Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W ramach wytycznych dotyczących wdrażania rozwiązania Zero Trust w tym artykule opisano scenariusz biznesowy zapobiegania lub zmniejszania szkód biznesowych przed naruszeniem cyberbezpieczeństwa. W tym scenariuszu uwzględniono zasadę przewodnią Przyjmij naruszenie zabezpieczeń Zero Trust, która obejmuje:
- Minimalizuj promień wybuchu i segmentuj dostęp
- Weryfikowanie kompleksowego szyfrowania
- Korzystanie z analizy w celu uzyskania widoczności, zwiększania wykrywania zagrożeń i ulepszania ochrony
Dzięki hybrydowym modelom infrastruktury IT zasoby i dane organizacji znajdują się zarówno w lokalnym środowisku, jak i w chmurze, a złośliwe podmioty mogą wykorzystywać różne metody, aby je zaatakować. Organizacja musi być w stanie zapobiec tym atakom na tyle, na ile to możliwe, a w przypadku naruszenia zminimalizować szkody spowodowane atakiem.
Tradycyjne podejścia, które koncentrują się na ustanawianiu zabezpieczeń opartych na obwodzie dla środowiska lokalnego, w którym ufasz wszystkim wewnątrz obwodu sieci prywatnej organizacji, nie są już istotne. Jeśli osoba atakująca uzyska dostęp do sieci prywatnej, może uzyskać dostęp do dowolnych danych, aplikacji lub zasobów w niej, z odpowiednimi uprawnieniami. Mogą one naruszyć twoją sieć, kradnąc poświadczenia użytkownika, wykorzystując lukę w zabezpieczeniach lub wprowadzając infekcję złośliwym oprogramowaniem. Takie ataki mogą prowadzić do utraty przychodów i wysokich składek na ubezpieczenie cybernetyczne, co może stanowić znaczną porażkę ze względu na kondycję finansową i reputację rynku organizacji.
Forester wyciągnął następujące wnioski dotyczące roku 2021:
- Prawie dwie trzecie organizacji doświadczyło naruszenia w ubiegłym roku, co kosztowało je średnio 2,4 miliona dolarów za każde naruszenie. – Forester, The 2021 State of Enterprise Breaches (kwiecień 2022).
W przypadku chmury źli aktorzy nie muszą fizycznie naruszać obwodu sieci prywatnej. Mogą atakować zasoby cyfrowe oparte na chmurze z dowolnego miejsca na świecie.
Kondycja i reputacja organizacji zależą od strategii zabezpieczeń. Dzięki powszechnemu wdrożeniu środowisk przedsiębiorstwa opartych na chmurze i rozwoju pracowników mobilnych ślady danych istnieją poza tradycyjnymi granicami sieci firmowych. W tej tabeli podsumowano kluczowe różnice między tradycyjną i nowoczesną ochroną przed zagrożeniami za pomocą rozwiązania Zero Trust.
| Tradycyjna ochrona przed zagrożeniami za pomocą mechanizmów kontroli sieci prywatnej | Nowoczesna ochrona przed zagrożeniami z zerowym zaufaniem |
|---|---|
| Tradycyjna ochrona opiera się na zabezpieczeniach perymetrowych, gdzie ufasz wszystkim w prywatnej sieci. Sieci obwodowe mogą obejmować: - Mała segmentacja sieci lub obwody zabezpieczeń i otwarte, płaskie sieci. - Minimalna ochrona przed zagrożeniami i filtrowanie ruchu statycznego. - Niezaszyfrowany ruch wewnętrzny. |
Model Zero Trust przenosi zabezpieczenia sieci z granic opartych na statycznych sieciach, aby skoncentrować się na użytkownikach, urządzeniach, danych i zasobach. Załóżmy, że naruszenie może i nastąpi. Zagrożenia bezpieczeństwa mogą istnieć wewnątrz i na zewnątrz twojej sieci, jesteś stale atakowany, a incydent bezpieczeństwa może nastąpić w dowolnym momencie. Kompleksowa i nowoczesna infrastruktura ochrony przed zagrożeniami może zapewnić terminowe wykrywanie i reagowanie na ataki. Zminimalizuj zakres oddziaływania incydentów bezpieczeństwa dzięki zastosowaniu warstw ochronnych, które razem zmniejszają zarówno zakres szkód, jak i tempo ich rozprzestrzeniania się. |
Aby zmniejszyć wpływ znaczącego zdarzenia, niezbędne są następujące kwestie:
- Identyfikowanie ryzyka biznesowego naruszenia zabezpieczeń
- Planowanie podejścia opartego na ryzyku na potrzeby reagowania na naruszenia
- Zrozumienie wynikających z tego szkód związanych z reputacją i relacjami organizacji z innymi organizacjami
- Dodawanie warstw ochrony w głębi systemu
Wskazówki zawarte w tym artykule przedstawiają sposób rozpoczęcia strategii zapobiegania naruszeniom i zmniejszania szkód. Dwa dodatkowe artykuły umożliwiają wdrożenie tej strategii przy użyciu następujących elementów:
- Infrastruktura zapobiegania naruszeniom zabezpieczeń i odzyskiwania
- Narzędzia ochrony przed zagrożeniami i rozszerzonego wykrywania oraz reagowania (XDR)
Pierwszym krokiem w kierunku niezawodnego stanu zabezpieczeń jest określenie, w jaki sposób organizacja jest podatna na zagrożenia poprzez ocenę ryzyka.
Ocenianie ryzyka i poziomu bezpieczeństwa
Jeśli zdecydujesz się przyjąć strategię zapobiegania naruszeniom i zmniejszenia szkód spowodowanych przez nie, ważne jest, aby wziąć pod uwagę i określić ilościowo metrykę ryzyka. Strategicznie ćwiczenie kwantyfikacji ryzyka pozwala ustawić metrykę dla apetytu na ryzyko. Wymaga to przeprowadzenia podstawowej oceny ryzyka wraz z analizą naruszeń krytycznych dla działania firmy, które mogą mieć wpływ na Twoją firmę. Połączenie udokumentowanego apetytu na ryzyko w przypadku scenariuszy naruszenia, z którymi chcesz się zająć, stanowi podstawę strategii przygotowania i korygowania naruszeń.
Należy pamiętać, że praktycznie nie można zapobiec naruszeniom jako absolutnym. Jak opisano w artykule Zwrot z inwestycji atakującego, celem jest stopniowe zwiększanie oporu wobec cyberataków do momentu, w którym osoby atakujące, przed którymi jesteś w stanie się bronić lub chcesz się bronić, nie uzyskają już realnego zwrotu z inwestycji z ich ataków. Rodzaj ataków i rentowność ekonomiczna do obrony powinna zostać uchwycona w ramach analizy ryzyka.
Zmniejszenie szkód spowodowanych naruszeniem zapewnia znaczne możliwości działania w trakcie oraz po naruszeniu, co pozwala organizacji szybko odzyskać siły po spodziewanym naruszeniu lub jego rodzaju. Te typy naruszeń i gotowość do odzyskania są definiowane w kolejnych sekcjach w tym artykule.
Rozpoznawanie zamiaru naruszenia musi być częścią przygotowania do naruszenia. Wszystkie naruszenia mają w sobie element złośliwości lub przestępczego zamiaru, jednak naruszenia motywowane finansowo mają potencjał znacznie większych szkód w porównaniu z przypadkowymi lub oportunistycznymi naruszeniami.
Aby uzyskać więcej informacji na temat stanu zabezpieczeń i oceny ryzyka, zobacz Szybki modernizacja stanu zabezpieczeń.
Przykłady czynników ryzyka według typu biznesowego
Wymagania biznesowe zależą od wynikowej analizy ryzyka dla danego typu firmy. Poniżej omówiono kilka pionów biznesowych i sposób, w jaki ich konkretne potrzeby napędzają segmentowaną analizę ryzyka:
Górnictwo
Przemysł wydobywczy bardziej kieruje się ku kopalni przyszłości, w której systemy technologii operacyjnej (OT) wykorzystują mniej procesów ręcznych. Przykładem jest użycie interfejsów człowiek-maszyna (HMI), które wykorzystują interfejs aplikacji do wykonywania zadań i prac w zakładzie przetwarzania. Ponieważ te jednostki HMI są projektowane jako aplikacje, zagrożenia bezpieczeństwa cybernetycznego dla tej branży mogą być wyższe.
Zagrożenie nie staje się już jedną z utraty danych ani kradzieży zasobów firmy. Zagrożenie staje się jednym z podmiotów zewnętrznych, którzy używają kradzieży tożsamości w celu uzyskania dostępu do krytycznych systemów i zakłócania procesów produkcyjnych.
Handel detaliczny
Główne zagrożenia związane z naruszeniem w branży detalicznej mogą wystąpić, gdy istnieje wiele domen dla wielu marek, które mieszkają w tej samej dzierżawie. Złożoność zarządzania tożsamościami lokalnymi lub opartymi na chmurze może powodować luki w zabezpieczeniach.
Sektor zdrowia
Główne zagrożenia w sektorze zdrowia to utrata danych. Nieautoryzowane ujawnienie poufnej dokumentacji medycznej może stanowić bezpośrednie zagrożenie dla przepisów o ochronie danych osobowych i prywatności, które są zarezerwowane zarówno dla pacjentów, jak i klientów. Na podstawie lokalnych regulacji takie działanie może wiązać się z nałożeniem znacznych kar.
Sektor rządowy
Organizacje sektora rządowego stanowią najwyższe ryzyko bezpieczeństwa informacji. Zagrożone są szkody reputacji, bezpieczeństwo narodowe i utrata danych. Jest to w dużej mierze powodem, dla których organizacje rządowe muszą subskrybować bardziej rygorystyczne standardy, takie jak Narodowy Instytut Standardów i Technologii (NIST).
W ramach przygotowywania i reagowania na naruszenia zabezpieczeń skorzystaj z usługi Microsoft Defender Threat Intelligence , aby wyszukać i dowiedzieć się więcej o typach ataków i wektorów zagrożeń, które są najbardziej istotne w pionie.
Ryzyko typowych ataków
Zapobieganie naruszeniom bezpieczeństwa cybernetycznego lub zmniejszanie szkód biznesowych obejmuje świadomość najczęstszych typów ataków. Chociaż następujące typy ataków są obecnie najbardziej typowe, zespół ds. cyberbezpieczeństwa powinien również wiedzieć o nowych typach ataków, z których niektóre mogą je rozszerzyć lub zastąpić.
Tożsamości
Incydenty bezpieczeństwa cybernetycznego zwykle zaczynają się od kradzieży poświadczeń pewnego rodzaju. Poświadczenia mogą zostać skradzione przy użyciu różnych metod:
Wyłudzanie informacji
Osoba atakująca podszywa się pod zaufaną jednostkę i oszukuje pracowników do otwierania wiadomości e-mail, wiadomości tekstowych lub wiadomości błyskawicznych. Może również obejmować wyłudzanie informacji, w których osoba atakująca używa informacji specjalnie o użytkowniku do konstruowania bardziej wiarygodnego ataku wyłudzania informacji. Kradzież poświadczeń technicznych może wystąpić z powodu kliknięcia adresu URL lub ataku wyłudzania informacji za pomocą uwierzytelniania wieloskładnikowego.
Vishing
Osoba atakująca używa metod inżynierii społecznej do atakowania infrastruktury pomocniczej, takiej jak dział pomocy technicznej, w celu uzyskania lub zmiany poświadczeń.
Atak polegający na rozpylaniu haseł
Osoba atakująca próbuje uzyskać dużą listę możliwych haseł dla danego konta lub zestawu kont. Możliwe hasła mogą być oparte na danych publicznych dotyczących użytkownika, takich jak daty urodzenia w profilach mediów społecznościowych.
We wszystkich tych przypadkach kompetencje i edukacja są niezbędne zarówno dla użytkowników, będących celem ataków phishingowych, jak i dla pomocy technicznej, będącej celem ataków vishingowych. Dział pomocy technicznej powinien mieć protokoły umożliwiające uwierzytelnianie użytkowników przed wykonaniem poufnych akcji na kontach użytkowników lub uprawnieniach.
Urządzenia
Urządzenia użytkowników to inny sposób dla osób atakujących, którzy zazwyczaj polegają na naruszeniu zabezpieczeń urządzenia w celu zainstalowania złośliwego oprogramowania, takiego jak wirusy, programy szpiegujące, oprogramowanie wymuszające okup i inne niechciane oprogramowanie, które instaluje bez zgody.
Osoby atakujące mogą również używać poświadczeń urządzenia do uzyskiwania dostępu do aplikacji i danych.
Sieć
Osoby atakujące mogą również używać sieci do wywierania wpływu na systemy lub określania poufnych danych. Typowe typy ataków sieciowych to:
Rozproszona odmowa usługi (DDos)
Ataki, które mają na celu przeciążenie usług online ruchem, aby usługa nie działała.
Podsłuch
Osoba atakująca przechwytuje ruch sieciowy i ma na celu uzyskanie haseł, numerów kart kredytowych i innych informacji poufnych.
Wstrzykiwanie kodu i SQL
Osoba atakująca przesyła złośliwy kod zamiast wartości danych za pośrednictwem formularza lub za pośrednictwem interfejsu API.
Wykonywanie skryptów między witrynami
Osoba atakująca używa zasobów internetowych innych firm do uruchamiania skryptów w przeglądarce internetowej ofiary.
Jak liderzy biznesowi myślą o zapobieganiu lub zmniejszaniu szkód biznesowych przed naruszeniem
Przed rozpoczęciem jakichkolwiek prac technicznych ważne jest, aby zrozumieć różne motywacje stojące za inwestowaniem w zapobieganie naruszeniom i zmniejszanie szkód w biznesie, ponieważ te motywacje pomagają kształtować strategię, cele i miary sukcesu.
Poniższa tabela zawiera powody, dla których liderzy biznesowi w całej organizacji powinni inwestować w zapobieganie naruszeniom lub zmniejszanie szkód.
| Rola | Dlaczego zapobieganie naruszeniom lub zmniejszanie szkód biznesowych jest ważne |
|---|---|
| Dyrektor generalny (CEO) | Działalność musi być upoważniona do osiągnięcia strategicznych celów i celów, niezależnie od klimatu cyberbezpieczeństwa. Zwinność biznesowa i wykonywanie działalności biznesowej nie powinny być ograniczone z powodu incydentu lub naruszenia zabezpieczeń. Liderzy biznesowi powinni zrozumieć, że bezpieczeństwo jest częścią imperatywów biznesowych, a inwestycje w ochronę przed naruszeniami i gotowość do naruszeń są wymagane w celu zapewnienia ciągłości działania. Koszt udanego i destrukcyjnego cyberataku może być o wiele większy niż cena wdrażania środków bezpieczeństwa. |
| Dyrektor ds. marketingu (CMO) | Sposób, w jaki firma jest postrzegany zarówno wewnętrznie, jak i zewnętrznie, nie powinien być ograniczony na podstawie naruszenia lub gotowości na naruszenie. Uczenie się, jak komunikować gotowość do naruszenia zabezpieczeń i komunikaty wewnętrznie i zewnętrznie w odpowiedzi na naruszenie, jest kwestią przygotowania. Udany atak może stać się wiedzą publiczną, potencjalnie szkodzącą wartości marki, chyba że istnieje plan komunikacji z naruszeniem zabezpieczeń. |
| Dyrektor ds. systemów informatycznych (CIO) | Aplikacje używane przez organizację muszą być odporne na ataki podczas zabezpieczania danych organizacji. Bezpieczeństwo powinno być wymiernym wynikiem i dostosowane do strategii IT. Zarządzanie zapobieganiem naruszeniom i naruszeniem zabezpieczeń musi być zgodne z integralnością danych, prywatnością i dostępnością. |
| Dyrektor ds. zabezpieczeń informacji (CISO) | Zabezpieczenia muszą być priorytetem biznesowym dla kadry kierowniczej najwyższego szczebla. Gotowość i reagowanie na naruszenia zabezpieczeń są dostosowane do osiągnięcia podstawowych strategii biznesowych z zabezpieczeniami technologii dostosowanymi do ograniczania ryzyka biznesowego. |
| Dyrektor operacyjny (COO) | Proces reagowania na zdarzenia zależy od przywództwa i strategicznych wskazówek dostarczonych przez tę rolę. Konieczne jest przeprowadzenie działań zapobiegawczych i reaktywnych zgodnie ze strategią korporacyjną. Przygotowanie naruszeń w stanie Przyjmij naruszenie oznacza, że wszystkie dyscypliny raportowania do COO muszą działać na poziomie gotowości do naruszenia, zapewniając, że naruszenie może zostać odizolowane i rozwiązane szybko bez wstrzymania działalności. |
| Dyrektor finansowy (CFO) | Przygotowanie naruszeń i środki zaradcze to funkcje budżetowanych wydatków na zabezpieczenia. Systemy finansowe muszą być solidne i mogą przetrwać naruszenie. Dane finansowe muszą być klasyfikowane, zabezpieczone i tworzone kopie zapasowe jako poufny zestaw danych. |
Podejście zero trust rozwiązuje kilka problemów z zabezpieczeniami wynikających z naruszeń zabezpieczeń. Możesz podkreślić następujące korzyści wynikające z podejścia Zero Trust z liderami biznesowymi.
| Korzyści | Opis |
|---|---|
| Zapewnianie przetrwania | W zależności od charakteru lub motywacji osoby atakującej naruszenie może mieć znaczący wpływ lub zakłócić zdolność organizacji do wykonywania normalnych działań biznesowych. Przygotowanie do naruszenia znacznie zwiększa prawdopodobieństwo, że organizacja przetrwa naruszenie zaprojektowane w celu sparaliżowania lub unieruchomienia. |
| Kontrola szkód dla reputacji | Naruszenie, które powoduje dostęp do poufnych danych, może mieć poważne skutki, takie jak uszkodzenie reputacji marki, utrata wrażliwej własności intelektualnej, zakłócenia dla klientów, grzywny regulacyjne i szkody finansowe dla Twojej firmy. Zabezpieczenia Zero Trust pomagają zmniejszyć obszar ataków, stale oceniając, monitorując i analizując infrastrukturę IT zarówno lokalnie, jak i w chmurze. Architektura zero trust pomaga definiować zasady, które są aktualizowane automatycznie po zidentyfikowaniu ryzyka. |
| Zmniejsz zasięg oddziaływania w Twojej organizacji | Wdrożenie modelu Zero Trust może pomóc zminimalizować wpływ naruszenia zabezpieczeń zewnętrznych lub wewnętrznych. Zwiększa zdolność organizacji do wykrywania zagrożeń i reagowania na nie w czasie rzeczywistym oraz zmniejsza strefę wybuchu ataków poprzez ograniczenie ruchu bocznego. |
| Demonstracja niezawodnego stanu zabezpieczeń i ryzyka | Podejście Zero Trust umożliwia klasyfikację alertów, powiązanie dodatkowych sygnałów zagrożenia i działania naprawcze. Analizowanie sygnałów pomaga poprawić poziom działania, oceniając kulturę zabezpieczeń i identyfikując obszary pod kątem ulepszeń lub najlepszych rozwiązań. Każda zmiana w sieci automatycznie wyzwala analizę potencjalnie złośliwych działań. Zyskasz pełną widoczność wszystkich zasobów i aktywów w sieciach oraz jak działają, co prowadzi do znacznego ogólnego zmniejszenia narażenia na ryzyko. |
| Niższe składki na ubezpieczenia cybernetyczne | Aby ocenić koszt ubezpieczenia cybernetycznego, potrzebujesz niezawodnego i dobrze zdefiniowanego modelu zabezpieczeń i architektury. Implementując zabezpieczenia Zero Trust, masz kontrolę, widoczność i zarządzanie wraz z analizą w czasie rzeczywistym na potrzeby ochrony sieci i punktów końcowych. Twój zespół ds. zabezpieczeń może wykrywać i przezwyciężyć luki w ogólnym stanie bezpieczeństwa i udowodnić ubezpieczycielom, że masz proaktywne strategie i systemy. Podejście Zero Trust zwiększa również odporność cybernetyczną, a nawet może pomóc zapłacić za siebie poprzez zmniejszenie składek ubezpieczeniowych. |
| Zwiększanie wydajności i morale zespołu ds. zabezpieczeń | Wdrożenia zero trust zmniejszają nakłady pracy ręcznej dla zespołu ds. zabezpieczeń, automatyzując rutynowe zadania, takie jak aprowizowanie zasobów, przeglądy dostępu i zaświadczanie. W rezultacie możesz zwiększyć możliwości swoich zespołów ds. zabezpieczeń dzięki czasowi i telemetrii, których potrzebują do wykrywania, odstraszania i pokonania najbardziej krytycznych ataków i zagrożeń, zarówno wewnętrznie, jak i zewnętrznie, co z kolei zwiększa morale zespołu IT i bezpieczeństwa. |
Aby uzyskać więcej informacji, które można przekazać liderom biznesowym, zobacz e-book „Minimalizacja wpływu wewnętrznych lub zewnętrznych złych działaczy”.
Cykl wdrażania zapobiegający lub zmniejszający szkody biznesowe w przypadku naruszenia
Ten zestaw artykułów zawiera omówienie tego scenariusza biznesowego przy użyciu tych samych faz cyklu życia co przewodnik Cloud Adoption Framework dla platformy Azure — definiowanie strategii, planowanie, gotowość, wdrażanie, zarządzanie i nadzór, ale dostosowane do podejścia Zero Trust.
Poniższa tabela jest dostępną wersją ilustracji.
| Definiowanie strategii | Planowanie | Gotowy | Przyjąć | Zarządzanie i zarządzanie |
|---|---|---|---|---|
| Wyniki Wyalignowanie organizacyjne Cele strategiczne |
Zespół uczestników projektu Plany techniczne Gotowość do użycia umiejętności |
Oceniać Test Pilot |
Stopniowe wdrażanie w obrębie infrastruktury cyfrowej | Śledzenie i mierzenie Monitorowanie i wykrywanie Iterować w celu osiągnięcia dojrzałości |
Przeczytaj więcej na temat cyklu wdrażania zero trust w przeglądzie platformy wdrażania Zero Trust.
Aby zapobiec naruszeniu lub zmniejszyć szkody biznesowe, skorzystaj z informacji w następujących dodatkowych artykułach:
- Implementowanie infrastruktury zapobiegania naruszeniom zabezpieczeń i odzyskiwania
- Wdrożenie ochrony przed zagrożeniami i XDR
Należy pamiętać, że zalecenia dotyczące wdrażania dla tych dwóch oddzielnych ścieżek wymagają udziału oddzielnych grup działu IT, a działania dla każdego toru można wykonać równolegle.
Dalsze kroki
W tym scenariuszu biznesowym:
- Implementowanie infrastruktury zapobiegania naruszeniom zabezpieczeń i odzyskiwania
- Wdrożenie ochrony przed zagrożeniami i XDR
Dodatkowe artykuły w ramach wdrażania Zero Trust
- Omówienie platformy wdrażania zero trust
- szybka modernizacja stanu zabezpieczeń
- Zabezpieczanie pracy zdalnej i hybrydowej
- Identyfikowanie i ochrona poufnych danych biznesowych
- spełnianie wymagań prawnych i zgodności
Zasoby śledzenia postępu
W przypadku dowolnego scenariusza biznesowego Zero Trust można użyć następujących zasobów śledzenia postępu.
| Zasób śledzenia postępu | To ci pomaga... | Zaprojektowany dla... |
|---|---|---|
Siatka fazy planu wdrożenia do pobrania pliku programu Visio lub PDF 
|
Łatwo zrozumiesz ulepszenia zabezpieczeń dla każdego scenariusza biznesowego oraz poziom nakładu pracy na etapy i cele fazy Planowania. | Liderzy projektów scenariuszy biznesowych, liderzy biznesowi i inni interesariusze. |
Narzędzie do śledzenia wdrażania Zero Trust do pobrania jako prezentacja w programie PowerPoint 
|
Śledź postęp na etapach i zamierzeniach fazy Planu. | Liderzy projektów scenariuszy biznesowych, liderzy biznesowi i inni interesariusze. |
Cele i zadania scenariusza biznesowego w pobranym skoroszycie Excel 
|
Przypisz odpowiedzialność i śledź postęp na etapach, zamierzeniach i zadaniach fazy planowania. | Kierownicy projektów scenariuszy biznesowych, liderzy IT i implementatorzy IT. |
Aby uzyskać dodatkowe zasoby, zobacz ocena zerowego zaufania i zasoby śledzenia postępu.