Aktivujte MFA pre každého používateľa a pre administrátorov vyžadujte hardvérový bezpečnostný kľúč. Tento krok bude mať okamžitý dopad na vaše poznámky a projekty. Liam, CTO spoločnosti Evernote, to vníma ako správny prvý krok pre tímy s 3 až 300 zamestnancami, ktorý vašej bezpečnosti poskytne praktický základ.

Škáľujte bezpečnosť pomocou jednoduchého, opakovateľného postupu. Automatizujte proces pripojenia a odpojenia, presadzujte princíp najnižších privilégií a centralizujte presadzovanie pravidiel, aby ste mohli rásť bez zbytočného trenia. Z automatizácie profitujú firmy aj startupy; trh odmeňuje tímy, ktoré sa pohybujú rýchlo bez toho, aby obetovali bezpečnosť. Neškálovateľné prístupy vás spomaľujú a investori chcú vidieť riadenie, ktoré sa dá škálovať, poznamenáva Liam, CTO spoločnosti Evernote.

Medzi základné nástroje patrí anti-malware s detekciou založenou na správaní, integrovaná detekcia a reakcia koncového bodu (EDR) a šifrovanie pri prenose aj v úspore. Spoliehať sa na jedného poskytovateľa pre všetky služby je nebezpečné; diverzifikujte miesto, kde ukladáte dáta, a zabezpečte suverenitu dát. Pravidelné kontroly malvéru, jasné postupy pre riešenie incidentov a rýchle záplatovanie skracujú čas, ktorý strávite odstraňovaním následkov incidentu. Možnosť aktualizovať systémy v priebehu hodín, nie dní, udrží vašu firmu schopnú sústrediť sa na hodnotu, nie na hasenie požiarov.

Medzi praktické kroky, ktoré môžete implementovať v tomto štvrťroku, patrí oddelenie zariadení správcu od zariadení používateľa, presadzovanie zdieľania dát len v nevyhnutných prípadoch a vyžadovanie MFA pre hostí. Liam, CTO spoločnosti Evernote, vás tiež žiada, aby ste si vytvorili zoznam vysoko rizikových aktív, zmapovali toky dát a mesačne preverovali prístupy. Vaši investori očakávajú transparentnosť ohľadom rizík a plánov obnovy, preto zverejnite dokument o reakcii na incidenty, ktorý si môže prečítať vaša podpora a zákazníci. Používajte to ako živý kontrolný zoznam, a nie ako zaprášenú politiku.

Merajte vplyv pomocou jasných metrík a rýchlych ukážok. Sledujte čas zadržania incidentu, čas zdržania malvéru a SLA obnovy. Ak váš tím spolupracuje ako netflix, automatizujte odvolanie prístupu a presadzujte riadenie prístupu na základe rolí, aby ste udržali malú plochu útoku. Váš tím sú študenti bezpečnosti, ktorí používajú praktické nástroje na ochranu vašich dát, a cieľom je, aby sa bezpečnosť stala bežnou schopnosťou, na ktorú sa vaše podnikanie spolieha, a nie zaťažujúci zaškrtávací štvorček.

Praktické opatrenia pre nástup, kontrolu prístupu a pripravenosť na incidenty

Implementujte trojkrokovú politiku nástupu s jedinečnými účtami, MFA a rolami najnižších privilégií plus automatické zrušenie prideľovania. Ak chcete škálovať bezpečnosť bez toho, aby ste spomalili podnikanie, automatizujte prideľovanie a odstraňovanie zdrojov, aby ste zachovali zdroje a znížili manuálne odovzdávanie. Tento prístup poskytuje istotu zákazníkom a znižuje medzery v prístupe. Nedávne prípady ukazujú, že väčšina incidentov bola spôsobená nesprávnymi konfiguráciami a zastaranými tokenmi a tímom trvalo príliš dlho, kým zareagovali. Manuálne schvaľovania spomaľujú nástup.

Na udržanie tohto programu dbajte na ľudské faktory a pestujte kultúru bezpečnosti, ktorá zdôrazňuje automatizáciu a zodpovednosť. Zhromaždené dôkazy z nedávnych prípadov ukazujú, že väčšina incidentov pramení z medzier v oblasti nástupu a kontroly prístupu. Kopírujeme šablóny z livongo a googles IAM šablón, aby sme zostali v súlade s osvedčenými postupmi. Ak chcete konať rozhodne, tento prístup by znížil potenciálne riziko a uistil zákazníkov. Chceli by sme pripomenúť produktovým a predajným tímom, že bezpečnosť podporuje obchodné výsledky, a nie spomaľuje rast.

  • Nástup a správa identít

    • Centralizujte prideľovanie zdrojov prostredníctvom IdP; vyžadujte jedinečné účty; presadzujte MFA; SSO; automatické odstraňovanie prideľovania; udržiavajte aktuálnu prístupovú maticu.
    • Zdôvodnené schválenie a kritériá úspešnosti/neúspešnosti pre rozšírený prístup; vyhýbajte sa nákladným ad-hoc zmenám a udržiavajte audítorskú stopu.
    • Riešte odpor integráciou zabezpečenia do vývojárskych pracovných postupov a časových plánov produktov; zapojte predaj, aby ste minimalizovali trenice počas uvádzania produktov na trh.
    • Udržiavajte knižnicu šablón zásad pripravených na kopírovanie, aby ste urýchlili zaškolenie a zabezpečili konzistentné kontroly medzi tímami.
    • Zabezpečte, aby bolo ukončenie nástupu zhromažďované ako formálny proces, aby ste predišli osirelým kontám a zachovali zdroje pre ďalší cyklus.

  • Riadenie prístupu a monitorovanie

    • Používajte predvolene minimálne privilégiá; oddeľte účty správcu; implementujte systém núdzového prístupu s zdokumentovanými schváleniami a preskúmaním po incidente; monitorujte udalosti prístupu takmer v reálnom čase.
    • Poskytnite dodávateľom časovo obmedzený alebo rozsahovo obmedzený prístup; automatické odvolanie na konci zmluvy; zaznamenávajte všetky pokusy a upozorňujte na anomálie.
    • Zverejňujte štandardizované audítorské stopy a posielajte ich do SIEM; štvrťročne vykonávajte analýzu medzier a podľa toho upravujte zásady.
    • Zabezpečte správu naprieč produktmi a podnikmi, aby ste udržali konzistentné bezpečnostné postavenie a znížili odpor voči zmenám.

  • Pripravenosť a reakcia na incidenty

    • Vytvorte príručky pre bežné scenáre; zahrňte šablóny internej a externej komunikácie, aby ste zainteresovaným stranám pripomenuli úlohy.
    • Definujte úrovne závažnosti a rámec eskalácie úspešnosti/neúspešnosti; špecifikujte kroky na obmedzenie, odstránenie a obnovenie; zabezpečte, aby boli príručky otestované.
    • Štvrťročne vykonávajte cvičenia na simulovanom prostredí; zahrňte najnovšie informácie o hrozbách; merajte čas na detekciu a reakciu; podporujte neustále zlepšovanie.
    • Používajte príručku inšpirovanú spoločnosťou Livongo pre automatizáciu: signály, upozornenia, odvolanie poverení a rýchle obnovenie, aby sa skrátil čas zotrvania.

Zriaďovanie a zrušenie účtov: zefektívnite životný cyklus pre 3 – 300 zamestnancov

Odporúčanie: implementujte automatizované zriaďovanie prepojené s poskytovateľom identity pomocou SCIM a vynútite 24-hodinové okno na zrušenie zriaďovania, aby ste odstránili prístup po skončení úlohy. To umožňuje aktualizácie v reálnom čase, znižuje problémy a pomáha vám zvládať riziko v rozsahu, na ktorom záleží všetkým zúčastneným.

Prehľad: využite údaje a zásady ľudských zdrojov a začnite s tromi skupinami zamestnancov – zamestnancami, dodávateľmi, stážistami – a mapujte ich prístup tak, ako sa vyvíjajú ich úlohy. Nedávne udalosti ukazujú, že aj malé oneskorenia môžu vytvoriť riziko, takže chcete technicky spoľahlivé kontroly, ktoré rastú s vaším rozsiahlym portfóliom aplikácií. V budúcnosti by ste mali šifrovať dáta počas prenosu a v pokoji a zdokonaliť spôsob, akým monitorujete prístup cez rozhranie vášho prostredia. Toto myslenie im uľahčuje dosiahnutie súladu a audítorom preskúmanie stopy.

  • Definujte tri skupiny zamestnancov (typy zamestnancov) a mapujte prístup k ich požiadavkám na úlohu a akémusi minimálnemu oprávneniu v kritických systémoch.
  • Použite SCIM na automatizáciu vytvárania, aktualizácií a odstraňovania účtov naprieč všetkými aplikáciami; zabezpečte, aby atribúty zostali synchronizované s informačným kanálom HR, čo znižuje odchýlku a urýchľuje onboarding.
  • Prepojte zriaďovanie s udalosťami HR a vyžadujte registráciu MFA pred udelením prístupu; to pomáha riešiť zneužívanie poverení v najskoršej fáze.
  • Vynútite minimálne privilégium prostredníctvom RBAC a ABAC tam, kde je to vhodné; zosúlaďte skupiny s kontrolami, ktoré riadia citlivé údaje a systémy.
  • Zrušte zriaďovanie do 24 hodín po ukončení; automaticky odvolajte tokeny, deaktivujte relácie a vymažte prístup naprieč aplikáciami SaaS a zariadeniami.
  • Pracujte v reálnom čase so streamami udalostí a upozorneniami na nezvyčajné vzorce zriaďovania alebo anomálie prístupu; riešte problémy skôr, ako sa znásobia.
  • Naplánujte si pravidelné kontroly prístupu: mesačne pre menšie tímy, štvrťročne pre väčšie, so zameraním na vysoko rizikové systémy a údaje, ku ktorým pristupujú.
  • Udržujte auditnú stopu: zaznamenávajte, kto udelil prístup, kedy a v akom systéme; exportujte správy pre audítorov a kontroly súladu, aby ste splnili požiadavky.
  • Riešte okrajové prípady, ako sú dodávatelia, predajcovia a získané subjekty; aplikujte rovnaké pravidlá životného cyklu na každý typ externého prístupu.
  • Chráňte aktíva šifrovaním pri prenose a v pokoji; vynucujte šifrovanie na reláciu a silnú autentifikáciu naprieč službami; budujte odolnosť voči výpadkom súvisiacim s DDoS na identifikačnej vrstve s limitmi rýchlosti a prepnutím pri zlyhaní.

    • Nedávne pozorovania ukazujú, že disciplinovaný prístup sa škáluje s rastom tímov a startupy ako Wayve demonštrujú, ako sa prísny proces prideľovania práv rýchlo vypláca. Poskytuje vám jasný prehľad o prístupe, uľahčuje správu ich povolení a pomáha vám sledovať riziko pri prechode od malého tímu k väčšiemu. Udržiavaním technicky zdravého procesu a zdokonaľovaním kontrol si zabezpečíte jednoduchú cestu k dodržiavaniu súladu, kým sa stanete vyspelejšou organizáciou.

    Autentifikácia: MFA, prístupové kľúče a postupy obnovy

    Urobte z prístupových kľúčov predvolenú metódu autentifikácie pre všetkých zamestnancov, pričom pre administrátorský a vysoko rizikový prístup sa vyžaduje MFA. Tento prístup znižuje únavu pri prihlasovaní a absolútne posilňuje odolnosť voči phishingu, čím sa dokazuje identifikačná cesta novej generácie, za ktorú sa môžu investori postaviť. Rastie dôvera a demonštruje sa rámec, ktorý funguje pod povrchom mimo hesiel. Urýchlime ich zavedenie, prosím, naprieč tímami, pričom cieľom je 85 – 95 % prijatie prístupových kľúčov do 60 dní. Pre investorov to komunikuje overenú, škálovateľnú pozíciu pod vedením, ktoré zvýšilo latku pre bezpečnosť.

    MFA zostáva povinná pre zariadenia alebo scenáre, kde sa prístupové kľúče nedajú použiť; zabezpečte, aby každý administrátor a kritický zdroj vyžadoval druhý faktor. Použite poskytovateľa, ktorý podporuje prístupové kľúče FIDO2 odolné voči phishingu a je súčasťou koordinovaného rámca. To vám umožní sprísniť zavádzanie a merať prijatie; monitorujte pokrok pomocou jasných metrík. Programy v štýle Livongo ukazujú, ako škálovať bezpečnosť bez zvýšenia trenia. Cieľom je udržať vysokú účinnosť a zároveň znížiť únavu.

    Postupy obnovy musia byť rýchle a bezpečné: vydávajte kódy obnovy, vyžadujte záložné overenie cez sekundárny kanál a smerujte cez schválenú cestu resetovania administrátorom. Vždy existuje riziko sociálneho inžinierstva; zmiernite ho pomocou prísnych kontrol identity, limitov rýchlosti a overenia nedávnej aktivity. Dokumentujte a testujte tieto kroky štvrťročne, aby ste odhalili medzery a overili, či sú v súlade so súčasným modelom hrozieb. Zabezpečte, aby používatelia vedeli, ako iniciovať obnovu bez toho, aby odhalili citlivé údaje.

    Monitorovanie a metriky usmerňujú rast a zodpovednosť: miera aktivácie, žiadosti o obnovu, neúspešné pokusy o prihlásenie a čas na obnovenie. Plán postupného zavádzania na nasledujúcich 90 dní stanovuje míľniky a investorom môžete ukázať jasný dopad porovnaním vektorov pred/po. Tím by mal zverejňovať týždenné výsledkové karty a posielať súhrny zainteresovaným stranám, pričom by mal mať vždy na zreteli bezpečnosť a koordinovať sa s riadením rolí a poskytovateľov. Fungovalo to v pilotných projektoch a môže sa to škálovať, keď sa zosúladíte so svojím rámcom a riadením.

    MetódaSilné stránkySlabé stránkyČas prijatiaPrípad použitia
    Prístupové kľúče (FIDO2)Odolný voči phishingu; plynulé prihlásenieVyžaduje sa pripravenosť zariadenia; počiatočné nastavenie4 – 6 týždňovPrimárna metóda pre všetkých používateľov
    MFA (TOTP/Push)Široko podporované; flexibilné zálohovanieRiziko únavy; phishing s kódmi2 – 3 týždneZáloha pre prístupové kľúče; administrátori
    Postupy obnovyOdolný prístup po strateMožné riziko sociálneho inžinierstva, ak sú slabé kontroly1 – 2 týždneCesty obnovy účtu

    Riadenie prístupu: RBAC, skupiny a princíp najmenších privilégií v rozsahu

    Access Governance: RBAC, groups, and least-privilege at scale

    Implementujte model RBAC s ôsmimi základnými rolami, priraďte každú rolu k úzko definovanému súboru povolení a štandardne povoľte prístup iba k tom, čo presahuje tieto povolenia. Vytvorte skupiny, ktoré odrážajú pracovné pozície – redaktori obsahu, výskumníci, špecialisti na export dát a prevádzkové pozície – a priraďte členov k primárnej skupine s obmedzenými výnimkovými skupinami. Tým sa zabezpečí robustná kontrolná vrstva a pozornosť sa sústredí na riziká, čím sa zabezpečí minimálny rozdiel medzi tým, čo niekto môže robiť, a tým, čo si jeho práca vyžaduje. Samotný mechanizmus politiky presadzuje tieto hranice a zmeny sa zaznamenávajú pri každej požiadavke na získanie prístupu, takže neskoršie audity môžu overiť, kto o čo žiadal a prečo. Treba monitorovať akékoľvek posuny v privilégiách v rámci skupín.

    Uplatňujte princíp najnižších privilégií udeľovaním povolení na úrovni skupiny, a nie na používateľa, a implementujte aktiváciu presne včas pre zriedkavé udalosti. Zaveďte interval rotácie, pri ktorom sa členstvo v citlivých skupinách kontroluje týždenne a zmeny sa sledujú v bezpečnom protokole. Používajte automatizované testy na overenie, či každá rola obsahuje iba minimálnu množinu aktív, ktoré potrebuje, a štvrťročne vykonávajte testy, ktoré simulujú skutočné pracovné scenáre v priestorovo špecifických karanténach. Po každej významnej zmene vykonajte cielený test na potvrdenie zosúladenia, čím sa zníži únava v kontrolnej rovine a zabráni sa šumu vo výstrahách, pričom sa zachová jasné vlastníctvo. Toto však vyžaduje jasné cesty eskalácie, aby niekto mohol rýchlo schváliť výnimky, keď si to vyžaduje obchodná potreba.

    Úvahy o škálovaní: ako tímy rastú, definujte hranice oblastí pre skupiny a udržujte maticu RBAC kompaktnú – najlepším postupom je obmedziť role na 12 – 15 a používať vnorenie skupín s mierou. Vo veľkých organizáciách si udalosti, ako je prijímanie zamestnancov alebo akvizícia, vyžadujú vopred definovaný návod: dočasne pridajte hosťovskú alebo zmluvnú rolu s časovo obmedzeným prístupom a potom ju po skončení udalosti zrušte. Modely správy prístupu podobné Netflixu kladú dôraz na automatizované rozhodnutia o politike a jasné vlastníctvo; tu vlastní politiku niekto z oddelenia bezpečnosti a priame schválenia pochádzajú od vedúceho oddelenia alebo vlastníka údajov. Všetky aktíva majú stavovú značku a sú obsiahnuté v rámci bezpečnej politiky, čo znižuje šum a známky rozdielov. Táto štruktúra tiež pomáha udržiavať ich zarovnanie počas rýchlych zmien, aby boli minimálne narušené.

    Metriky a signály: sledujte prístup podľa aktíva a oblasti, vytvárajte mesačné správy zobrazujúce, ktoré skupiny majú povolenia, počet priamych žiadostí o prístup a vzorce v rámci pracovných pozícií. Ak by mal používateľ získať nové práva, zabezpečte súhlas od manažéra a overte nárok pomocou jednoduchého testu voči skutočnému použitiu. Robustný prístup obsahuje limity pre šum vo výstrahách a používa automatizované zosúladenie na minimalizáciu manuálnej práce, čím sa predchádza treniciam počas prijímania zamestnancov alebo auditov. V praxi môžu tímy prijať mechanizmus politiky, ktorý poskytuje jasnú líniu dohľadu od identity k zdroju a mal by byť schopný reagovať, či je povolenie legitímne alebo nie.

    Zabezpečenie zariadení a koncových bodov: správa mobilných zariadení a presadzovanie politík

    Implementujte jednotnú politiku správy mobilných zariadení s presadzovaním na strane servera na všetkých zamestnaneckých zariadeniach. Automaticky zaregistrujte každé zariadenie, vyžadujte silné prístupové kódy a šifrovanie zariadenia a blokujte neschválené aplikácie pomocou celofiremnej listiny povolených aplikácií, aby ste minimalizovali riziko od prvého dňa. Politiky musia byť vymožiteľné naprieč zariadeniami.

    Povoľte monitorovanie a upozorňovanie na základe automatizácie, aby ste zachytili nedodržiavanie, keď k nemu dôjde. Používajte podmienený prístup na karanténu priestoru alebo obmedzenie prístupu pre zariadenia s jailbreakom alebo zariadenia, ktoré nedodržiavajú predpisy, a na diaľku pretláčajte zmeny pravidiel do všetkých zaregistrovaných zariadení.

    Pre tímy v počiatočnej fáze implementujte základ s prioritou automatizácie, so základnými kontrolami a zásadami rýchlych výhier na rýchly postup pri zachovaní súladu.

    Zachyťte dôkazy z každej udalosti a kontroly pozície na podporu rozhodnutí o náprave. Usporiadajte upozornenia podľa rizika, zostavte stručnú časovú os dôkazov a zahrňte ju do bezpečnostných konverzácií na urýchlenie reakcie.

    Vytvorte robustný základ, ktorý sa škáluje od 3 do 300 zamestnancov: začnite so základnými zásadami pre konfiguráciu zariadení, pridávanie aplikácií na biely zoznam a ochranu dát v pokoji, potom v prípade potreby rozšírte na kontajnerizáciu a VPN pre každú aplikáciu.

    Zdokumentujte zásady, pracovné postupy a výsledky vo svojej brožúre, aby ste zosúladili vedenie a investorov; prepojte problémy s krokmi nápravy a aktualizujte zdroje informácií z ulice vo svojom modeli rizika pre pripravenosť na certifikáciu.

    Konverzácia s tímom by mala prebiehať neustále: zdieľajte metriky hodnoty, preukážte výhodu centralizovaného systému MDM a použite dôkazy z monitorovania na preukázanie zlepšení. Absolútne sa zaviažte k prístupu založenému na dôkazoch a zameranému na budúcnosť a zahrňte váženie rizika inšpirované Markowitzom na stanovenie priority upozornení. Tento dopredu orientovaný postoj pomáha vyvážiť rýchlosť a riziko.

    Viditeľnosť a odozva: audit, upozornenia a príručky incidentov

    Nastavte centralizovaný auditný uzol, ktorý zhromažďuje protokoly overovania, signály anti-malvéru, udalosti prístupu a telemetriu produktu, a potom ho spárujte s automatizovanými upozorneniami, ktoré upozornia kanál pohotovosti do niekoľkých minút od porušenia pravidiel.

    Stanovte si základné hodnoty pre známe dobré správanie a vykonávajte hodnotenia každý štvrťrok; vykonávajte ročný externý audit na overenie kontrol a namapujte predchádzajúce konfigurácie na aktuálny stav kontroly pre kontinuitu.

    Vytvorte príručky incidentov s jasným vlastníctvom, kritériami detekcie, krokmi obmedzenia, opatreniami na odstránenie a kontrolnými zoznamami na obnovenie. Precvičujte ich mesačne, informujte zainteresované strany o prehľade výsledkov a archivujte predchádzajúce príručky, aby ste informovali o ročných prehľadoch.

    Navrhnite upozornenia na vyváženie rýchlosti a kvality signálu: kategorizujte podľa kritickosti, pripojte kontext (identita používateľa, stav overenia, hostiteľ, stav anti-malvéru) a smerujte do správneho okna pohotovosti. nezaplavujte tímy hlukom; nemali by ste sa spoliehať na jediný prah.

    Merajte to, na čom záleží: berte metriky MTTD a MTTR, mieru upozornení a podiel upozornení spôsobených známym dobrým správaním. Použite jednoduchý dashboard na poskytnutie prehľadu na prvý pohľad, aby boli všetci na rovnakej vlne.

    či už vyvíjate produkty v počiatočnej fáze alebo škálujete do podniku, uplatňujte stratégie, ktoré zodpovedajú fáze: ľahká automatizácia a príručky pre počiatočnú fázu, formálne hodnotenie rizika a ročné audity pre vyspelé produkty.

    Osvojte si mentalitu zameranú na obranu a nasaďte slušnú riadiacu rovinu, ideálne jeden nástroj alebo spôsob zjednotenia dátových zdrojov. Používajte disciplínu podobnú astronautovi pri cvičeniach, zabezpečte presadzovanie overovania a riadenia prístupu a informujte tímy o tom, ako príručky znižujú dopad, keď nastanú prichádzajúce incidenty.