Planowanie gotowości zabezpieczeń

Uwzględnij bezpieczeństwo w projektowaniu i operacjach przy minimalnych kłopotach.

Jako właściciel obciążenia dzielisz się odpowiedzialnością za ochronę zasobów w organizacji. Należy utworzyć plan gotowości na zabezpieczenia, który jest zgodny z priorytetami biznesowymi i prowadzi do jasnych procesów, odpowiednich inwestycji i zdefiniowanych obowiązków. Plan powinien obejmować wymagania dotyczące obciążeń i uwzględniać w planowanej strategii niezawodność, modelowanie kondycji oraz samozachowawczość.

Należy chronić zasoby organizacyjne i obciążenie przed atakami przy użyciu zasad Zero Trust i CIA Triad.

Nie pozwól, aby wymagania funkcjonalne i niefunkcjonalne, ograniczenia budżetowe i inne zagadnienia ograniczały inwestycje w zabezpieczenia. Zaplanuj inwestycje w zabezpieczenia jako inżynier, uwzględniając te ograniczenia i restrykcje.

Przykładowy scenariusz

Firma Contoso Supermarket chce utworzyć program lojalnościowy klientów, wykorzystując NFC na telefonach klientów w celu samoobsługowego kasowania i kasowania z pomocą kasjera. Klienci mogą samodzielnie rejestrować się w kioskach w sklepie. Rozwiązanie do przetwarzania zaplecza będzie hostowane w chmurze, ale projekt nie został jeszcze sfinalizowany.

Optymalizowanie zabezpieczeń za pomocą segmentacji

Segmentacja służy do planowania granic zabezpieczeń w środowisku obciążenia, procesach i strukturze zespołu w celu odizolowania dostępu i funkcji.

Bazuj strategię segmentacji na potrzeby biznesowe, takie jak znaczenie składników, podział pracy, obawy dotyczące prywatności i inne czynniki.

Aby zmniejszyć tarcie operacyjne, zdefiniuj role i odpowiedzialność jasno. To ćwiczenie pomaga zidentyfikować poziom dostępu dla każdej roli, szczególnie w przypadku ważnych kont.

Izolacja ogranicza narażenie poufnych przepływów tylko na role i zasoby, które wymagają dostępu. Zbyt duża ekspozycja może prowadzić do wycieków informacji.

Wyzwanie firmy Contoso

• W duchu prostoty zespół historycznie faworyzował podejścia o niskich obciążeniach. Te podejścia obejmowały grupowanie składników i organizowanie osób w grupach zabezpieczeń w celu uproszczenia zarządzania dostępem.

• Stażysta QA miał szeroki dostęp ze względu na ich członkostwo w grupie zabezpieczeń. Niestety, ich konto zostało naruszone w ataku inżynierii społecznej.

• Ten atak naruszył poufność tego wdrożenia i wszystkich innych wdrożeń na tej samej platformie aplikacji.

Stosowanie podejścia i wyników

• Na szczęście naruszone środowisko było tylko wczesnym prototypem testowym dla nowego programu lojalnościowego klientów, więc nie miało to wpływu na systemy produkcyjne.

• Zespół ds. zabezpieczeń planuje zainwestować czas i pieniądze w celu odizolowania składników, które obsługują dane osobowe, takie jak adresy i adresy e-mail, od składników, które tego nie robią, takie jak kupony. Będą projektować mechanizmy kontroli dostępu oparte na zasadzie niezbędności informacji i just-in-time (JIT) tam, gdzie to możliwe, oraz izolować sieci w ramach obciążenia od reszty organizacji w celu ochrony firmy Contoso.

• Segmentacja pomaga powstrzymać wpływ naruszenia zabezpieczeń.

Efektywne reagowanie na zdarzenia

Upewnij się, że istnieje plan reagowania na zdarzenia dla obciążenia. Użyj struktur branżowych, które definiują standardową procedurę operacyjną na potrzeby gotowości, wykrywania, zawierania, ograniczania ryzyka i działań po zdarzeniu.

Podczas kryzysu unikaj pomyłek, mając jasny plan reagowania na zdarzenia bezpieczeństwa. Odpowiedzialne role mogą skupić się na realizacji bez marnowania czasu na niepewne działania. Kompleksowy plan pomaga spełnić wymagania naprawcze.

Wyzwanie firmy Contoso

• Zespół ds. obciążeń konfiguruje kanały wsparcia dla sprzedawców detalicznych, kanały wsparcia klientów oraz techniczne rotacje dyżurów na potrzeby eskalacji i przestojów.

• Nie rozwiązali problemów z zabezpieczeniami i nie wiedzą, co oferuje firma Contoso w celu uzyskania pomocy technicznej.

Stosowanie podejścia i wyników

• Zespół ds. obciążeń współpracuje z zespołem ds. zabezpieczeń firmy Contoso, aby zrozumieć wymagania dotyczące zgodności dotyczące obsługi danych osobowych zarówno z perspektywy organizacji, jak i z perspektywy zgodności zewnętrznej.

• Zespół tworzy plan wykrywania zagrożeń, łagodzenia i eskalacji, w tym komunikacji dotyczącej incydentów.

• Zespół czuje się teraz równie komfortowo z gotowością na incydenty bezpieczeństwa, co z wsparciem w zakresie niezawodności. Planują ćwiczyć obsługę zdarzeń, zanim pójdą na żywo.

Codify secure operations and development practices (Kodryfikowanie bezpiecznych operacji i praktyk programistycznych)

Ustaw jasne standardy zabezpieczeń na poziomie zespołu dla cyklu życia i operacji obciążenia, w tym sposób pisania kodu, zatwierdzania zmian, aktualizacji wydań i obsługi danych.

Posiadanie solidnych nawyków bezpieczeństwa pomaga uniknąć błędów i sprawia, że wszystko działa płynnie. Gdy wszyscy przestrzegają tego samego podejścia, łatwiej jest trzymać się planu i pracować efektywnie.

Z czasem trzymanie się tych standardów pomaga wykrywać sposoby poprawy, a może nawet zautomatyzować kroki, aby zaoszczędzić czas i zwiększyć spójność.

Wyzwanie firmy Contoso

• Po uzyskaniu gotowości do obsługi zdarzeń zespół zdał sobie sprawę, że musi zainwestować w zapobieganie problemom przed ich rozpoczęciem.

• Nie mają jeszcze określonego bezpiecznego procesu programowania. Planują ponowne użycie procesów używanych w poprzednich projektach.

Stosowanie podejścia i wyników

• To obciążenie nie przechowuje wysoce poufnych danych, takich jak informacje o kartach kredytowych, ale zespół nadal traktuje dane swoich klientów z troską. Są świadomi lokalnych i federalnych przepisów, które muszą być przestrzegane dla typów przechowywanych danych.

• Zespół inwestuje w naukę o aktualnych bezpiecznych branżowych praktykach związanych z opracowywaniem i operacjami IT oraz rozpoczyna korzystanie ze środków bezpieczeństwa, których wcześniej nie stosowano.

• Zespół dzieli się również swoimi naukami z zespołem ds. zabezpieczeń firmy Contoso, aby wszyscy w całej firmie mogli korzystać z ulepszeń.