Planowanie gotowości zabezpieczeń
Staraj się wdrażać i wdrażać praktyki zabezpieczeń w zakresie podejmowania decyzji i operacji dotyczących architektury przy minimalnych tarciu. |
---|
Jako właściciel obciążenia masz wspólną odpowiedzialność za ochronę zasobów w organizacji. Utwórz plan gotowości na zabezpieczenia, który jest zgodny z priorytetami biznesowymi. Doprowadzi to do dobrze zdefiniowanych procesów, odpowiednich inwestycji i odpowiednich rachunków. Plan powinien zapewnić organizacji wymagania dotyczące obciążenia, które również współdzielą odpowiedzialność za ochronę zasobów. Plany zabezpieczeń powinny uwzględniać strategię niezawodności, modelowania kondycji i samozabezpieczenia.
Oprócz zasobów organizacyjnych obciążenie musi być chronione przed atakami włamań i eksfiltracji. Wszystkie aspekty Zero Trust i triad CIA powinny być uwzględniane w planie.
Wymagania funkcjonalne i niefunkcjonalne, ograniczenia budżetowe i inne zagadnienia nie powinny ograniczać inwestycji w zabezpieczenia ani osłabiać gwarancji. Jednocześnie należy zaprojektować i zaplanować inwestycje w zabezpieczenia z uwzględnieniem tych ograniczeń i ograniczeń.
Przykładowy scenariusz
Firma Contoso Supermarket nigdy wcześniej nie miała programu lojalnościowego dla klientów, ale zdecydowała, że ma sens biznesowy, aby go zbudować. Funkcje NFC na telefonach klientów będą używane jako rozwiązanie w punkcie sprzedaży zarówno do kasy samoobsługowej, jak i kasjer- asystowane wyewidencjonowania. Kiosk z rejestracją samoobsługową przy wejściu do sklepu i wyjściu umożliwi klientom rejestrację w programie. Rozwiązanie do przetwarzania zaplecza będzie hostowane w chmurze, ale projekt nie został jeszcze sfinalizowany.
Optymalizowanie zabezpieczeń za pomocą segmentacji
Użyj segmentacji jako strategii, aby zaplanować granice zabezpieczeń w środowisku obciążenia, procesach i strukturze zespołu w celu odizolowania dostępu i funkcji.
Strategia segmentacji powinna być oparta na wymaganiach biznesowych. Można ją oprzeć na krytycznym znaczeniu składników, podziale pracy, obawach dotyczących prywatności i innych czynnikach.
Będziesz w stanie zminimalizować problemy operacyjne, definiując role i ustalając jasne linie odpowiedzialności. To ćwiczenie pomaga również zidentyfikować poziom dostępu dla każdej roli, szczególnie w przypadku kont o krytycznym znaczeniu.
Izolacja pozwala ograniczyć narażenie poufnych przepływów tylko na role i zasoby, które wymagają dostępu. Nadmierne narażenie może przypadkowo prowadzić do ujawnienia przepływu informacji.
Wyzwanie firmy Contoso
- W duchu prostoty zespół historycznie faworyzował podejścia o niskich obciążeniach. Te podejścia obejmowały współlokowanie różnych składników obciążeń w celu zmniejszenia obszaru zarządzania i organizowania różnych osób w grupach zabezpieczeń w celu uproszczenia zarządzania dostępem.
- Niestety, stażysta qa, który otrzymał szeroki dostęp do nowego środowiska wdrażania ze względu na ich członkostwo w grupie zabezpieczeń, był przedmiotem ataku inżynierii społecznej, który doprowadził do naruszenia ich konta.
- Osoba atakująca mogła naruszyć poufność nie tylko tego wdrożenia, ale także wszystkich innych uruchomionych na tej samej platformie aplikacji.
Stosowanie podejścia i wyników
- Na szczęście naruszone środowisko hostuje wczesny test prototyp obciążenia; podczas projektowania nowego systemu programu lojalnościowego klienta dla systemu punktów sprzedaży, więc systemy produkcyjne nie zostały naruszone.
- Zespół ds. zabezpieczeń obciążeń planuje zainwestować czas i pieniądze w celu zaprojektowania obciążenia w celu odizolowania systemów obsługujących dane osobowe , takie jak adres i adres e-mail klientów, od tych składników, które nie (takie jak kupony dla produktów); projektowanie kontroli dostępu, które są potrzebne do poznania i just-in-time (JIT) tam, gdzie to możliwe; izolować sieci zarówno w ramach obciążenia, aby chronić inne składniki, jak i z powrotem do firmy Contoso w celu ochrony organizacji.
- Dzięki segmentacji kompromis może nadal mieć wpływ na aspekty obciążenia, ale będzie zawarty promień wybuchu.
Efektywne reagowanie na zdarzenia
Upewnij się, że istnieje plan reagowania na zdarzenia dla obciążenia. Użyj struktur branżowych, które definiują standardową procedurę operacyjną na potrzeby gotowości, wykrywania, zawierania, ograniczania ryzyka i działań po zdarzeniu.
W czasie kryzysu należy unikać zamieszania. Jeśli masz dobrze udokumentowany plan, role odpowiedzialne mogą skupić się na wykonywaniu bez marnowania czasu na niepewne działania. Ponadto kompleksowy plan może pomóc w zapewnieniu spełnienia wszystkich wymagań korygujących.
Wyzwanie firmy Contoso
- Zespół ds. obciążeń zaczyna formalizować kanały pomocy technicznej sprzedawców detalicznych, kanały pomocy technicznej klienta i techniczne rotacje na potrzeby eskalacji pomocy technicznej i przestojów.
- Nie zajęli się zabezpieczeniami specjalnie w tych planach. Nie wiedzą również, co firma Contoso, ponieważ organizacja oferuje pomoc techniczną.
Stosowanie podejścia i wyników
- Zespół ds. obciążeń współpracuje z zespołem ds. zabezpieczeń firmy Contoso, aby zrozumieć wymagania dotyczące zgodności z danymi piI tego rodzaju, zarówno z perspektywy organizacji, jak i z perspektywy zgodności zewnętrznej.
- Zespół tworzy plan wykrywania zabezpieczeń, ograniczania ryzyka i eskalacji, w tym ustandaryzowane wymagania dotyczące komunikacji dla zdarzeń.
- Zespół ds. obciążeń czuje się teraz tak samo komfortowo, jak w przypadku gotowości na zdarzenia zabezpieczeń, co ma miejsce w przypadku pomocy technicznej w zakresie niezawodności. Planują przechodzenie do szczegółów zdarzeń związanych z bezpieczeństwem w celu suchego uruchomienia i uściślenia planu przed rozpoczęciem pracy z systemem.
Codify secure operations and development practices (Kodryfikowanie bezpiecznych operacji i praktyk programistycznych)
Definiowanie i wymuszanie standardów zabezpieczeń na poziomie zespołu w całym cyklu życia i operacjach obciążenia. Staraj się dążyć do spójnych rozwiązań w zakresie operacji, takich jak kodowanie, zatwierdzenia bram, zarządzanie wydaniami oraz ochrona i przechowywanie danych.
Definiowanie dobrych praktyk w zakresie zabezpieczeń może zminimalizować zaniedbania i obszar powierzchni pod kątem potencjalnych błędów. Zespół będzie optymalizować wysiłki, a wynik będzie przewidywalny, ponieważ podejścia są bardziej spójne.
Obserwowanie standardów zabezpieczeń w czasie umożliwi zidentyfikowanie możliwości poprawy, w tym automatyzacji, co usprawni dalsze wysiłki i zwiększy spójność.
Wyzwanie firmy Contoso
- Po przygotowaniu się do reagowania na zdarzenia zespół ds. obciążeń decyduje, że musi zainwestować czas i nakład pracy, aby zapobiec problemom w pierwszej kolejności.
- Obecnie nie mają na uwadze żadnego konkretnego bezpiecznego cyklu projektowania i planują korzystanie z tych samych procesów, które były używane w poprzednich projektach.
Stosowanie podejścia i wyników
- Chociaż to obciążenie nie będzie przechowywać wysoce poufnych danych, takich jak informacje o karcie kredytowej, zespół traktuje dane swoich klientów pod względem danych i zdaje sobie sprawę, że istnieją lokalne i federalne przepisy, które muszą być przestrzegane dla typów danych, które będą przechowywane.
- Zespół inwestuje w uczenie się o aktualnych standardowych branżowych praktykach związanych z opracowywaniem i operacjami oraz przyjmuje środki, których wcześniej brakowało.
- Zespół dzieli się również swoimi naukami z zespołem ds. zabezpieczeń firmy Contoso, aby upewnić się, że najlepsze rozwiązania są wdrażane w całym przedsiębiorstwie.