Cómo mantener y evolucionar la posición de seguridad

Completado
Incorporar la mejora continua y aplicar vigilancia para mantenerse al día de los atacantes, que están evolucionando continuamente sus estrategias de ataque

La posición de seguridad no debe degradarse con el tiempo. Debe mejorar continuamente las operaciones de seguridad para que las nuevas interrupciones se controlen de forma más eficaz. Intente alinear las mejoras con las fases definidas por los estándares del sector. Al hacerlo, se produce una mejor preparación, un tiempo reducido para la detección de incidentes y una contención y mitigación eficaces. La mejora continua se debe basar en las lecciones aprendidas de incidentes anteriores.

Es importante medir la posición de seguridad, aplicar directivas para mantener esa posición y validar periódicamente las mitigaciones de seguridad y los controles de compensación para mejorar continuamente la posición de seguridad frente a amenazas en evolución.

Escenario de ejemplo

Contoso Race Day Performance crea sistemas de captura de datos para equipos profesionales de carreras de coches de rally. La mayoría del sistema está integrado en los coches y proporciona comentarios locales a la tripulación de conducción, pero al final de la carrera, se cargan todos los datos de telemetría en la nube para el procesamiento analítico. El procesamiento combina los datos de telemetría de seguimiento, condiciones ambientales y el vehículo en informes que el equipo de carreras puede usar para evaluar su ejecución y ajustar sus estrategias. El sistema en la nube usa Azure Spark en Azure Synapse Analytics. Todos los sistemas auxiliares de la carga de trabajo usan ofertas de PaaS. El sistema ya está en uso en tres de los cinco mejores equipos de carreras del mundo.

Los equipos de carreras son muy proteccionistas con sus datos y quieren saber qué hace Contoso Race Day Performance para mantenerse al día con las amenazas de seguridad en constante evolución que podrían poner en peligro sus datos.

Realizar el modelado de amenazas para identificar y mitigar posibles amenazas

Analice cada componente del flujo de trabajo y evalúe las posibles amenazas a las que cada componente podría estar sujeto. Clasifique las amenazas identificadas mediante una metodología estándar del sector.

Al adoptar este enfoque, puede generar un informe de vectores de ataque clasificados por orden de prioridad según su nivel de gravedad. Además, puede identificar amenazas y vulnerabilidades rápidamente y configurar contramedidas.

Desafío de Contoso

  • Aunque aún no han tenido un incidente de seguridad, el equipo de la carga de trabajo no tiene una manera estandarizada de evaluar si hay vectores de amenazas que no se hayan abordado adecuadamente en los controles de seguridad existentes.
  • El equipo se da cuenta de que tienen un punto ciego con respecto a la seguridad de su carga de trabajo y están en riesgo de ser atrapados con la guardia baja si hay un incidente de seguridad.

Aplicación del enfoque y los resultados

  • El equipo contrata a un especialista en consultoría de seguridad para aprender a realizar el modelado de amenazas.
  • Después de realizar un ejercicio de modelado de amenazas inicial, encuentran que tienen controles bien diseñados para la mayoría de los vectores de amenazas, pero encuentran una brecha en una de las tareas de limpieza de datos que se producen después de que se completen los trabajos de Azure Spark y encuentran dos vectores de amenazas internos para la filtración de datos.
  • La corrección de estas brechas está programada para el siguiente ciclo de desarrollo.
  • El equipo también encuentra un sistema heredado utilizado por un equipo de carreras que ya no usa el servicio y que tiene acceso significativo a los datos de telemetría de las carreras. Parte de la corrección será retirar este sistema.

Comprobación independiente de los controles

Ejecute pruebas periódicas de seguridad realizadas por expertos externos al equipo de la carga de trabajo para que intenten hackear éticamente el sistema. Realice un examen de vulnerabilidades rutinario e integrado para detectar vulnerabilidades de seguridad en la infraestructura, las dependencias y el código de la aplicación.

Estas pruebas permiten validar las defensas de seguridad mediante la simulación de ataques reales mediante técnicas como pruebas de penetración.

Las amenazas se pueden introducir como parte de la administración de cambios. La integración de exámenes en las canalizaciones de implementación permite detectar automáticamente vulnerabilidades e incluso poner en cuarentena el uso hasta que se eliminen las vulnerabilidades.

Desafío de Contoso

  • El ejercicio de modelado de amenazas ayudó al equipo a descubrir brechas de seguridad y ahora están interesados en validar sus controles, especialmente después de implementar su corrección.
  • El equipo ha experimentado con herramientas de código abierto en el pasado para probar su seguridad, y encontró el ejercicio divertido y educativo. Sin embargo, ellos y las partes interesadas desean incorporar profesionales de seguridad para realizar pruebas exhaustivas y rigurosas con regularidad.

Aplicación del enfoque y los resultados

  • El equipo interactúa con un asociado de Microsoft bien conocido especializado en seguridad en la nube para analizar las pruebas de penetración.
  • El equipo de la carga de trabajo firma una declaración del trabajo para el servicio de pruebas de penetración trimestral, que combina una prueba de caja blanca al año para garantizar una mayor confianza.
  • El equipo de consultoría también ayuda al equipo de desarrollo a instalar antimalware en los equipos de desarrollo y los agentes de compilación autohospedados.
  • Estas medidas proporcionan al equipo de la carga de trabajo y a las partes interesadas un alto grado de confianza en cuanto a que estarán preparados para las amenazas en evolución en el futuro.

Llegar a estar actualizado y mantenerse al día

Manténgase al día en cuanto a las actualizaciones, la aplicación de revisiones y las correcciones de seguridad. Evalúe continuamente el sistema y mejórelo en función de los informes de auditoría, las pruebas comparativas y las lecciones de las actividades de pruebas. Considere la posibilidad de utilizar la automatización, según corresponda. Use la inteligencia sobre amenazas con tecnología de análisis de seguridad para la detección dinámica de amenazas. A intervalos regulares, revise la conformidad de la carga de trabajo con los procedimientos recomendados del ciclo de vida de desarrollo de seguridad (SDL).

Al adoptar este enfoque, podrá asegurarse de que la posición de seguridad no se degrade con el tiempo. Al integrar hallazgos de ataques reales y actividades de pruebas, podrá combatir a los atacantes que mejoran y aprovechan continuamente nuevas categorías de vulnerabilidades. La automatización de las tareas repetitivas reduce la posibilidad de un error humano que pueda crear riesgos.

Las revisiones de SDL aportan claridad sobre las características de seguridad. SDL puede ayudarle a mantener un inventario de los recursos de la carga de trabajo y sus informes de seguridad, que abarcan el origen, el uso, las debilidades operativas y otros factores.

Desafío de Contoso

  • Los desarrolladores responsables de escribir los trabajos de Apache Spark son reticentes a la hora de introducir cambios y, por lo general, toman un enfoque "si no está roto, no lo corrijas" para los trabajos. Esto significa que es probable que los paquetes de Python y R que incorporen a la solución queden obsoletos con el transcurso del tiempo.

Aplicación del enfoque y los resultados

  • Una vez que el equipo de la carga de trabajo revisa los procesos internos, observan que hay un riesgo de que haya componentes sin las revisiones aplicadas en la carga de trabajo si no se aborda el proceso para mantener los trabajos de Spark.
  • Los equipos adoptan un nuevo estándar para los trabajos de Apache que requiere que todas las tecnologías que se usen se deben actualizar con regularidad junto con sus programaciones periódicas de actualización y revisión.
  • Al abordar esta brecha en los controles de seguridad, es menos probable que la carga de trabajo en su conjunto esté en riesgo de tener componentes sin las revisiones aplicadas. El uso de servicios PaaS y SaaS también ayuda a limitar su exposición a este riesgo, ya que no tienen que aplicar revisiones a la infraestructura subyacente.

Comprobación de conocimientos

1.

¿Qué tipo de ejercicio puede ayudarle a identificar brechas en los controles de seguridad?

2.

Verdadero o falso: el equipo de la carga de trabajo debe controlar todas las pruebas de seguridad.

3.

¿De qué manera estaba en riesgo Contoso con su antiguo proceso para los trabajos de Apache Spark?