправлений.
- При устранении этого пробела в элементах управления безопасностью рабочая нагрузка в целом, скорее всего, будет подвержена риску непатшированных компонентов. Их использование служб PaaS и SaaS также помогает ограничить их воздействие на этот риск, так как они не должны исправлять базовую инфраструктуру.