Plánování připravenosti zabezpečení

Dokončeno

Snažte se o přijetí a implementaci bezpečnostních postupů při rozhodování o návrhu architektury a provozu s minimálními třeními.

Jako vlastník úlohy máte sdílenou odpovědnost s organizací za ochranu prostředků. Vytvořte plán připravenosti na zabezpečení, který je v souladu s obchodními prioritami. Povede k dobře definovaným procesům, přiměřeným investicím a příslušným účetním závazkům. Plán by měl poskytnout organizaci požadavky na úlohy, které také sdílejí odpovědnost za ochranu prostředků. Plány zabezpečení by měly zohlednit vaši strategii pro spolehlivost, modelování stavu a sebezáchování.

Kromě prostředků organizace musí být samotná úloha chráněná před útoky na vniknutí a exfiltraci. Všechny omezující vlastnosti nulová důvěra (Zero Trust) a triád CIA by se měly zohlednit v plánu.

Funkční a nefunkční požadavky, rozpočtová omezení a další aspekty by neměly omezovat investice do zabezpečení ani ředit záruky. Současně je potřeba provést inženýry a naplánovat investice do zabezpečení s ohledem na tato omezení a omezení.

Ukázkový scénář

Společnost Contoso Supermarket nikdy předtím neměla zákaznický program, ale rozhodla se, že má obchodní smysl ho vytvořit. Funkce NFC na zákaznických telefonech se použijí jako řešení v místě prodeje pro samoobslužnou pokladnu i pokladní pokladnu. Veřejný terminál samoobslužné registrace u vchodu do obchodu a ukončení umožní zákazníkům zaregistrovat se do programu. Řešení pro zpracování back-endu bude hostované v cloudu, ale návrh ještě není dokončený.

Optimalizace zabezpečení prostřednictvím segmentace

Segmentaci můžete použít jako strategii k plánování hranic zabezpečení v prostředí úloh, procesech a struktuře týmu za účelem izolace přístupu a funkce.

Strategie segmentace by měla být řízena obchodními požadavky. Můžete ji založit na důležitosti komponent, rozdělení práce, obav o ochranu osobních údajů a dalších faktorech.

Provozní tření budete moct minimalizovat definováním rolí a stanovením jasných zodpovědností. Toto cvičení vám také pomůže identifikovat úroveň přístupu pro každou roli, zejména pro účty s kritickým dopadem.

Izolace umožňuje omezit vystavení citlivých toků jenom rolím a prostředkům, které potřebují přístup. Nadměrné vystavení by mohlo neúmyslně vést ke zpřístupnění informačního toku.

Výzva společnosti Contoso

• V duchu jednoduchosti tým historicky upřednostňuje přístupy s nízkou režií. Tyto přístupy zahrnovaly společné vyhledání různorodých komponent úloh za účelem snížení plochy správy a uspořádání různorodých jednotlivců do skupin zabezpečení za účelem zjednodušení správy přístupu.
• Bohužel, intern pro kontrolu kvality, který byl udělen široký přístup k novému prostředí nasazení kvůli členství ve skupině zabezpečení, byl předmětem útoku sociálního inženýrství, který vedl k ohrožení jejich účtu.
• Útočník mohl ohrozit důvěrnost nejen tohoto nasazení, ale všechny ostatní spuštěné na stejné aplikační platformě.

Použití přístupu a výsledků

• Ohrožené prostředí naštěstí hostovalo prototyp prvotního testu úlohy; zatímco navrhují nový systém zákaznického programu pro prodejní systém, takže nedošlo k porušení žádných produkčních systémů.
• Tým zabezpečení úloh plánuje investovat čas a peníze do návrhu úlohy tak, aby izoloval systémy, které zpracovávají identifikovatelné osobní údaje (PII), jako je adresa a e-mail zákazníků, od komponent, které nemají (například kupóny pro produkty); návrh řízení přístupu, které jsou potřeba znát a za běhu (JIT), pokud je to možné; a izolovat sítě v rámci úlohy, aby chránily ostatní komponenty i zpět do společnosti Contoso, aby se organizace chránila.
• Prostřednictvím segmentace může mít kompromis stále vliv na aspekty úlohy, ale poloměr výbuchu bude obsažen.

Efektivní reakce na incidenty

Ujistěte se, že pro vaši úlohu existuje plán reakce na incidenty. Používejte oborové architektury, které definují standardní provozní postup pro připravenost, detekci, omezení, zmírnění rizik a aktivitu po incidentu.

V době krize se musí vyhnout nejasnostem. Pokud máte dobře zdokumentovaný plán, zodpovědné role se můžou soustředit na provádění bez plýtvání časem na nejistých akcích. Komplexní plán vám také pomůže zajistit splnění všech požadavků na nápravu.

Výzva společnosti Contoso

• Tým úloh začíná formalizovat kanály podpory maloobchodního prodejce, kanály zákaznické podpory a technické obměny na volání pro eskalace podpory a výpadky.
• Neřešili zabezpečení konkrétně v těchto plánech. Také neví, co Contoso nabízí, protože organizace nabízí podporu.

Použití přístupu a výsledků

• Tým úloh spolupracuje s týmem zabezpečení Společnosti Contoso, aby porozuměl požadavkům na dodržování předpisů pro zpracování osobních údajů této povahy, a to jak z hlediska organizace, tak z hlediska externího dodržování předpisů.
• Tým sestaví plán detekce zabezpečení, zmírnění rizik a eskalace, včetně standardizovaných komunikačních požadavků na incidenty.
• Tým úloh se teď cítí stejně dobře jako při připravenosti na bezpečnostní incidenty, jak to dělá s podporou spolehlivosti. Plánují procházení bezpečnostních incidentů, aby osušili a upřesni plán před tím, než budou žít se systémem.

Codify – postupy zabezpečení a vývoje

Definujte a vynucujte standardy zabezpečení na úrovni týmu napříč životním cyklem a provozem úlohy. Snažte se o konzistentní postupy v operacích, jako jsou kódování, vrátná schválení, správa verzí a ochrana a uchovávání dat.

Definování osvědčených postupů zabezpečení může minimalizovat nedbalost a oblast potenciálních chyb. Tým optimalizuje úsilí a výsledek bude předvídatelný, protože přístupy jsou konzistentnější.

Sledování bezpečnostních standardů v průběhu času vám umožní identifikovat příležitosti ke zlepšení, včetně automatizace, což zjednoduší další úsilí a zvýší konzistenci.

Výzva společnosti Contoso

• Po přípravě na reakci na incident se tým úloh rozhodne, že musí investovat čas a úsilí, aby se zabránilo problémům na prvním místě.
• V současné době nemají na paměti žádný konkrétní životní cyklus zabezpečeného vývoje a plánují použití stejných procesů, které používaly v předchozích projektech.

Použití přístupu a výsledků

• I když tato úloha nebude uchovávat vysoce důvěrná data, jako jsou informace o platební kartě, tým zachází s daty svých zákazníků s respektem a je si vědom toho, že existují místní a federální předpisy, které je potřeba dodržovat pro typy dat, která se budou uchovávat.
• Tým investuje do učení se o současných standardních bezpečnostních postupech vývoje a provozu v oboru a přijímá opatření, která jim dříve chyběla.
• Tým také sdílí své poznatky s bezpečnostním týmem Společnosti Contoso, aby se zajistilo, že budou v celém podniku přijaty osvědčené postupy.

Kontrola znalostí

1.

Jaká je výhoda použití segmentace v přístupu k zabezpečení?

Segmentace umožňuje izolovat přístup k prostředkům na základě principu nejnižšího oprávnění.

Segmentace blokuje veškerý přístup k prostředkům, což brání útočníkům v přístupu k nim.

Segmentace vynutí, aby všichni uživatelé používali vícefaktorové ověřování (MFA) pro přístup k prostředkům.

Segmentace vynutí, aby všichni uživatelé používali jednotné přihlašování (SSO) pro přístup k prostředkům.

2.

Jaký typ plánu byste měli vytvořit, abyste zajistili, že se události zabezpečení zjistí a odpoví včas?

Plán zotavení po havárii

Plán provozní kontinuity

Plán reakce na incidenty zabezpečení

Plán omezení rizik útoků DDoS

3.

Ano nebo ne: Použití postupů zabezpečeného vývoje společnosti Contoso pomůže týmu zajistit, aby byl veškerý kód vyvinut konzistentním standardním způsobem.

Ano.

Ne.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.