Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come rafforzare il comportamento e la conformità usando i principi di Zero Trust, come parte del Microsoft [modello di adozione della sicurezza]((security-adoption-model.md).
Questo scenario aziendale consente di ottenere il risultato seguente:
Migliorare continuamente il comportamento di sicurezza e la conformità
In qualità di leader aziendale, è necessario soddisfare il proprio dovere fiduciario per proteggersi dai rischi per la sicurezza. La protezione deve coprire gli eventi imprevisti di sicurezza dalle minacce in continua evoluzione e soddisfare i requisiti di conformità alle normative, spesso con le stesse risorse limitate.
Questo scenario aziendale fa parte del modello di adozione strutturato che consente di raggiungere obiettivi aziendali usando un approccio di sicurezza moderno basato su principi Zero Trust.
Queste linee guida consentono all'organizzazione di migliorare il comportamento di sicurezza e mantenere la conformità identificando continuamente i rischi, assegnando priorità alla correzione e migliorando la protezione nell'intera organizzazione.
Funzionamento di queste linee guida
Questo articolo fa parte di un modello di adozione strutturato che connette la strategia di sicurezza all'implementazione:
Iniziare con uno scenario aziendale come questo per definire il risultato che si vuole ottenere.
Identità delle discipline di sicurezza applicabili a questo scenario.
Usare queste discipline per definire la strategia, l'architettura, i processi e i controlli necessari per lo scenario. Esaminare ogni disciplina per comprendere cosa deve essere pianificato, progettato e implementato nell'organizzazione.
Usare soluzioni tecniche per implementare tali requisiti utilizzando le tecnologie Microsoft, applicando controlli trasversali ai pilastri tecnologici come identità e dati.
Questo approccio garantisce che il miglioramento e la conformità del comportamento di sicurezza vengano mantenuti continuamente come parte dell'architettura Zero Trust complessiva, anziché come sforzo separato.
Perché il comportamento di sicurezza richiede un nuovo approccio
Le organizzazioni devono affrontare due sfide intersecanti: la difesa da minacce sempre più sofisticate, rispettando al contempo gli obblighi normativi e di conformità.
- Comportamento di sicurezza: il comportamento di sicurezza rappresenta la capacità complessiva dell'organizzazione di prevenire, rilevare e rispondere alle minacce informatiche. Un comportamento di sicurezza forte è misurabile, quantificabile e continuamente migliorato man mano che i rischi e le tecnologie si evolvono.
- Conformità alle normative: la conformità alle normative richiede l'adesione a leggi, normative e standard del settore, ad esempio GDPR, CCPA, HIPAA e requisiti di residenza dei dati. La conformità non è un impegno una tantum, ma richiede controlli, prove e disciplina operativa sostenuti.
È possibile soddisfare entrambi questi requisiti con:
- Un approccio sistematico all'implementazione dei controlli di sicurezza
- Funzionalità predefinite che spesso superano i requisiti di conformità
- Strumenti integrati che riducono la complessità e i costi operativi
- Monitoraggio e reportistica dei progressi misurabili
Valore aziendale
Il valore di migliorare continuamente il comportamento di sicurezza e la conformità trae vantaggio dall'intera organizzazione, ma è diverso per i diversi ruoli.
| Roles | Valore |
|---|---|
| Leadership aziendale | Operare con la sicurezza integrata che si allinea ai risultati aziendali senza introdurre attriti non necessari. Ridurre il tempo di ripristino dopo gli eventi imprevisti di sicurezza rispettando i requisiti normativi e legislativi. Limitare l'impatto finanziario, legale e della reputazione dagli errori di sicurezza e conformità. |
| Ruoli della tecnologia | Stabilire un comportamento di sicurezza standardizzato con conformità automatizzata, costi prevedibili e attrito operativo ridotto rispettando i requisiti tecnologici e di sicurezza. |
| Ruoli di sicurezza | Ottenere maggiore visibilità e controllo sui rischi dell'organizzazione. Aumentare progressivamente la difficoltà degli attacchi per ridurre il ritorno sull’investimento (ROI) degli attaccanti e limitare il raggio d’impatto e le superfici di attacco esposte. |
Allineare le discipline di sicurezza
Le discipline di sicurezza rappresentano le aree strutturate di responsabilità necessarie per offrire questo scenario aziendale.
- Le discipline di pianificazione e supervisione definiscono la strategia, la governance e il coordinamento tra organizzazioni necessarie.
- Le discipline della strategia tecnica definiscono le funzionalità architetturali, operative e di controllo necessarie.
- Le discipline operative assicurano che i controlli di sicurezza rimangano efficaci nel tempo tramite monitoraggio, risposta e miglioramento continuo. Rilevano un uso improprio, rispondono alle minacce e migliorano il comportamento di sicurezza in corso.
Discipline di pianificazione e controllo
| Discipline | Action |
|---|---|
| Strategia, integrazione e governance | Stabilire processi di governance che definiscono il comportamento di sicurezza e gli obiettivi di conformità, le priorità e la tolleranza ai rischi. Impostare obiettivi misurabili e tenere traccia dello stato di avanzamento verso la maturità della sicurezza. |
| Architettura di sicurezza end-to-end | Implementare controlli di sicurezza e monitoraggio nell'intero patrimonio tecnologico. Integrare questi controlli in una visualizzazione unificata per i proprietari e i responsabili degli asset e progettare architetture protette per impostazione predefinita, supportando i requisiti di conformità. |
Discipline della strategia tecnica
| Discipline | Action |
|---|---|
| Accesso e identità | Assicurarsi che l'organizzazione abbia un approccio intenzionale e efficace alla gestione dell'accesso agli asset. Implementare controlli di sicurezza basati sull'identità che supportano i principi Zero Trust e offrono visibilità sui modelli di accesso. |
| Sicurezza dell'infrastruttura | Applicare in modo coerente ed efficace il monitoraggio e l'applicazione di controlli di sicurezza in tutti gli asset dell'infrastruttura nel settore tecnico, inclusi tutti i cloud, i data center locali e i sistemi legacy. Stabilire, monitorare e applicare baseline sicure e standard di configurazione in sistemi operativi, dispositivi, applicazioni e altri componenti comuni. |
| Sicurezza dello sviluppo | Applicare in modo coerente ed efficace controlli di sicurezza nel software esistente e in uno sviluppo nuovo. Integrare e automatizzare l'inclusione dei controlli di sicurezza nei processi di sviluppo. Stabilire processi per correggere rapidamente i difetti di sicurezza rilevati in qualsiasi momento durante il ciclo di vita del software, incluso dopo il rilascio. |
| Sicurezza dei dati | Applicare in modo coerente ed efficace controlli di sicurezza per garantire garanzie di sicurezza e privacy per gli asset di dati che archiviano proprietà intellettuale, segreti commerciali, dati regolamentati e altri dati sensibili. Implementare controlli che soddisfano i requisiti normativi e proteggersi dalla perdita di dati. |
| Sicurezza OT e IoT | Assicurarsi che l'organizzazione abbia un approccio intenzionale e efficace per i dispositivi OT/IoT che interagiscono con i processi fisici e il mondo fisico. |
Discipline operative
| Discipline | Action |
|---|---|
| Secop | Assegnare priorità al monitoraggio e alla mitigazione in base agli incidenti di sicurezza più frequenti e con il maggiore impatto, utilizzando le informazioni sulle minacce provenienti da SecOps e da fonti esterne. Migliorare continuamente le funzionalità di rilevamento e risposta. |
| Gestione del comportamento di sicurezza | Valutare, misurare e migliorare continuamente il comportamento di sicurezza nell'organizzazione. Implementare strumenti come Microsoft Security Exposure Management e Secure Score per tenere traccia dello stato di avanzamento. Classificare in ordine di priorità la correzione in base al rischio e all'impatto aziendale. |
Pilastri tecnologici necessari
I pilastri della tecnologia rappresentano le principali funzionalità di sicurezza Microsoft che supportano questo scenario aziendale.
| Pilastro | Gestione dell'esposizione alla sicurezza | Sicurezza avanzata di GitHub | Priva |
|---|---|---|---|
| Identità | Microsoft Security Exposure Management identifica i rischi correlati all'identità, inclusi account privi di privilegi, credenziali non aggiornate e percorsi di attacco che usano errori di configurazione delle identità. | GitHub Advanced Security rileva le credenziali e le chiavi API codificate in modo permanente nel codice sorgente per ridurre il rischio legato all'identità causato dall'esposizione delle credenziali. L'integrazione con i controlli di accesso al repository garantisce che solo gli utenti autorizzati possano modificare il codice sensibile. | Microsoft Priva si integra con Microsoft Entra per tenere traccia delle identità che accedono ai dati personali e supporta le richieste di diritti degli interessati per aiutare gli utenti a esercitare il controllo sulle informazioni personali. |
| Endponti | Microsoft Security Exposure Management aggrega le vulnerabilità degli endpoint, le configurazioni errate e i rischi di esposizione, fornendo una visualizzazione unificata del comportamento di sicurezza dei dispositivi. | NA | Microsoft Priva monitora la gestione dei dati personali sugli endpoint e consente di identificare i rischi per la privacy dai dati archiviati nei dispositivi degli utenti. |
| Networks | Microsoft Security Exposure Management esegue il mapping delle superfici di attacco di rete, identifica i servizi esposti ed evidenzia i gap di segmentazione della rete che potrebbero abilitare lo spostamento laterale. | NA | Microsoft Priva consente di identificare quando i dati personali si spostano attraverso i limiti di rete e supportano le valutazioni del trasferimento dei dati per la conformità transfrontaliera. |
| Applicazioni | Microsoft Security Exposure Management individua vulnerabilità dell'applicazione, configurazioni rischiose e shadow IT per proteggere la superficie di attacco dell'applicazione. | L'analisi del codice (SAST) in GitHub Advanced Security identifica le vulnerabilità di sicurezza e gli errori di codifica prima del rilascio, riducendo il numero di difetti sfruttabili nelle applicazioni distribuite. Le campagne di sicurezza e Copilot Autofix aiutano i team a porre rimedio ai problemi su larga scala, favorendo l’applicazione coerente degli standard di sicurezza delle applicazioni. | Microsoft Priva individua i dati personali nelle applicazioni Microsoft 365 e fornisce visibilità sull'uso delle informazioni personali all'interno degli strumenti di collaborazione. |
| Data | Microsoft Security Exposure Management identifica i rischi di esposizione dei dati, inclusi file sovradivisi, dati sensibili in posizioni vulnerabili e percorsi di attacco correlati ai dati. | L'analisi dei segreti rileva le credenziali esposte, i token e le stringhe di connessione nei repository, mentre la protezione push consente di evitare nuove perdite prima del commit. In questo modo si riduce il rischio di accesso ai dati tramite segreti persi e supporta la conformità ai requisiti di protezione dei dati. | Microsoft Priva offre funzionalità incentrate sulla privacy, tra cui l'individuazione dei dati personali, la gestione dei rischi per la privacy, l'automazione delle richieste dei diritti degli interessati e la gestione del consenso. |
| Infrastruttura | Microsoft Security Exposure Management offre visibilità sulle vulnerabilità dell'infrastruttura cloud e locale, sulle configurazioni errate e sulle lacune di conformità negli ambienti multicloud. | L'analisi delle dipendenze e la verifica delle dipendenze identificano le vulnerabilità note nei componenti open source e nei file di configurazione prima della distribuzione dell'infrastruttura o delle applicazioni, riducendo i rischi ereditati e supportando il comportamento dell'infrastruttura sicuro per impostazione predefinita. | Microsoft Priva estende la visibilità della privacy ai dati archiviati nell'infrastruttura cloud, consentendo alle organizzazioni di mantenere la conformità alla privacy negli ambienti multicloud. |
| Intelligenza artificiale | Microsoft Security Exposure Management usa l'intelligenza artificiale per modellare i percorsi di attacco, assegnare priorità ai rischi in base alla sfruttabilità e all'impatto aziendale e fornire raccomandazioni intelligenti per migliorare la postura di sicurezza. | GitHub sicurezza avanzata analizza codice assistito dall'intelligenza artificiale e scritto dall'uomo, aiutando i team a mantenere gli standard di sicurezza man mano che l'intelligenza artificiale accelera lo sviluppo. La correzione assistita dall'intelligenza artificiale accelera la correzione delle vulnerabilità senza ignorare i controlli di sicurezza. | Microsoft Priva supporta la conformità alla privacy per i carichi di lavoro di intelligenza artificiale aiutando le organizzazioni a comprendere come vengono usati i dati personali negli scenari di training e inferenza dell'intelligenza artificiale. |