Udostępnij przez

Zespoły ds. zabezpieczeń, role i funkcje

W tym artykule opisano role zabezpieczeń i funkcje wymagane dla infrastruktury i platform w chmurze. Użyj tych ról, aby zintegrować zabezpieczenia z każdym etapem cyklu życia chmury, od programowania do operacji i ciągłego ulepszania.

Diagram przedstawiający metodologie związane z wdrażaniem chmury. Diagram zawiera pola dla każdej fazy: zespoły i role, strategia, planowanie, gotowość, wdrażanie, zarządzanie i zarządzanie. Pole dla tego artykułu zostało wyróżnione.

Rozmiar organizacji określa sposób, w jaki pracownicy pełnią te role. Duże przedsiębiorstwa często mają wyspecjalizowane zespoły dla każdej roli. Mniejsze organizacje często konsoliduje wiele funkcji w mniejszej liczbie ról. Platformy techniczne i usługi mają również wpływ na określone obowiązki związane z zabezpieczeniami.

Zespoły ds. technologii i chmury wykonują niektóre zadania związane z zabezpieczeniami bezpośrednio. Wyspecjalizowane zespoły ds. zabezpieczeń wykonują inne zadania we współpracy z zespołami technologicznymi. Niezależnie od struktury organizacji uczestnicy projektu muszą zrozumieć niezbędną pracę zabezpieczeń. Wszystkie zespoły muszą zrozumieć wymagania biznesowe i tolerancję ryzyka, aby podejmować świadome decyzje dotyczące usług w chmurze. Skorzystaj z tych wskazówek, aby zrozumieć funkcje określonych zespołów i ról oraz sposób interakcji w celu zapewnienia kompleksowego pokrycia zabezpieczeń w chmurze.

Przekształcanie ról zabezpieczeń

Role architektury zabezpieczeń, inżynierii i operacji przechodzą znaczną zmianę, ponieważ organizacje wdrażają platformy w chmurze i nowoczesne rozwiązania programistyczne. Ta transformacja wpływa na sposób wykonywania pracy w zakresie zabezpieczeń, współpracy zespołów i sposobu dystrybucji obowiązków między funkcje techniczne. Kilka czynników napędza tę zmianę:

  • Przejdź do narzędzi zabezpieczeń opartych na modelu SaaS i natywnych dla chmury. Wdrożenie platform SaaS zmienia nacisk zespołów ds. zabezpieczeń z implementacji na zarządzanie. Zespoły ds. zabezpieczeń udostępniają zasady, standardy i konfiguracje odniesienia. Nie konfigurują bezpośrednio usług SaaS. Zespoły, które są właścicielami aplikacji SaaS, stosują te wskazówki do swoich konkretnych narzędzi. To rozdzielenie gwarantuje, że wymagania dotyczące zabezpieczeń są spełnione, umożliwiając zespołom aplikacji zarządzanie ustawieniami operacyjnymi swoich usług.

  • Zabezpieczenia jako wspólna odpowiedzialność między zespołami inżynieryjnymi. Wszystkie zespoły techniczne są teraz bezpośrednio odpowiedzialne za stosowanie mechanizmów kontroli zabezpieczeń do obciążeń obliczeniowych i usług, które tworzą lub obsługują. Zespoły ds. zabezpieczeń zapewniają wzorce, wskazówki, automatyzację i zabezpieczenia, które zapewniają bezpieczną implementację domyślną i zmniejszają problemy z procesami dostarczania.

  • Szersze wymagania dotyczące umiejętności między technologiami. Zespoły ds. zabezpieczeń coraz częściej muszą zrozumieć szeroką gamę technologii i sposób, w jaki osoby atakujące przechodzą między systemami. Ponieważ platformy w chmurze integrują warstwy tożsamości, sieci, obliczeń, aplikacji i operacji, specjaliści ds. zabezpieczeń muszą ocenić kompleksowe ścieżki ataków, a nie skupić się na wąskich domenach technicznych.

  • Ciągła zmiana platform w chmurze i możliwości zabezpieczeń. Usługi w chmurze szybko ewoluują i często pojawiają się nowe możliwości. Procesy zabezpieczeń muszą stale dostosowywać się, aby zachować efektywność, co wymaga większej elastyczności od ról architektury, inżynierii i operacji.

  • Zwiększone poleganie na zasadach zero trustu. Nowocześni atakujący rutynowo pomijają mechanizmy kontroli obwodowej sieci, co czyni tożsamość, kondycję urządzeń, kontekst aplikacji i telemetrię centralnymi w podejmowaniu decyzji dotyczących bezpieczeństwa. Role w zakresie inżynierii, operacji i zabezpieczeń muszą uwzględniać podejście Zero Trust do projektowania, konfiguracji i działań monitorowania.

  • Integracja zabezpieczeń z metodykami DevOps i praktykami inżynieryjnymi platformy. Przyspieszone cykle wydawania wymagają przesunięcia działań związanych z bezpieczeństwem na wcześniejsze etapy cyklu życia oraz ich realizacji poprzez automatyzację. Role związane z bezpieczeństwem coraz częściej współpracują z zespołami inżynieryjnymi i platformowymi w celu wdrażania kontroli zabezpieczeń, wymuszania zasad i walidacji w przepływach pracy ciągłej integracji/ciągłego wdrażania oraz w procesach operacyjnych.

Te zmiany zmieniają sposób współdziałania istniejących ról zamiast tworzenia nowych ról. Celem jest zapewnienie, że zabezpieczenia staną się zintegrowaną, ciągłą częścią projektowania, tworzenia, wdrażania i obsługi usług w chmurze.

Omówienie ról i zespołów

W poniższych sekcjach opisano zespoły i role, które zwykle wykonują kluczowe funkcje zabezpieczeń w chmurze. Użyj tych opisów, aby zamapować bieżącą strukturę organizacyjną na standardowe funkcje zabezpieczeń w chmurze. Zidentyfikuj luki w zakresie i określ, gdzie inwestować zasoby. Upewnij się, że wszyscy uczestnicy projektu rozumieją swoje obowiązki w zakresie zabezpieczeń i sposób współpracy z innymi zespołami. Dokumentowanie procesów zabezpieczeń między zespołami i wspólnego modelu odpowiedzialności dla zespołów technicznych. Model wspólnej odpowiedzialności działa jak macierz Odpowiedzialny, Rozliczany, Konsultowany, Poinformowany (RACI). Definiuje on uprawnienia do podejmowania decyzji i wymagania dotyczące współpracy dla konkretnych wyników. Ta dokumentacja zapobiega lukom pokrycia i nakładaniu się wysiłków. Zapobiega to również typowym antywzorcom, takim jak wybór słabych rozwiązań uwierzytelniania lub kryptografii. Jeśli jesteś mniejszą organizacją i chcesz rozpocząć pracę z minimalnym realnym zespołem ds. zabezpieczeń, zobacz Minimalny realny zespół ds. zabezpieczeń dla małych organizacji. Kluczowe role zabezpieczeń obejmują:

Dostawca usług w chmurze

Dostawcy usług w chmurze są skutecznie wirtualnymi członkami zespołu, którzy zapewniają funkcje zabezpieczeń i możliwości podstawowej platformy w chmurze. Niektórzy dostawcy usług w chmurze udostępniają również funkcje zabezpieczeń i możliwości, których zespoły mogą używać do zarządzania stanem zabezpieczeń i zdarzeniami. Aby uzyskać więcej informacji na temat działania dostawców usług w chmurze, zobacz Model wspólnej odpowiedzialności w chmurze.

Wielu dostawców usług w chmurze udostępnia informacje na temat praktyk zabezpieczeń i mechanizmów kontroli po żądaniu lub za pośrednictwem portalu, takiego jak portal zaufania usług firmy Microsoft.

Zespoły infrastruktury/platformy (architektura, inżynieria i operacje)

Zespoły ds. architektury infrastruktury/platformy, inżynierii i operacji implementują i integrują mechanizmy kontroli zabezpieczeń, prywatności i zgodności w chmurze w środowiskach infrastruktury chmury i platformy (między serwerami, kontenerami, siecią, tożsamością i innymi składnikami technicznymi).

Role inżynieryjne i operacyjne mogą skupiać się głównie na systemach w chmurze lub ciągłej integracji i ciągłego wdrażania (CI/CD) lub mogą działać w pełnym zakresie chmury, ciągłej integracji/ciągłego wdrażania, lokalnych i innych infrastruktur i platform.

Te zespoły są odpowiedzialne za spełnienie wszystkich wymagań dotyczących dostępności, skalowalności, zabezpieczeń, prywatności i innych wymagań dotyczących usług w chmurze organizacji hostujących obciążenia biznesowe. Współpracują one ze swoimi ekspertami w zakresie bezpieczeństwa, ryzyka, zgodności i prywatności, aby zwiększyć wyniki, które łączą i równoważą wszystkie te wymagania.

Zespoły ds. architektury zabezpieczeń, inżynierii i zarządzania posturą bezpieczeństwa

Zespoły ds. zabezpieczeń współpracują z rolami infrastruktury i platformy (i innymi), aby ułatwić tłumaczenie strategii zabezpieczeń, zasad i standardów na architektury, rozwiązania i wzorce projektowe. Zespoły te koncentrują się na umożliwieniu sukcesu zespołów ds. zabezpieczeń w chmurze. Oceniają i wpływają na bezpieczeństwo infrastruktury oraz procesy i narzędzia używane do zarządzania nią. Poniżej przedstawiono niektóre typowe zadania wykonywane przez zespoły ds. zabezpieczeń dla infrastruktury:

  • Architekci zabezpieczeń i inżynierowie dostosowują zasady zabezpieczeń, standardy i wytyczne dotyczące środowisk chmury do projektowania i implementowania mechanizmów kontroli we współpracy z ich odpowiednikami infrastruktury/platformy. Architekci zabezpieczeń i inżynierowie pomagają w wielu różnych elementach, w tym:

    • Dzierżawy/subskrypcje.Architekci zabezpieczeń i inżynierowie współpracują z architektami infrastruktury i inżynierami i architektami dostępu (tożsamości, sieci, aplikacji i innych), aby pomóc w ustanowieniu konfiguracji zabezpieczeń dla dzierżaw, subskrypcji i kont w różnych dostawcach chmury (które są monitorowane przez zespoły zarządzania stanem zabezpieczeń).

    • Zarządzanie tożsamościami i dostępem (IAM).Architekci dostępu (tożsamość, sieć, aplikacja i inne osoby) współpracują z inżynierami tożsamości i zespołami ds. operacji i infrastruktury/platform w celu projektowania, implementowania i obsługi rozwiązań do zarządzania dostępem. Te rozwiązania chronią przed nieautoryzowanym użyciem zasobów biznesowych organizacji, umożliwiając autoryzowanym użytkownikom śledzenie procesów biznesowych w celu łatwego i bezpiecznego uzyskiwania dostępu do zasobów organizacji. Zespoły te pracują nad rozwiązaniami, takimi jak katalogi tożsamości i rozwiązania jednokrotnego logowania (SSO), rozwiązania bezhasłowe i uwierzytelnianie wieloskładnikowe (MFA), rozwiązania dostępu warunkowego oparte na analizie ryzyka, tożsamości obciążeń, zarządzanie tożsamościami i dostępem uprzywilejowanym (PIM/PAM), zarządzanie infrastrukturą chmury i upoważnieniami (CIEM), i nie tylko. Te zespoły współpracują również z inżynierami sieci i operacjami w celu projektowania, implementowania i obsługi rozwiązań brzegowych (SSE) usług zabezpieczeń. Zespoły ds. obciążeń mogą korzystać z tych funkcji, aby zapewnić bezproblemowy i bardziej bezpieczny dostęp do poszczególnych składników obciążeń i aplikacji.

    • Bezpieczeństwo danych.Architekci zabezpieczeń i inżynierowie współpracują z architektami danych i inżynierami sztucznej inteligencji, aby pomóc zespołom infrastruktury/platformy w ustanowieniu podstawowych funkcji zabezpieczeń danych dla wszystkich danych i zaawansowanych funkcji, które mogą służyć do klasyfikowania i ochrony danych w poszczególnych obciążeniach. Aby uzyskać więcej informacji na temat podstawowych zabezpieczeń danych, zobacz Microsoftowy Benchmark ochrony danych. Aby uzyskać więcej informacji na temat ochrony danych w poszczególnych obciążeniach, zobacz Wskazówki dotyczące dobrze zaprojektowanej struktury.

    • Zabezpieczenia sieci.Architekci zabezpieczeń i inżynierowie współpracują z architektami sieci i inżynierami , aby pomóc zespołom infrastruktury/platformy w ustanawianiu podstawowych funkcji zabezpieczeń sieci, takich jak łączność z chmurą (linie prywatne/dzierżawione), strategie dostępu zdalnego i rozwiązania, zapory ruchu przychodzącego i wychodzącego, zapory aplikacji internetowych (WAFs) i segmentacja sieci. Te zespoły współpracują również z architektami tożsamości, inżynierami i operacjami w celu projektowania, implementowania i obsługi rozwiązań SSE. Zespoły ds. obciążeń mogą korzystać z tych możliwości, aby zapewnić dyskretną ochronę lub izolację poszczególnych składników obciążenia i aplikacji.

    • Serwery i zabezpieczenia kontenerów.Architekci zabezpieczeń i inżynierowie współpracują z architektami infrastruktury i inżynierami , aby pomóc zespołom infrastruktury/platformy w ustanowieniu podstawowych funkcji zabezpieczeń dla serwerów, maszyn wirtualnych, kontenerów, orkiestracji/zarządzania, ciągłej integracji/ciągłego wdrażania i powiązanych systemów. Zespoły te ustanawiają procesy identyfikacji i inwentaryzacji, konfiguracje bazowe lub testy porównawcze zabezpieczeń, procesy konserwacji i stosowania poprawek, listy dozwolonych wykonywalnych plików binarnych, obrazy szablonów, procesy zarządzania oraz inne. Zespoły ds. obciążeń mogą również korzystać z tych podstawowych funkcji infrastruktury w celu zapewnienia zabezpieczeń serwerów i kontenerów dla poszczególnych składników obciążeń i aplikacji.

    • Podstawy zabezpieczeń oprogramowania (na potrzeby zabezpieczeń aplikacji i metodyki DevSecOps).Architekci zabezpieczeń i inżynierowie współpracują z inżynierami ds. zabezpieczeń oprogramowania, aby pomóc zespołom ds. infrastruktury/platformy w tworzeniu możliwości zabezpieczeń aplikacji, które mogą być używane przez poszczególne obciążenia, skanowanie kodu, narzędzia do rozliczania materiałów (SBOM, software bill of materials), narzędzia WAFs i skanowanie aplikacji. Zobacz kontrole DevSecOps, aby uzyskać więcej informacji na temat sposobu ustanawiania cyklu życia projektowania zabezpieczeń (SDL). Aby uzyskać więcej informacji na temat korzystania z tych funkcji przez zespoły zajmujące się obciążeniami, zobacz wytyczne dotyczące Cyklu Życia Tworzenia Zabezpieczeń w Well-Architected Framework.

  • Inżynierowie ds. bezpieczeństwa oprogramowania oceniają kod, skrypty oraz inną zautomatyzowaną logikę używaną do zarządzania infrastrukturą, w tym infrastrukturą jako kod (IaC), przepływy pracy CI/CD oraz wszelkie inne niestandardowe narzędzia lub aplikacje. Inżynierowie ci powinni być zaangażowani w ochronę formalnego kodu w skompilowanych aplikacjach, skryptach, konfiguracjach platform automatyzacji. Przeglądają dowolną inną formę kodu wykonywalnego lub skryptu, który może umożliwić osobom atakującym manipulowanie operacją systemu. Ta ocena może wiązać się z po prostu przeprowadzeniem analizy modelu zagrożeń systemu lub może obejmować przegląd kodu i narzędzia do skanowania zabezpieczeń. Aby uzyskać więcej informacji na temat ustanawiania SDL, zapoznaj się z wytycznymi dotyczącymi praktyk SDL.

  • Zarządzanie stanem (zarządzanie lukami w zabezpieczeniach/ zarządzanie obszarem ataków) to zespół ds. zabezpieczeń operacyjnych, który koncentruje się na włączaniu zabezpieczeń dla zespołów ds. operacji technicznych. Zarządzanie postawą pomaga tym zespołom priorytetyzować i wdrażać mechanizmy kontroli w celu blokowania lub łagodzenia technik ataku. Zespoły zarządzania stanem współpracują ze wszystkimi zespołami ds. operacji technicznych (w tym zespołami w chmurze) i często pełnią rolę podstawowych środków zrozumienia wymagań dotyczących zabezpieczeń, wymagań dotyczących zgodności i procesów ładu.

    Zarządzanie postawą często służy jako centrum doskonałości (CoE) dla zespołów ds. infrastruktury zabezpieczeń, podobnie jak inżynierowie oprogramowania często służą jako centrum doskonałości ds. zabezpieczeń dla zespołów programistycznych. Typowe zadania dla tych zespołów obejmują następujące zadania.

    • Monitorowanie stanu zabezpieczeń. Monitoruj wszystkie systemy techniczne przy użyciu narzędzi do zarządzania stanem zabezpieczeń, takich jak Microsoft Security Exposure Management, Microsoft Entra Permissions Management, narzędzia do zarządzania lukami bezpieczeństwa firm nie-Microsoft, zarządzanie zewnętrzną powierzchnią ataku (EASM), narzędzia CIEM oraz niestandardowe narzędzia i pulpity nawigacyjne dotyczące stanu zabezpieczeń. Ponadto zarządzanie postawą wykonuje analizę w celu dostarczania wglądu poprzez:

      • Przewidywanie wysoce prawdopodobnych i szkodliwych ścieżek ataków. Osoby atakujące "myślą o grafach" i szukają ścieżek do systemów krytycznych dla działania firmy, łącząc wiele zasobów i luk w zabezpieczeniach w różnych systemach. Na przykład naruszenie urządzeń końcowych użytkownika, a następnie użycie skrótu/biletu w celu przechwycenia poświadczeń administratora i uzyskania dostępu do danych kluczowych dla działania firmy. Zespoły zarządzania stanem współpracują z architektami i inżynierami ds. zabezpieczeń, aby odkryć i ograniczyć te ukryte zagrożenia, które nie zawsze pojawiają się na listach technicznych i raportach.

      • Przeprowadzanie ocen zabezpieczeń w celu przeglądu konfiguracji systemu i procesów operacyjnych w celu uzyskania dokładniejszego zrozumienia i szczegółowych informacji poza danymi technicznymi z narzędzi do stanu zabezpieczeń. Oceny te mogą przybrać formę nieformalnych rozmów odkrywczych lub formalnych ćwiczeń związanych z modelowaniem zagrożeń.

    • Pomoc w określaniu priorytetów. Pomóż zespołom technicznym aktywnie monitorować swoje zasoby i ustalać priorytety pracy nad zabezpieczeniami. Zarządzanie postawą bezpieczeństwa pomaga umieścić pracę nad ograniczaniem ryzyka w kontekście, uwzględniając wpływ ryzyka na bezpieczeństwo (bazując na doświadczeniu, raportach z incydentów dotyczących operacji bezpieczeństwa, analizach zagrożeń, informacji biznesowej i innych źródłach) oprócz wymagań dotyczących zgodności z bezpieczeństwem.

    • Trenowanie, mentor i mistrz. Zwiększ wiedzę na temat zabezpieczeń i umiejętności zespołów inżynierów technicznych dzięki szkoleniu, mentoringowi i nieformalnym transferowi wiedzy. Role zarządzania postawą mogą również współpracować z rolami odpowiedzialnymi za gotowość organizacyjną/szkolenia oraz edukację i zaangażowanie w zakresie zabezpieczeń, nad formalnymi szkoleniami dotyczącymi zabezpieczeń i wdrażaniem zabezpieczeń w zespołach technicznych, które promują i edukują swoich kolegów w zakresie bezpieczeństwa.

    • Identyfikowanie luk i wstawianie się za poprawkami. Zidentyfikuj ogólne trendy, luki procesów, luki narzędzi i inne szczegółowe informacje na temat ryzyka i środków zaradczych. Role zarządzania postawą współpracują i komunikują się z architektami zabezpieczeń oraz inżynierami, aby opracowywać rozwiązania, tworzyć argumentację dla finansowania rozwiązań i pomagać w wdrażaniu poprawek.

    • Koordynowanie operacji zabezpieczeń (SecOps). Pomoc zespołom technicznym w pracy z rolami SecOps, takimi jak zespoły ds. inżynierii wykrywania i wyszukiwania zagrożeń. Ta ciągłość we wszystkich rolach operacyjnych pomaga zapewnić, że wykrycia są wdrożone i prawidłowo zaimplementowane, dane zabezpieczeń są dostępne do badania zdarzeń i wyszukiwania zagrożeń, procesy współpracy są na swoim miejscu i inne korzyści.

    • Podaj raporty. Udostępnianie terminowych i dokładnych raportów dotyczących zdarzeń zabezpieczeń, trendów i metryk wydajności starszym kierownictwu i uczestnikom projektu w celu zaktualizowania procesów ryzyka organizacyjnego.

    Zespoły zarządzania posturą często ewoluują z istniejących ról zarządzania lukami w zabezpieczeniach oprogramowania w celu rozwiązania pełnego zestawu funkcjonalnych, konfiguracji i operacyjnych typów luk w zabezpieczeniach opisanych w Modelu Referencyjnym Open Group Zero Trust. Każdy typ luki w zabezpieczeniach może zezwalać nieautoryzowanym użytkownikom (w tym osobom atakującym) na przejęcie kontroli nad oprogramowaniem lub systemami, umożliwiając im spowodowanie szkód w zasobach biznesowych.

    • Luki w zabezpieczeniach funkcjonalnych występują w projekcie lub implementacji oprogramowania. Mogą one zezwalać na nieautoryzowaną kontrolę nad oprogramowaniem, którego dotyczy problem. Te podatności mogą być wadami w oprogramowaniu opracowanym przez twoje zespoły lub wadami w oprogramowaniu komercyjnym lub open source (zwykle śledzone za pomocą identyfikatora CVE - Common Vulnerabilities and Exposures).

    • Luki w zabezpieczeniach konfiguracji to błędne konfiguracje systemów, które umożliwiają nieautoryzowany dostęp do funkcji systemu. Luki w zabezpieczeniach mogą występować podczas bieżących operacji, znanych również jako dryf konfiguracji. Można je również wprowadzić podczas początkowego wdrażania i konfiguracji oprogramowania i systemów lub przez słabe wartości domyślne zabezpieczeń od dostawcy. Do powszechnych przykładów należą:

      • Oddzielone obiekty, które umożliwiają nieautoryzowany dostęp do elementów, takich jak rekordy DNS i członkostwo w grupach.

      • Nadmierne role administracyjne lub uprawnienia do zasobów.

      • Używanie słabszego protokołu uwierzytelniania lub algorytmu kryptograficznego, który ma znane problemy z zabezpieczeniami.

      • Słabe konfiguracje domyślne lub domyślne hasła.

    • Luki w zabezpieczeniach operacyjnych są słabe w standardowych procesach operacyjnych i praktykach, które umożliwiają nieautoryzowany dostęp lub kontrolę systemów. Oto kilka przykładów:

      • Administratorzy korzystający z kont udostępnionych zamiast własnych kont indywidualnych do wykonywania zadań uprzywilejowanych.

      • Korzystanie z konfiguracji «browse-up», które tworzą ścieżki prowadzące do eskalacji uprawnień i mogą być nadużywane przez atakujących. Ta luka w zabezpieczeniach występuje, gdy konta administracyjne z wysokimi uprawnieniami logują się do urządzeń i stacji roboczych użytkowników o niższym zaufaniu (takich jak standardowe stacje robocze i urządzenia należące do użytkownika), czasami za pośrednictwem serwerów przesiadkowych, które nie skutecznie ograniczają tych zagrożeń. Aby uzyskać więcej informacji, zobacz Zabezpieczanie uprzywilejowanego dostępu i urządzeń z dostępem uprzywilejowanym.

Operacje zabezpieczeń (SecOps/SOC)

Zespół SecOps jest czasami nazywany Centrum Operacji Bezpieczeństwa (SOC). Zespół SecOps koncentruje się na szybkim znalezieniu i usunięciu niepożądanego dostępu do zasobów organizacji. Współpracują one w ścisłej współpracy z zespołami ds. operacji technologicznych i inżynierów. Role SecOps mogą współdziałać ze wszystkimi technologiami w organizacji, w tym tradycyjnymi technologiami IT, technologią operacyjną (OT) i Internetem rzeczy (IoT). Poniżej przedstawiono role SecOps, które najczęściej wchodzą w interakcje z zespołami w chmurze:

  • Analitycy klasyfikacji (warstwa 1). Reaguje na wykrywanie zdarzeń pod kątem dobrze znanych technik ataków i postępuje zgodnie z udokumentowanymi procedurami, aby szybko je rozwiązać (lub w razie potrzeby eskalować je do analityków badania). W zależności od zakresu i poziomu dojrzałości secOps może to obejmować wykrywanie i alerty z poczty e-mail, rozwiązań ochrony przed złośliwym kodem punktu końcowego, usług w chmurze, wykrywania sieci lub innych systemów technicznych.

  • Analitycy badania (warstwa 2). Odpowiada na badania incydentów o większej złożoności i większej ważności, które wymagają większej doświadczenia i wiedzy (poza dobrze udokumentowanymi procedurami rozwiązywania problemów). Ten zespół zwykle bada ataki przeprowadzane przez aktywnych przeciwników i ataki, które mają wpływ na wiele systemów. Współpracuje ona z zespołami ds. operacji technologicznych i inżynierów w celu zbadania zdarzeń i ich rozwiązania.

  • Wyszukiwanie zagrożeń. Aktywnie wyszukuje ukryte zagrożenia w obrębie majątku technicznego, które unikały standardowych mechanizmów wykrywania. Ta rola korzysta z zaawansowanych analiz i badań opartych na hipotezach.

  • Analiza zagrożeń. Zbiera i rozpowszechnia informacje o osobach atakujących i zagrożeniach dla wszystkich uczestników projektu, w tym firmy, technologii i bezpieczeństwa. Zespoły analizy zagrożeń przeprowadzają badania, dzielą się swoimi wynikami (formalnie lub nieformalnie) i rozpowszechniają je wśród różnych uczestników projektu, w tym do zespołu ds. zabezpieczeń w chmurze. Ten kontekst zabezpieczeń pomaga tym zespołom zwiększyć odporność usług w chmurze na ataki, ponieważ korzystają z rzeczywistych informacji o ataku w projekcie, implementacji, testowaniu i operacji oraz ciągłym ulepszaniu.

  • Inżynieria wykrywania. Tworzy niestandardowe wykrywanie ataków i dostosowuje wykrywanie ataków udostępniane przez dostawców i szerszą społeczność. Te niestandardowe wykrywania ataków uzupełniają detekcje oferowane przez dostawców w zakresie typowych ataków, które często występują w narzędziach rozszerzonego wykrywania i reagowania (XDR) oraz niektórych narzędziach do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM). Inżynierowie wykrywania współpracują z zespołami ds. zabezpieczeń w chmurze, aby zidentyfikować możliwości projektowania i implementowania wykrywania, danych wymaganych do ich obsługi oraz procedur reagowania/odzyskiwania na potrzeby wykrywania.

Nadzór nad zabezpieczeniami, ryzyko i zgodność

Zarządzanie zabezpieczeniami, ryzyko i zgodność (GRC) to zestaw wzajemnie powiązanych dyscyplin, które integrują pracę techniczną zespołów ds. zabezpieczeń z celami i oczekiwaniami organizacji. Te role i zespoły mogą być hybrydą dwóch lub większej liczby dyscyplin lub mogą być rolami dyskretnymi. Zespoły w chmurze wchodzą w interakcje z każdą z tych dziedzin w trakcie cyklu życia technologii w chmurze:

  • Dyscyplina zapewniania ładu jest podstawową możliwością. Zespoły ds. ładu koncentrują się na zapewnieniu, że organizacja konsekwentnie implementuje wszystkie aspekty zabezpieczeń. Ustanawiają prawa decyzyjne (kto podejmuje jakie decyzje) i struktury procesów, które łączą zespoły i je prowadzą. Bez skutecznego ładu organizacja ze wszystkimi odpowiednimi mechanizmami kontroli, zasadami i technologią może nadal padć ofiarą atakujących, którzy wykorzystują obszary, w których zamierzone zabezpieczenia nie są dobrze, w pełni ani w ogóle wdrażane.

  • Dyscyplina zarządzania ryzykiem koncentruje się na ocenie, zrozumieniu i łagodzeniu ryzyka organizacyjnego. Zespoły zarządzania ryzykiem pracują w całej organizacji, aby utworzyć wyraźną reprezentację bieżącego ryzyka i zachować je na bieżąco. Zespoły ds. chmury i ryzyka muszą współpracować w celu oceny ryzyka związanego z krytycznymi usługami biznesowymi hostowanymi na infrastrukturze i platformach w chmurze oraz zarządzać nimi. Zabezpieczenia łańcucha dostaw dotyczą zagrożeń ze strony zewnętrznych dostawców, składników open source i partnerów.

  • Dyscyplina zgodności zapewnia zgodność systemów i procesów z wymaganiami prawnymi i zasadami wewnętrznymi. Bez tej dyscypliny organizacja może być narażona na ryzyko związane z niezgodnością z zobowiązaniami zewnętrznymi (grzywny, odpowiedzialność, utrata przychodów z niezdolności do działania na niektórych rynkach i nie tylko). Wymagania dotyczące zgodności zwykle nie mogą nadążyć za szybkością ewolucji osoby atakującej, ale są one jednak ważnym źródłem wymagań.

Wszystkie trzy z tych dyscyplin działają we wszystkich technologiach i systemach w celu kierowania wynikami organizacyjnymi we wszystkich zespołach. Wszystkie trzy polegają również na kontekście uzyskanym od siebie nawzajem i znacznie korzystają z bieżących, dokładnych danych dotyczących zagrożeń, biznesu i środowiska technologicznego. Te dyscypliny opierają się również na architekturze, aby wyrazić możliwą do działania wizję, którą można zaimplementować, a także edukacji w zakresie zabezpieczeń i zasad w celu ustanowienia reguł i kierowania zespołami za pośrednictwem wielu codziennych decyzji.

Zespoły inżynieryjne i operacyjne w chmurze mogą współpracować z rolami zarządzania stanem , zespołami ds. zgodności i inspekcji , architekturą zabezpieczeń i inżynierią lub głównymi rolami dyrektora ds. zabezpieczeń informacji (CISO) w tematach GRC.

Edukacja w zakresie bezpieczeństwa, świadomość i polityka

Organizacje muszą mieć pewność, że wszystkie role mają wiedzę, wskazówki i pewność, aby skutecznie stosować zabezpieczenia w swojej codziennej pracy. Edukacja i świadomość są często najsłabszymi ogniwami w stanie bezpieczeństwa organizacji, dlatego muszą być ciągłe, świadome ról i wplecione w normalne operacje, a nie traktowane jako jednorazowe programy szkoleniowe.

Silny program obejmuje strukturę edukacji, nieformalnego mentoringu i wyznaczonych mistrzów bezpieczeństwa w zespołach technicznych. Szkolenia powinny obejmować świadomość wyłudzania informacji, higienę tożsamości, bezpieczne praktyki konfiguracji oraz bezpieczny sposób programowania dla ról inżynieryjnych. Wysiłki te wzmacniają kulturę typu "pierwszy na pierwszym miejscu", w której osoby wyraźnie rozumieją, dlaczego bezpieczeństwo ma znaczenie, jakie działania są im oczekiwane i jak prawidłowo wykonywać te działania.

Edukacja i polityka dotycząca zabezpieczeń muszą pomóc każdej roli zrozumieć:

  • Dlaczego. Dlaczego bezpieczeństwo jest ważne w kontekście ich obowiązków i celów. Bez tego zrozumienia osoby deriorytują zabezpieczenia i koncentrują się na innych zadaniach.
  • Co. Jakie konkretne zadania i oczekiwania dotyczące zabezpieczeń mają zastosowanie do nich, opisane w języku zgodnym z ich rolą. Bez jasności ludzie zakładają, że bezpieczeństwo nie jest dla nich istotne.
  • Jak. Jak prawidłowo wykonywać wymagane zadania zabezpieczeń, takie jak systemy stosowania poprawek, bezpieczne przeglądanie kodu, kończenie modelu zagrożeń lub identyfikowanie prób wyłudzania informacji. Bez praktycznych wskazówek ludzie ponoszą porażkę, nawet jeśli są gotowi.

Minimalny realny zespół ds. zabezpieczeń dla małych organizacji

Małe organizacje często nie mają zasobów, aby dedykować osoby do określonych funkcji zabezpieczeń. W tych środowiskach należy realizować podstawowe obowiązki przy minimalnej liczbie ról. Połącz zadania inżynieryjne i związane z zabezpieczeniami platformy w chmurze w jedną funkcję, która zarządza bezpieczną konfiguracją, higieną tożsamości, monitorowaniem i podstawową reakcją na zdarzenia. Zadania, które wymagają specjalistycznej wiedzy lub ciągłego wsparcia, takie jak optymalizacja wykrywania zagrożeń, testowanie penetracyjne czy przeglądy zgodności, outsourcuj do zarządzanych usługodawców zabezpieczeń. Użyj natywnych dla chmury narzędzi, takich jak zarządzanie stanem, ochrona tożsamości, punkty odniesienia konfiguracji i automatyczne wymuszanie zasad, aby zachować spójny poziom zabezpieczeń bez dużych zespołów i zmniejszyć nakład pracy operacyjnej.

Przykładowy scenariusz: typowe współdziałanie między zespołami

Gdy organizacja wdraża i operacjonalizuje zaporę aplikacji internetowej, kilka zespołów ds. zabezpieczeń musi współpracować, aby zapewnić skuteczne wdrażanie, zarządzanie i integrację z istniejącą infrastrukturą zabezpieczeń. Oto jak współdziałanie między zespołami może wyglądać w organizacji zabezpieczeń przedsiębiorstwa:

  1. Planowanie i projektowanie
    1. Zespół do spraw ładu identyfikuje potrzebę zwiększenia zabezpieczeń aplikacji internetowych i przydziela budżet na zaporę sieciową dla aplikacji internetowych.
    2. Architekt bezpieczeństwa sieciowego projektuje strategię wdrażania WAF, zapewniając, że bezproblemowo integruje się z istniejącymi mechanizmami kontroli bezpieczeństwa i odpowiada architekturze bezpieczeństwa organizacji.
  2. Implementacja
    1. Inżynier zabezpieczeń sieci wdraża zaporę aplikacji internetowych zgodnie z projektem architekta, konfigurując ją w celu ochrony określonych aplikacji internetowych i umożliwia monitorowanie.
    2. Inżynier IAM konfiguruje mechanizmy kontroli dostępu, zapewniając, że tylko autoryzowany personel może zarządzać zaporą aplikacji internetowej.
  3. Monitorowanie i zarządzanie
    1. Zespół do zarządzania postawą dostarcza instrukcje dla SOC dotyczące konfigurowania monitorowania i alertów dla WAF oraz ustawiania pulpitów nawigacyjnych do śledzenia aktywności WAF.
    2. Zespoły inżynierów analizy zagrożeń i wykrywania zagrożeń pomagają opracowywać plany reagowania na zdarzenia obejmujące zaporę aplikacji internetowej i przeprowadzać symulacje w celu przetestowania tych planów.
  4. Zgodność i zarządzanie ryzykiem
    1. Oficer ds. zarządzania zgodnością i ryzykiem przegląda wdrożenie zapory sieciowej, aby upewnić się, że spełnia ona wymagania prawne i przeprowadza okresowe audity.
    2. Inżynier ds. zabezpieczeń danych zapory aplikacji internetowej (WAF) zapewnia, że zasady rejestrowania i ochrony danych są zgodne z przepisami dotyczącymi prywatności danych.
  5. Ciągłe ulepszanie i szkolenie
    1. Inżynier DevSecOps integruje zarządzanie zaporą aplikacji internetowej z potokiem ciągłej integracji/ciągłego wdrażania, zapewniając, że aktualizacje i konfiguracje są zautomatyzowane i spójne.
    2. Specjalista ds. edukacji i zaangażowania w zakresie bezpieczeństwa opracowuje i dostarcza programy szkoleniowe, aby zapewnić, że wszyscy odpowiedni pracownicy rozumieją sposób efektywnego korzystania z zapory ogniowej aplikacji internetowych oraz zarządzania nią.
    3. Członek zespołu ds. ładu w chmurze przegląda procesy wdrażania i zarządzania zaporą aplikacji internetowej, aby upewnić się, że są zgodne z zasadami i standardami organizacji.

Te role zapewniają prawidłowe wdrożenie zapory aplikacji internetowej, a także ciągłe monitorowanie, zarządzanie i ulepszanie w celu ochrony aplikacji internetowych organizacji przed zmieniającymi się zagrożeniami.

Następny krok

Integrowanie zabezpieczeń ze strategią wdrażania chmury

  • Last updated on