Freigeben über

Sicherheitsteams, Rollen und Funktionen

In diesem Artikel werden die Sicherheitsrollen und -funktionen beschrieben, die für Cloudinfrastruktur und -plattformen erforderlich sind. Verwenden Sie diese Rollen, um Sicherheit in jede Phase des Cloudlebenszyklus zu integrieren, von der Entwicklung bis hin zu Vorgängen und einer kontinuierlichen Verbesserung.

Diagramm, das die Methoden zeigt, die an der Cloudakzeptanz beteiligt sind. Das Diagramm enthält Felder für jede Phase: Teams und Rollen, Strategie, Plan, Bereit, Übernehmen, Steuern und Verwalten. Das Feld für diesen Artikel ist hervorgehoben.

Die Organisationsgröße bestimmt, wie Sie diese Rollen verwalten. Große Unternehmen haben häufig spezielle Teams für jede Rolle. Kleinere Organisationen konsolidieren häufig mehrere Funktionen in weniger Rollen. Technische Plattformen und Dienstleistungen beeinflussen auch spezifische Sicherheitsaufgaben.

Technologie- und Cloudteams führen einige Sicherheitsaufgaben direkt aus. Spezialisierte Sicherheitsteams führen andere Aufgaben in Zusammenarbeit mit Technologieteams aus. Unabhängig von der Organisationsstruktur müssen die Beteiligten die notwendige Sicherheitsarbeit verstehen. Alle Teams müssen geschäftsspezifische Anforderungen und Risikotoleranz verstehen, um fundierte Entscheidungen über Clouddienste zu treffen. Verwenden Sie diese Anleitung, um die Funktionen bestimmter Teams und Rollen zu verstehen und wie sie interagieren, um eine umfassende Cloudsicherheitsabdeckung bereitzustellen.

Transformation von Sicherheitsrollen

Die Rollen für Sicherheitsarchitektur, Technik und Betrieb werden erheblich verschoben, da Organisationen Cloudplattformen und moderne Entwicklungsmethoden einführen. Diese Transformation wirkt sich darauf aus, wie die Sicherheitsarbeit ausgeführt wird, wie Teams zusammenarbeiten und wie Zuständigkeiten über technische Funktionen verteilt werden. Diese Änderung wird durch mehrere Faktoren vorangetrieben:

  • Wechseln sie zu saaS-basierten und cloudeigenen Sicherheitstools. Die Einführung von SaaS-Plattformen ändert den Fokus von Sicherheitsteams von Implementierung zu Governance. Sicherheitsteams stellen die Richtlinien, Standards und Konfigurationsbaselines bereit. Sie konfigurieren die SaaS-Dienste nicht direkt. Die Teams, die die SaaS-Anwendung besitzen, wenden diese Anleitung auf ihre spezifischen Tools an. Durch diese Trennung wird sichergestellt, dass sicherheitsrelevante Anforderungen erfüllt werden, während Anwendungsteams die Betriebseinstellungen ihrer Dienste verwalten können.

  • Sicherheit als gemeinsame Verantwortung für Entwicklungsteams. Alle technischen Teams sind jetzt direkt für die Anwendung von Sicherheitskontrollen auf die Workloads und Dienste verantwortlich, die sie erstellen oder betreiben. Sicherheitsteams bieten Muster, Anleitungen, Automatisierung und Schutzschienen, die eine sichere Implementierung zum Standard machen und die Reibung bei Übermittlungsprozessen verringern.

  • Breitere, technologieübergreifende Qualifikationsanforderungen. Sicherheitsteams müssen zunehmend eine breite Palette von Technologien verstehen und wie Angreifer sich über Systeme hinweg bewegen. Da Cloudplattformen Identitäts-, Netzwerk-, Compute-, Anwendungs- und Betriebsebenen integrieren, müssen Sicherheitsexperten End-to-End-Angriffspfade auswerten, anstatt sich auf schmale technische Domänen zu konzentrieren.

  • Kontinuierlicher Wandel in Cloudplattformen und Sicherheitsfunktionen. Clouddienste werden schnell weiterentwickelt, und neue Funktionen werden häufig angezeigt. Sicherheitsprozesse müssen sich kontinuierlich anpassen, um effektiv zu bleiben, was eine größere Flexibilität von Architektur, Technik und Betriebsrollen erfordert.

  • Erhöhte Abhängigkeit von Zero Trust-Prinzipien. Moderne Angreifer umgehen routinemäßig Netzwerkperimetersteuerelemente, machen Identität, Geräteintegrität, Anwendungskontext und Telemetrie für Sicherheitsentscheidungen zentral. Rollen in den Bereichen Engineering, Betrieb und Sicherheit müssen das Zero Trust-Denken in ihre Entwurfs-, Konfigurations- und Überwachungsaktivitäten integrieren.

  • Integration von Sicherheit in DevOps- und Plattform-Engineering-Praktiken. Beschleunigte Veröffentlichungszyklen erfordern, dass Sicherheitsaktivitäten früher im Lebenszyklus stattfinden und durch Automatisierung betrieben werden. Sicherheitsrollen arbeiten zunehmend mit Engineering- und Plattformteams zusammen, um Sicherheitsprüfungen, Richtlinienerzwingung und Validierung in CI/CD-Workflows und Betriebliche Prozesse einzubetten.

Diese Änderungen gestalten neu, wie vorhandene Rollen zusammenarbeiten, anstatt neue Rollen zu erstellen. Ziel ist es, sicherzustellen, dass die Sicherheit zu einem integrierten, kontinuierlichen Teil der Art und Weise wird, wie Clouddienste entworfen, erstellt, bereitgestellt und betrieben werden.

Übersicht über Rollen und Teams

In den folgenden Abschnitten werden die Teams und Rollen beschrieben, die in der Regel wichtige Cloudsicherheitsfunktionen ausführen. Verwenden Sie diese Beschreibungen, um Ihre aktuelle Organisationsstruktur den standardmäßigen Cloudsicherheitsfunktionen zuzuordnen. Identifizieren Sie Lücken bei der Abdeckung, und bestimmen Sie, wo Ressourcen investiert werden sollen. Stellen Sie sicher, dass alle Beteiligten ihre Sicherheitsaufgaben verstehen und wie Sie mit anderen Teams zusammenarbeiten. Dokumentieren Sie teamübergreifende Sicherheitsprozesse und ein Modell für gemeinsame Verantwortung für technische Teams. Ein Modell für geteilte Verantwortung funktioniert wie eine Matrix für "Verantwortlich, Rechenschaftspflichtig, Konsultiert, Informiert" (RACI). Sie definiert entscheidungsbezogene Autoritäts- und Zusammenarbeitsanforderungen für bestimmte Ergebnisse. Diese Dokumentation verhindert Abdeckungslücken und überlappende Anstrengungen. Es verhindert auch gängige Antipattern, z. B. die Auswahl schwacher Authentifizierungs- oder Kryptografielösungen. Wenn Sie eine kleinere Organisation sind und mit einem mindestfähigen Sicherheitsteam beginnen möchten, lesen Sie "Minimum viable security team" für kleine Organisationen. Zu den wichtigsten Sicherheitsrollen gehören:

Clouddienstanbieter

Clouddienstanbieter sind effektiv virtuelle Teammitglieder, die Sicherheitsfunktionen und -funktionen für die zugrunde liegende Cloudplattform bereitstellen. Einige Cloudanbieter bieten auch Sicherheitsfeatures und -funktionen, mit denen Ihre Teams Ihren Sicherheitsstatus und Vorfälle verwalten können. Weitere Informationen dazu, was Clouddiensteanbieter leisten, finden Sie im Modell der gemeinsamen Verantwortung in der Cloud.

Viele Clouddienstanbieter stellen auf Anfrage oder über ein Portal wie das Microsoft-Dienstvertrauensportal Informationen zu ihren Sicherheitspraktiken und Kontrollen bereit.

Infrastruktur-/Plattformteams (Architektur, Technik und Betrieb)

Infrastruktur-/Plattformarchitektur, Engineering- und Operationsteams implementieren und integrieren Cloudsicherheits-, Datenschutz- und Compliance-Kontrollen in den Cloudinfrastruktur- und Plattformumgebungen (über Server, Container, Netzwerk, Identität und andere technische Komponenten).

Die Entwicklungs- und Betriebsrollen können sich hauptsächlich auf Cloud- oder kontinuierliche Integrations- und Kontinuierliche Bereitstellungssysteme (CI/CD) konzentrieren, oder sie können über eine vielzahl von Cloud-, CI/CD-, lokalen und anderen Infrastrukturen und Plattformen hinweg arbeiten.

Diese Teams sind dafür verantwortlich, alle Verfügbarkeit, Skalierbarkeit, Sicherheit, Datenschutz und andere Anforderungen für die Clouddienste der Organisation zu erfüllen, die Geschäftsworkloads hosten. Sie arbeiten gemeinsam mit Sicherheits-, Risiko-, Compliance- und Datenschutzexperten zusammen, um Ergebnisse zu erzielen, die all diese Anforderungen kombinieren und ausgleichen.

Teams für Sicherheitsarchitektur, Engineering und Sicherheitsstatusverwaltung

Sicherheitsteams arbeiten mit Infrastruktur- und Plattformrollen (und anderen) zusammen, um Sicherheitsstrategie, Richtlinie und Standards in umsetzbare Architekturen, Lösungen und Entwurfsmuster zu übersetzen. Diese Teams konzentrieren sich auf die Aktivierung des Sicherheitserfolgs von Cloudteams. Sie bewerten und beeinflussen die Sicherheit der Infrastruktur und der Prozesse und Tools, die zur Verwaltung verwendet werden. Im Folgenden sind einige der allgemeinen Aufgaben aufgeführt, die von Sicherheitsteams für die Infrastruktur ausgeführt werden:

  • Sicherheitsarchitekten und Ingenieure passen Sicherheitsrichtlinien, Standards und Richtlinien für Cloudumgebungen an, um Steuerelemente in Partnerschaft mit ihren Infrastruktur-/Plattform-Gegenstücken zu entwerfen und zu implementieren. Sicherheitsarchitekten und Ingenieure unterstützen eine breite Palette von Elementen, darunter:

    • Mandanten/Abonnements.Sicherheitsarchitekten und -ingenieure arbeiten mit Infrastrukturarchitekten und Ingenieuren zusammen und greifen auf Architekten (Identität, Netzwerk, App und andere) zu, um Sicherheitskonfigurationen für Cloudmandanten, Abonnements und Konten über Cloudanbieter hinweg einzurichten (die von Sicherheitsstatusverwaltungsteams überwacht werden).

    • Identitäts- und Zugriffsverwaltung (IAM).Access-Architekten (Identität, Netzwerk, App und andere) arbeiten mit Identitätsingenieuren und Infrastruktur -/Plattformteams zusammen, um Zugriffsverwaltungslösungen zu entwerfen, zu implementieren und zu betreiben. Diese Lösungen schützen vor nicht autorisierter Verwendung der Unternehmensressourcen der Organisation und ermöglichen autorisierten Benutzern den einfachen und sicheren Zugriff auf Organisationsressourcen. Diese Teams arbeiten an Lösungen wie Identitätsverzeichnissen und SSO-Lösungen (Single Sign-On), kennwortlosen und mehrstufigen Authentifizierung (MFA), risikobasierten Lösungen für bedingten Zugriff, Workloadidentitäten, PIM/PAM(Privileged Identity/Access Management), Cloudinfrastruktur und Berechtigungsverwaltung (CIEM) und vieles mehr. Diese Teams arbeiten auch mit Netzwerkingenieuren und -vorgängen zusammen, um Lösungen für Sicherheitsdienste (Security Service Edge, SSE) zu entwerfen, zu implementieren und zu betreiben. Workloadteams können diese Funktionen nutzen, um einen nahtlosen und sichereren Zugriff auf einzelne Arbeitslasten und Anwendungskomponenten zu ermöglichen.

    • Datensicherheit.Sicherheitsarchitekten und -ingenieure arbeiten mit Daten- und KI-Architekten und Ingenieuren zusammen, um Infrastruktur-/Plattformteams dabei zu helfen, grundlegende Datensicherheitsfunktionen für alle Daten und erweiterten Funktionen einzurichten, die zum Klassifizieren und Schützen von Daten in einzelnen Arbeitslasten verwendet werden können. Weitere Informationen zur grundlegenden Datensicherheit finden Sie im Microsoft Security Data Protection-Benchmark. Weitere Informationen zum Schutz von Daten in einzelnen Arbeitslasten finden Sie in der Anleitung zu Well-Architected Framework.

    • Netzwerksicherheit.Sicherheitsarchitekten und -ingenieure arbeiten mit Netzwerkarchitekten und Ingenieuren zusammen, um Infrastruktur-/Plattformteams dabei zu helfen, grundlegende Netzwerksicherheitsfunktionen wie Konnektivität zur Cloud (private/leased Lines), Remotezugriffsstrategien und -lösungen, Eingangs- und Ausgangsfirewalls, Webanwendungsfirewalls (WAFs) und Netzwerksegmentierung einzurichten. Diese Teams arbeiten auch mit Identitätsarchitekten, Ingenieuren und Vorgängen zusammen, um SSE-Lösungen zu entwerfen, zu implementieren und zu betreiben. Workloadteams können diese Funktionen nutzen, um diskreten Schutz oder Isolation einzelner Workload- und Anwendungskomponenten bereitzustellen.

    • Server und Containersicherheit.Sicherheitsarchitekten und Ingenieure arbeiten mit Infrastrukturarchitekten und Ingenieuren zusammen, um Infrastruktur-/Plattformteams dabei zu unterstützen, grundlegende Sicherheitsfunktionen für Server, virtuelle Maschinen (VMs), Container, Orchestrierung/Management, CI/CD und zugehörige Systeme einzurichten. Diese Teams richten Ermittlungs- und Bestandsprozesse, Sicherheitsbasisplan-/Benchmarkkonfigurationen, Wartungs- und Patchingprozesse, Positivlisten für ausführbare Binärdateien, Vorlagenimages, Verwaltungsprozesse und vieles mehr ein. Workloadteams können diese grundlegenden Infrastrukturfunktionen auch nutzen, um Sicherheit für Server und Container für einzelne Workload- und Anwendungskomponenten bereitzustellen.

    • Grundlagen der Softwaresicherheit (für Anwendungssicherheit und DevSecOps).Sicherheitsarchitekten und Ingenieure arbeiten mit Softwaresicherheitstechnikern zusammen, um Infrastruktur-/Plattformteams bei der Einrichtung von Anwendungssicherheitsfunktionen zu unterstützen, die von einzelnen Arbeitslasten, Codescans, Softwareabrechnungstools (SBOM) Tools, WAFs und Anwendungsscans verwendet werden können. Weitere Informationen zum Einrichten eines Sicherheitsentwicklungslebenszyklus (SDL) finden Sie unter DevSecOps-Steuerelemente . Weitere Informationen dazu, wie Workloadteams diese Funktionen verwenden, finden Sie in der Anleitung zur Sicherheitsentwicklung im Well-Architected Framework.

  • Softwaresicherheitstechniker bewerten Code, Skripts und andere automatisierte Logik, die zum Verwalten der Infrastruktur verwendet wird, einschließlich Infrastruktur als Code (IaC), CI/CD-Workflows und anderen benutzerdefinierten Tools oder Anwendungen. Diese Ingenieure sollten beauftragt werden, formalen Code in kompilierten Anwendungen, Skripts, Konfigurationen von Automatisierungsplattformen zu schützen. Sie überprüfen jede andere Form von ausführbarem Code oder Skript, mit der Angreifer den Betrieb des Systems manipulieren können. Diese Auswertung kann dazu führen, dass einfach eine Bedrohungsmodellanalyse eines Systems durchgeführt wird, oder es kann sich um Codeüberprüfungs- und Sicherheitsüberprüfungstools handeln. Weitere Informationen zum Einrichten eines SDL finden Sie in den SDL-Vorgehensweisen .

  • Posture Management (Schwachstellenmanagement/Angriffsflächenmanagement) ist das operative Sicherheitsteam, das sich auf die Sicherheitsverbesserung für technische Betriebsteams konzentriert. Die Haltungsverwaltung hilft diesen Teams, Steuerelemente zu priorisieren und zu implementieren, um Angriffstechniken zu blockieren oder zu mindern. Sicherheitsstatusmanagementteams arbeiten mit allen technischen Betriebsteams (einschließlich Cloudteams) zusammen und dienen häufig als primäre Anlaufstelle zum Verständnis von Sicherheitsanforderungen, Complianceanforderungen und Governanceprozessen.

    Das Haltungsmanagement dient häufig als Zentrum von Exzellenz (CoE) für Sicherheitsinfrastrukturteams, ähnlich wie Softwareentwickler häufig als Sicherheits-CoE für Anwendungsentwicklungsteams dienen. Typische Aufgaben für diese Teams umfassen Folgendes.

    • Überwachen des Sicherheitsstatus: Überwachen Sie alle technischen Systeme mithilfe von Sicherheitsstatusverwaltungstools wie Microsoft Security Exposure Management, Microsoft Entra Permissions Management, Nicht-Microsoft-Sicherheitsrisiken und EASM-Tools (External Attack Surface Management) und CIEM-Tools sowie benutzerdefinierten Sicherheitsstatustools und Dashboards. Darüber hinaus führt die Haltungsverwaltung Analysen durch, um Einblicke zu liefern:

      • Antizipieren sehr wahrscheinlicher und schädlicher Angriffspfade. Angreifer "denken in Diagrammen" und suchen Pfade zu geschäftskritischen Systemen, indem sie mehrere Ressourcen und Sicherheitsrisiken über verschiedene Systeme hinweg verketten. Beispiel: Kompromittierung von Benutzerendpunkten, gefolgt von der Verwendung des Hashes/Tickets, um Administratoranmeldedaten zu erfassen und auf die geschäftskritischen Daten zuzugreifen. Haltungsverwaltungsteams arbeiten mit Sicherheitsarchitekten und Ingenieuren zusammen, um diese versteckten Risiken zu ermitteln und zu mindern, die nicht immer in technischen Listen und Berichten angezeigt werden.

      • Durchführung von Sicherheitsbewertungen zur Überprüfung von Systemkonfigurationen und betrieblichen Prozessen, um tiefere Kenntnisse und Erkenntnisse über die technischen Daten aus Sicherheitsstatustools hinaus zu gewinnen. Diese Bewertungen können in Form von informellen Ermittlungsunterhaltungen oder formalen Übungen zur Bedrohungsmodellierung verwendet werden.

    • Unterstützen Sie die Priorisierung. Helfen Sie technischen Teams dabei, ihre Ressourcen proaktiv zu überwachen und die Sicherheitsarbeit zu priorisieren. Das Haltungsmanagement trägt dazu bei, die Risikominderung in den Kontext zu bringen, indem neben den Sicherheitscomplianceanforderungen auch Sicherheitsrisikoauswirkungen (informiert durch Erfahrung, Sicherheitsvorfälleberichte und andere Bedrohungsinformationen, Business Intelligence und andere Quellen) berücksichtigt werden.

    • Schulung, Mentoring, Championing: Erhöhen Sie das Sicherheitswissen und die Fähigkeiten technischer Entwicklungsteams durch Schulungen, individuelle Betreuung und informellen Wissensaustausch. Rollen des Sicherheitsstatusmanagements können auch mit organisationsweiten Bereitschafts-/Schulungs- und Sicherheitsschulungs- und Engagementrollen für formale Sicherheitsschulungen und die Etablierung von Sicherheit in technischen Teams zusammenarbeiten, die ihre Kollegen in Bezug auf Sicherheit sensibilisieren und schulen.

    • Identifizieren Sie Lücken und setzen Sie sich für Korrekturen ein. Identifizieren Sie allgemeine Trends, Prozesslücken, Lücken mit Tools und andere Einblicke in Risiken und Abhilfemaßnahmen. Rollen des Sicherheitsstatusmanagements arbeiten zusammen und kommunizieren mit Sicherheitsarchitekten und -engineers, um Lösungen zu entwickeln, einen Fall für Finanzierungslösungen zu erstellen und bei der Einführung von Fixes zu unterstützen.

    • Koordinieren mit Sicherheitsvorgängen (SecOps): Unterstützen Sie technische Teams bei der Arbeit mit SecOps-Rollen wie Erkennungstechnik und Bedrohungssuche-Teams. Diese Kontinuität in allen operativen Rollen trägt dazu bei, sicherzustellen, dass Erkennungen ordnungsgemäß implementiert sind, Sicherheitsdaten für die Untersuchung von Vorfällen und bedrohungssuche verfügbar sind, Prozesse für die Zusammenarbeit und vieles mehr.

    • Stellen Sie Berichte bereit. Stellen Sie zeitnahe und genaue Berichte zu Sicherheitsvorfällen, Trends und Leistungsmetriken für die Geschäftsleitung und die Projektbeteiligten bereit, um Die Prozesse des Organisationsrisikos zu aktualisieren.

    Teams für Sicherheitsstatusmanagement entwickeln sich häufig von vorhandenen Rollen zur Verwaltung von Softwarerisiken aus, um den vollständigen Satz von Funktions-, Konfigurations- und Betriebsrisikotypen zu beheben, die im Open Group Zero Trust Reference Model beschrieben werden. Jede Art von Sicherheitsanfälligkeit kann es nicht autorisierten Benutzern (einschließlich Angreifern) ermöglichen, die Kontrolle über Software oder Systeme zu übernehmen, sodass sie Schäden an Geschäftsressourcen verursachen können.

    • Funktionale Sicherheitsrisiken treten im Softwaredesign oder in der Implementierung auf. Sie können die unbefugte Kontrolle der betroffenen Software zulassen. Diese Sicherheitsrisiken können Fehler in Software sein, die Ihre eigenen Teams entwickelt haben, oder in kommerzieller oder Open-Source-Software (in der Regel von einer Common Vulnerabilities and Exposures-ID nachverfolgt).

    • Konfigurationsrisiken sind Fehlkonfigurationen von Systemen, die nicht autorisierten Zugriff auf Systemfunktionen ermöglichen. Diese Sicherheitsrisiken können während laufender Vorgänge eingeführt werden, auch als Konfigurationsabweichung bezeichnet. Sie können auch während der Erstbereitstellung und der Konfiguration von Software und Systemen oder durch schwache Sicherheitsstandards eines Anbieters eingeführt werden. Einige häufige Beispiele sind folgende:

      • Verwaiste Objekte, die nicht autorisierten Zugriff auf Elemente wie DNS-Einträge und Gruppenmitgliedschaft ermöglichen.

      • Übermäßig viele administrative Rollen und Berechtigungen für Ressourcen.

      • Verwendung eines schwächeren Authentifizierungsprotokolls oder kryptografischer Algorithmus mit bekannten Sicherheitsproblemen.

      • Schwache Standardkonfigurationen oder Standard-Kennwörter.

    • Betriebsrisiken sind Schwachstellen bei Standardbetriebsprozessen und -praktiken, die unbefugten Zugriff oder die Kontrolle von Systemen ermöglichen. Beispiele:

      • Administratoren, die freigegebene Konten anstelle eigener einzelner Konten verwenden, um privilegierte Aufgaben auszuführen.

      • Verwendung von "Browse-up"-Konfigurationen , die Rechteerweiterungspfade erstellen, die von Angreifern missbraucht werden können. Diese Sicherheitsanfälligkeit tritt auf, wenn sich besonders privilegierte Administratorkonten bei Geräten und Arbeitsstationen mit niedrigerer Vertrauensebene (z. B. Standardbenutzerarbeitsstationen und benutzereigene Geräte) anmelden, manchmal über Sprungserver, die diese Risiken nicht effektiv mindern. Weitere Informationen finden Sie unter Sichern des privilegierten Zugriffs und Geräte mit privilegiertem Zugriff.

Security Operations (SecOps/SOC)

Das SecOps-Team wird manchmal als Security Operations Center (SOC) bezeichnet. Das SecOps-Team konzentriert sich auf das schnelle Auffinden und Entfernen des Angreiferzugriffs auf die Ressourcen der Organisation. Sie arbeiten in enger Partnerschaft mit Technologiebetriebs- und Ingenieurteams zusammen. SecOps-Rollen können in allen Technologien in der Organisation funktionieren, einschließlich herkömmlicher IT, Betriebstechnologie (OT) und Internet of Things (IoT). Im Folgenden sind die SecOps-Rollen aufgeführt, die am häufigsten mit Cloudteams interagieren:

  • Triage-Analysten (Stufe 1). Reagiert auf Vorfallerkennungen für bekannte Angriffstechniken und folgt dokumentierten Verfahren, um sie schnell aufzulösen (oder sie gegebenenfalls an Untersuchungsanalysten zu eskalieren). Je nach SecOps-Umfang und Reifegrad kann dies Erkennungen und Warnungen von E-Mails, Antischadsoftwarelösungen von Endpunkten, Clouddiensten, Netzwerkerkennungen oder anderen technischen Systemen umfassen.

  • Untersuchungsanalysten (Stufe 2). Reagiert auf Untersuchungen mit höheren Komplexitäts- und Vorfällen mit höherem Schweregrad, die mehr Erfahrung und Expertise erfordern (über gut dokumentierte Lösungsverfahren hinaus). Dieses Team untersucht in der Regel Angriffe, die von lebenden menschlichen Gegnern und Angriffen durchgeführt werden, die sich auf mehrere Systeme auswirken. Sie arbeitet in enger Partnerschaft mit Technologiebetriebs- und Ingenieurteams zusammen, um Vorfälle zu untersuchen und zu beheben.

  • Bedrohungssuche: Sucht proaktiv nach versteckten Bedrohungen innerhalb des technischen Bereichs, die Standarderkennungsmechanismen umgangen haben. Diese Rolle verwendet erweiterte Analysen und hypothesengesteuerte Untersuchungen.

  • Bedrohungsanalysen Sammelt und verbreitet Informationen zu Angreifern und Bedrohungen für alle Beteiligten, einschließlich Unternehmen, Technologie und Sicherheit. Threat Intelligence-Teams führen Untersuchungen durch, teilen ihre Ergebnisse (formell oder informell) und verbreiten sie an verschiedene Projektbeteiligte, einschließlich des Cloudsicherheitsteams. Dieser Sicherheitskontext hilft diesen Teams, Clouddienste stabiler für Angriffe zu machen, da sie informationen zu realen Angriffen beim Entwerfen, Implementieren, Testen und Betrieb verwenden und kontinuierlich verbessern.

  • Erkennungstechnik. Erstellt benutzerdefinierte Angriffserkennungen und passt Angriffserkennungen an, die von Anbietern und der breiteren Community bereitgestellt werden. Diese benutzerdefinierten Angriffserkennungen ergänzen vom Anbieter bereitgestellte Erkennungen für häufige Angriffe, die häufig in erweiterten Erkennungs- und Reaktionstools (XDR) und einigen SIEM-Tools (Security Information and Event Management) zu finden sind. Erkennungstechniker arbeiten mit Cloud-Sicherheitsteams zusammen, um Möglichkeiten für das Entwerfen und Implementieren von Erkennungen, die daten zu identifizieren, die erforderlich sind, um sie zu unterstützen, und die Reaktions-/Wiederherstellungsverfahren für die Erkennungen.

Sicherheitsrichtlinien, Risiko und Compliance

Die Sicherheitsführung, das Risikomanagement und die Compliance (GRC) sind eine Reihe verwandter Disziplinen, die die technische Arbeit der Sicherheitsteams mit den organisatorischen Zielen und Erwartungen integrieren. Diese Rollen und Teams können eine Hybridlösung von zwei oder mehr Disziplinen sein oder diskrete Rollen sein. Cloudteams interagieren im Laufe des Lebenszyklus der Cloudtechnologie mit jeder dieser Disziplinen:

  • Die Governance-Disziplin ist eine grundlegende Fähigkeit. Governanceteams konzentrieren sich darauf, sicherzustellen, dass die Organisation alle Aspekte der Sicherheit konsistent implementiert. Sie legen Entscheidungsrechte fest (wer entscheidet, welche Entscheidungen getroffen werden) und Prozessframeworks, die Teams verbinden und leiten. Ohne effektive Governance kann eine Organisation mit allen richtigen Kontrollen, Richtlinien und Technologien immer noch Opfer von Angreifern sein, die Bereiche ausnutzen, in denen beabsichtigte Verteidigungen überhaupt nicht gut, vollständig oder gar implementiert sind.

  • Die Disziplin des Risikomanagements konzentriert sich auf die Bewertung, Das Verständnis und die Milderung des Organisationsrisikos. Risikomanagementteams arbeiten in der gesamten Organisation, um eine klare Darstellung des aktuellen Risikos zu erstellen und auf dem laufenden zu halten. Cloud- und Risikoteams müssen zusammenarbeiten, um Risiken von kritischen Geschäftsdiensten zu bewerten und zu verwalten, die auf Cloudinfrastruktur und -plattformen gehostet werden. Die Lieferkettensicherheit behandelt Risiken von externen Anbietern, Open Source-Komponenten und Partnern.

  • Die Compliancedisziplin stellt sicher, dass Systeme und Prozesse den gesetzlichen Anforderungen und internen Richtlinien entsprechen. Ohne diese Disziplin kann die Organisation risiken im Zusammenhang mit Nichtkonformität mit externen Verpflichtungen ausgesetzt sein (Geldbußen, Haftungsverluste, Umsatzverlust durch Unfähigkeit, in einigen Märkten zu arbeiten usw.). Complianceanforderungen können in der Regel nicht mit der Geschwindigkeit der Entwicklung des Angreifers schritthalten, sind aber dennoch eine wichtige Anforderungsquelle.

Alle drei Dieser Disziplinen arbeiten in allen Technologien und Systemen, um organisationsweite Ergebnisse in allen Teams voranzutreiben. Alle drei verlassen sich auch auf den Kontext, den sie voneinander erhalten, und profitieren erheblich von aktuellen High-Fidelity-Daten zu Bedrohungen, Unternehmen und der Technologieumgebung. Diese Disziplinen verlassen sich auch auf Architektur, um eine umsetzbare Vision auszudrücken, die implementiert und Sicherheitsbildung und -politik implementiert werden kann, um Regeln zu schaffen und Teams durch die vielen täglichen Entscheidungen zu leiten.

Cloudengineering- und Betriebsteams können in Sicherheitsstatusmanagementrollen, Compliance- und Auditteams, Sicherheitsarchitektur- und -engineeringteams oder als Chief Information Security Officer (CISO) an GRC-Themen arbeiten.

Sicherheitsbildung, Bewusstsein und Politik

Organisationen müssen sicherstellen, dass alle Rollen über das Wissen, die Anleitungen und das Vertrauen verfügen, um die Sicherheit in ihrer täglichen Arbeit effektiv anzuwenden. Bildung und Bewusstsein sind häufig die schwächsten Verbindungen in der Sicherheitslage einer Organisation, daher müssen sie kontinuierlich, rollenbewusst und in normale Vorgänge eingebettet sein, anstatt als einmalige Schulungsereignisse behandelt zu werden.

Ein starkes Programm umfasst strukturierte Bildung, informelle Mentoring und designierte Sicherheitsexperten in technischen Teams. Schulung sollte Phishing-Bewusstsein, Identitätshygiene, sichere Konfigurationsmethoden und eine sichere Entwicklungs-Denkweise für technische Rollen umfassen. Diese Bemühungen verstärken eine Kultur der ersten Sicherheit, in der Einzelpersonen klar verstehen, warum Sicherheit wichtig ist, welche Aktionen von ihnen erwartet werden und wie diese Aktionen ordnungsgemäß ausgeführt werden.

Die Sicherheitsausbildung und -richtlinie müssen jeder Rolle helfen zu verstehen:

  • Warum. Warum Sicherheit im Kontext ihrer Verantwortlichkeiten und Ziele wichtig ist. Ohne dieses Verständnis entprioritieren Einzelpersonen die Sicherheit und konzentrieren sich auf andere Aufgaben.
  • Was: Welche spezifischen Sicherheitsaufgaben und Erwartungen gelten für sie, die in der Sprache beschrieben werden, die mit ihrer Rolle übereinstimmt. Ohne Klarheit gehen die Menschen davon aus, dass die Sicherheit für sie nicht relevant ist.
  • Wie. So führen Sie die erforderlichen Sicherheitsaufgaben wie Patchsysteme, sicheres Überprüfen von Code, Abschließen eines Bedrohungsmodells oder Identifizieren von Phishingversuchen ordnungsgemäß aus. Ohne praktische Anleitung scheitern die Menschen selbst dann, wenn sie bereit sind.

Mindestfähiges Sicherheitsteam für kleine Organisationen

Kleine Organisationen fehlen häufig an Ressourcen, um Einzelpersonen bestimmten Sicherheitsfunktionen zu widmen. In diesen Umgebungen decken Sie wesentliche Aufgaben mit minimalen Rollen ab. Kombinieren Sie Cloudplattform-Engineering- und Sicherheitsaufgaben in einer einzigen Funktion, die sichere Konfiguration, Identitätshygiene, Überwachung und grundlegende Reaktion auf Vorfälle verwaltet. Auslagern Sie Aufgaben, die spezielle Expertise oder eine kontinuierliche Abdeckung erfordern, z. B. Bedrohungserkennungsoptimierung, Penetrationstests oder Complianceüberprüfungen, an verwaltete Sicherheitsanbieter. Verwenden Sie cloudeigene Tools wie Haltungsverwaltung, Identitätsschutz, Konfigurationsbasispläne und automatisierte Richtlinienerzwingung, um eine konsistente Sicherheitsstufe ohne große Teams aufrechtzuerhalten und den Betriebsaufwand zu verringern.

Beispielszenario: Typische Interoperabilität zwischen Teams

Wenn eine Organisation eine Webanwendungsfirewall bereitstellt und operationalisiert, müssen mehrere Sicherheitsteams zusammenarbeiten, um ihre effektive Bereitstellung, Verwaltung und Integration in die vorhandene Sicherheitsinfrastruktur sicherzustellen. Hier erfahren Sie, wie die Interoperabilität zwischen Teams in einer Unternehmenssicherheitsorganisation aussehen kann:

  1. Planung und Entwurf
    1. Das Governanceteam identifiziert die Notwendigkeit einer verbesserten Webanwendungssicherheit und weist ein Budget für eine WAF zu.
    2. Der Netzwerksicherheitsarchitekt entwirft die WAF-Bereitstellungsstrategie, stellt sicher, dass sie nahtlos in vorhandene Sicherheitskontrollen integriert wird und sich an die Sicherheitsarchitektur der Organisation richtet.
  2. Implementierung
    1. Der Netzwerksicherheitstechniker stellt den WAF gemäß dem Entwurf des Architekten bereit, konfiguriert ihn zum Schutz der spezifischen Webanwendungen und ermöglicht die Überwachung.
    2. Der IAM-Techniker richtet Zugriffskontrollen ein und stellt sicher, dass nur autorisierte Mitarbeiter die WAF verwalten können.
  3. Überwachung und Verwaltung
    1. Das Sicherheitsstatusmanagementteam enthält Anweisungen für das SOC zum Konfigurieren der Überwachung und Warnung für die WAF und zum Einrichten von Dashboards zum Nachverfolgen von WAF-Aktivitäten.
    2. Die Teams für Bedrohungserkenntnis und Detektionsentwicklung helfen dabei, Reaktionspläne zu entwickeln für Vorfälle, die die WAF umfassen, wobei Simulationen durchgeführt werden, um diese Pläne zu testen.
  4. Compliance- und Risikomanagement
    1. Der Compliance- und Risikomanagementbeauftragte überprüft die WAF-Bereitstellung, um sicherzustellen, dass sie regulatorische Anforderungen erfüllt und regelmäßige Prüfungen durchführt.
    2. Der Datenschutztechniker stellt sicher, dass die Protokollierungs- und Datenschutzmaßnahmen des WAF den Datenschutzbestimmungen entsprechen.
  5. Kontinuierliche Verbesserung und Schulung
    1. Der DevSecOps-Techniker integriert DIE WAF-Verwaltung in die CI/CD-Pipeline, um sicherzustellen, dass Updates und Konfigurationen automatisiert und konsistent sind.
    2. Der Sicherheitsschulungs- und Engagement-Spezialist entwickelt und liefert Schulungsprogramme, um sicherzustellen, dass alle relevanten Mitarbeiter verstehen, wie die WAF effektiv genutzt und verwaltet werden kann.
    3. Das Cloud-Governance-Teammitglied überprüft die WAF-Bereitstellungs- und Verwaltungsprozesse, um sicherzustellen, dass sie den Organisationsrichtlinien und -standards entsprechen.

Diese Rollen stellen sicher, dass die Webanwendungsfirewall ordnungsgemäß bereitgestellt und auch kontinuierlich überwacht, verwaltet und verbessert wird, um die Webanwendungen der Organisation vor sich entwickelnden Bedrohungen zu schützen.

Nächster Schritt

Integrieren von Sicherheit in Ihre Strategie für die Cloudakzeptanz

  • Last updated on