主席先生,如果周边死亡怎么办?

我们看到了一段时间的趋势,我相当肯定自己经历它:企业应用程序通过某种云提供,比以往任何时候,员工都与日常工作中的云互动。与此同时,办公室工作的传统习惯融化 - 支持家庭办公室,移动工作和始终放在设备上。当之前我们可以期待大多数应用程序从服务器室运行,从办公楼或校园的办公楼桌面上访问......

经典的周边防火墙
主席先生,如果周边死亡怎么办?

如今,我们看到了更灵活的访问模式:

灵活的访问模式周长防火墙
主席先生,如果周边死亡怎么办?

甚至到了工作设备甚至可以由公司尚未发出的那一点,而是人们私下拥有的设备。他们通过托管应用程序安全地访问公司数据。在后几个小时,他们玩游戏和流音乐和视频。

这是在现在发生了很长一段时间,并且当我们允许移动设备在企业网络之外时,我们允许移动设备同步电子邮件和他们的日历时可能开始。同样,它发生在我们允许在周边运行的应用程序时,从外部和商业伙伴的员工从外部乘坐员工访问。

今天,我们看到在一个弹性灵活的模型中传播的应用程序,传统上在数据中心运行,现在从私有云提供服务,并且可能会根据需求和所需容量移动到公共云端和背部。 Office 365或Google和Salesforce等软件服务使得可以随时从云中消耗整个应用程序 - 从随时随地消耗整个应用程序。

保护 - 检测 - 回复

传统上,随着周边的安全思想,显然,很多努力和资源都在保护公司网络内的资产。如果来自外部想要的访问(VPN等),则必须经过严格检查,即使这样,可能不允许从遥控器中访问皇冠珠宝。传统的概念“inside = good”, “outside = bad”任何事情都不会离开。

从此“protect” - 中心思维不会帮助我们在周边死亡时,有两种额外的方面是行业现在正在推动。事实上,不仅自昨天以来,而且很长一段时间,这些额外的方面应该在你的安全计划中,从第一天开始:检测和回应。

这“Detect” and the “Respond”部分变得更加重要,因为必须监控和检查外部周边内部和后方的外部的运动部件,并检查合规性和健康。如果某些东西不对,您希望在损坏完成之前,您希望将其拆除从尽可能快地访问公司资产,并且您的企业秘密被盗 - 并销售。

探测ing and Responding earlier brings the infamous “time-to-detection” time for attackers in a network down from >150 days to … something hopefully far smaller.

条件访问

你从上面的图片看, 没有更多的周边。客户端可以存在任何地方 - 在您控制或云中的数据中心中可以存在应用程序。架构的变化使其难以解决传统的控制点和传统防火墙。我们珍贵的网络和资产周围的周边(蓝色)正在消失。那么,我们如何修复周边死亡?

Microsoft通过条件访问权限执行现代访问控制,以及访问上下文的概念:

  • 身份:谁正在访问服务?我们的员工?伙伴?他们在哪个部门工作?
  • 设备:他们访问该服务的哪些设备?我们知道它及其健康状况吗?
  • 应用程序:他们尝试了什么应用程序?该应用程序是否管理?
  • 地点:设备上的用户在哪里?在已知的网络 - 或允许的地区/国家?
  • 服务:他们访问了哪些资产?他们对我们的皇冠珠宝或商品服务或营销材料感兴趣吗?

访问上下文的评估导致执行的控制:授予访问,阻止访问或执行多因素认证(MFA)或管理或域加入设备的执行。实际上,这将访问上下文变为新的周边。

访问上下文应用服务位置
主席先生,如果周边死亡怎么办?

这些控件在Microsoft World中,可以应用于与Microsoft的云标识平台集成的所有服务和应用程序。如上所述,传统“inside = good”, “outside = bad”或交通流模式“outside -> inside is bad”正在离开。相反,我们更全面地查看访问上下文。管理设备上的企业用户访问内部服务以及云中的SaaS服务可能是可以的 - 但是一个有自己的笔记本电脑从欧洲以外访问我们的文件存储库的合作伙伴可能是......不期望。这就是我们现在试图预防。您的安全姿势有哪些效果?

  1. 分类: 确保您知道您的资产是什么以及您的资产。并通过适当的访问上下文保护它们 - >控制定义。
  2. 教育: 确保您的安全人员了解传统思维“inside = good”, “outside = bad”不再足够了。
  3. 学: 了解您的业务如何打算运行其宝贵的应用程序 - 以及如何如何缠绕它周围的访问上下文检查。
  4. 提升: 确保您可以收集适当的访问上下文洞察力,以微调您的规则集并学习违规行为。
  5. 控制: Define what “controls”你需要。通常,一切都以MFA始于身份验证,并继续使用设备管理/设备证明以限制数据溢出/数据泄漏。

所有这些都满足了每个保护 - 检测 - 响应行动的某些方面。

基于行为的异常检测

随着云的出现来到我们手中的另一个方面和技术,帮助检测和回应。通过能够收集令人难以置信的数据,将它们存储并将计算能力应用于它们,可以得出很多结论,即人们可以从如何,何处以及用户访问和需要所有公司资产。通过收集用户登录数据并成功访问资源,安全分析师和数据科学家可以看到用户如何工作的模式,他们访问的数据以及他们使用的应用程序。使用此基线,可以检测通常的工作模式和警报管理员的异常或完全关闭访问:

  • 当Alice突然访问莫斯科的服务时,虽然她从未在那里工作过,她的办公室和家庭在柏林。
  • 当Peter访问许多不同的文件服务器时,他以前从未访问过,则在快速连续中。
  • 当Emily在早上凌晨3点拨打VPN时,她以前从未这样做过。
  • 如果Sophie将大量的文档下载到她的电脑,后来将通过电子邮件发送给其他人。

这些只是一种基于行为的异常检测有助于防止数据泄漏或数据泄漏发生的一些例子。这并不意味着上面提到的所有操作都应自动修复,并应拒绝访问。艾米丽拨打凌晨3点可能是合法的,因为她的第二天天早上的方法和她在那个重要的里程碑上睡觉了–你可能不想阻止艾米莉…

但是,上述行动中的每一个都可能是某人凭证受到损害或机器感染或雇员转向本组织的凭证的第一个迹象。学习用户(或机器)行为的这些变化有助于调查,检测和响应这些事件,如果适当,最终会降低糟糕的家伙在这里时的平均发现时间。

在你走开之前…

结束这篇文章,如果有一套给DOS,我相信你应该跟进,这是这些:

  • 看见 阅读更多关于保护检测 - 响应的信息 在您可信赖的IT安全来源。他们可以用不同的方式称之为(略微),但概念并不新鲜。
  • 如果您是Office 365客户或使用Azure广告供应用, 看看有条件的访问.
  • 查看和评估使用保护 - 检测响应(P-D-R)。如果您在这些领域之间分配的33%,我鼓励您查看您的安全策略,并查看如果您想调整该领域。我并不是说三个相等的部分拆分是对你做的最好的事情 - 但它是一个思想引人注目的运动和现实检查你的资源和努力
  • 行为 - Analytics您可以在贵公司/您所在的国家/地区使用的东西吗?网络,软件和云的哪些可信赖的供应商提供这些功能?他们来了 许多形式和因素.
标签

相关文章

发表评论

本网站使用AkisMet减少垃圾邮件。 了解如何处理评论数据.