Полная версия
Цифровая системная архитектура
Компоненты архитектуры кибербезопасности
Надлежащая и эффективная архитектура кибербезопасности, по мнению внутренних аудиторов, состоит из трех основных компонентов. Это люди, процессы и инструменты, которые работают вместе для защиты активов организации. Архитектура безопасности должна руководствоваться политикой безопасности, чтобы эффективно согласовывать эти компоненты.
Определение ожиданий от архитектуры безопасности, стратегии внедрения и стратегии обеспечения соблюдения Политики безопасности – это декларация, которая определяет, как каждый объект взаимодействует друг с другом, какие действия разрешено выполнять каждому объекту, уровень безопасности, необходимый для системы, и меры, которые должны быть выполнены, если эти протоколы безопасности не выполняются.
Следующие компоненты составляют успешную и хорошо спланированную архитектуру безопасности:
– Реагирование на угрозы, аварийное восстановление, настройки, создание и обслуживание учетных записей, а также наблюдение за кибербезопасностью – все это области, в которых требуется соответствующее руководство.
– Управление идентификацией. То есть те, которые подпадают под сферу действия архитектуры безопасности, и были выбраны для включения и исключения.
– Пограничный контроль и доступ.
– Проверка и корректировка архитектуры.
– Обучение.
Особенности архитектуры кибербезопасности
Рассмотрим некоторые из ключевых особенностей архитектуры кибербезопасности в следующих пунктах:
– Сетевые элементы
Сетевые узлы: включая компьютеры, шлюзы, маршрутизаторы, модемы, сетевые платы, концентраторы, ретрансляторы, мосты, коммутаторы и т.д.Сетевые протоколы связи: HTTP, HTTPS, IMAP, FTP, DNS, DHCP, TCP/IP. Сетевые соединения, связывающие узлы с применением определенных протоколовСетевая топология узлов, включая двухточечную, цепную, кольцевую и гибридную.
– Элементы безопасности
Устройства кибербезопасности, такие как системы обнаружения вторжений или системы защиты от вторжений, брандмауэры, устройства шифрования или дешифрования и т.д.Программное обеспечение для кибербезопасности, включая антивирусное, шпионское и антивредоносное ПО. Обеспечение безопасности сетевых протоколов связи, таких как IMAP, HTTPS, HTTP, FTTP, DNS, DHCP, TCP / IP и т.д.Внедрение надежных методов шифрования, таких как сквозное шифрование, блокчейн и полное отсутствие знаний о конфиденциальности.
– Структуры и стандарты безопасности:
Архитектурная основа кибербезопасности такие стандарты, как ISO IEC серии 27000 и NIST (RMF) Risk Management Framework SP 800—37. Технические стандарты, касающиеся выбора программного обеспечения для обеспечения кибербезопасности.
– Политики и процедуры безопасности
Это политики и процедуры безопасности, которые разрабатываются в вашей компании и применяются на практике. В идеале архитектура кибербезопасности должна быть определена и имитируема с использованием стандартного отраслевого языка архитектурного моделирования, согласно Форуму по кибербезопасности (например, SysML, UML2). Хотя мы вкратце проанализировали особенности архитектуры кибербезопасности, также важно понимать ключевые этапы, связанные с архитектурой безопасности.
Этапы разработки структуры и процедуры архитектуры безопасности следующие:
– Оценка архитектурных рисков: В этом разделе оценивается влияние критически важных бизнес-активов, опасностей и последствий уязвимостей и угроз безопасности на вашу фирму.
– Проектирование и архитектура безопасности: На данном этапе проектирование и архитектура служб безопасности разрабатываются таким образом, чтобы помочь в защите активов вашей организации, а также способствовать достижению целей в области подверженности бизнес-рискам.
– Внедрение служб кибербезопасности: и процедуры эксплуатируются, внедряются, отслеживаются и управляются на этапе внедрения. Архитектура построена таким образом, чтобы гарантировать, что правила и политики безопасности, решения по архитектуре безопасности и оценки рисков будут полностью реализованы и эффективны на протяжении всего времени.
– Операции и мониторинг: Управление угрозами и уязвимостями, а также управление угрозами используются для мониторинга, надзора и управления рабочим состоянием, а также для изучения влияния безопасности системы.
Архитекторы кибербезопасности особенно искусны в выявлении потенциальных опасностей. Они знают достаточно о сетевых и компьютерных системах, чтобы разрабатывать стратегии архитектуры безопасности, применять их в действии и отслеживать их успех. Это было все об архитектуре кибербезопасности с подробным описанием компонентов, функций и этапов архитектуры безопасности.
Архитектура кибербезопасности – это стратегический дизайн процессов сетевой безопасности организации, принципов проектирования, правил взаимодействия приложений и элементов системы для защиты от вредоносных атак и компонентов системы. Хорошо продуманная архитектура кибербезопасности должна обеспечивать гибкость для поддержки операционных рисков бизнеса в постоянно меняющемся ландшафте киберугроз.
Необходимо подумать о факторах риска любой современной организации – гибридные рабочие среды, цифровая трансформация и постоянно развивающиеся угрозы – все это способствует увеличению площади атаки.
В дополнение к и без того сложному ландшафту безопасности злоумышленники сегодня имеют доступ к сложным инструментам, разработанным для обхода барьеров традиционных инструментов безопасности. Именно здесь появляется архитектура кибербезопасности – система, объединяющая множество принципов для решения проблем безопасности современного ландшафта безопасности бизнеса.
Архитекторы кибербезопасности оценивают ваш существующий процесс обеспечения безопасности и элементы управления, чтобы найти пробелы и уязвимости для их устранения, прежде чем они превратятся в дорогостоящие инциденты. Хорошо продуманная архитектура – ключ к улучшению положения, которое сводит к минимуму угрозы, укрепляет доверие клиентов и способствует росту.
Ключевые цели и задачи архитектуры кибербезопасности
Ключевая цель архитектуры кибербезопасности – минимизировать риск, создаваемый угрозами безопасности, и защитить организацию от вредоносных атак. Внедрение системы безопасности в вашу сквозную деятельность помогает достичь этой цели.
Безопасность данных
Когда дело доходит до кибербезопасности, предотвращение лучше, чем лечение. Большинство организаций не внедряют меры безопасности до тех пор, пока их не вынудят к этому, часто после взлома.
Превентивные меры не гарантируют 100% защиты от нарушений безопасности. Однако для минимизации случаев взломов и экономии затрат, связанных с их минимизацией и сдерживанием, лучше всего использовать упреждающий, а не реактивный подход.
Большинство организаций используют базовые меры безопасности, такие как брандмауэры, защита паролем и решения для защиты от вредоносных программ. Хотя эти элементарные меры являются строительными блоками первой линии защиты, они не справляются со сложными угрозами.
Надежная архитектура безопасности помогает вам активно управлять инцидентами на протяжении всего их жизненного цикла – обнаружения, предотвращения, смягчения последствий и расследования. Такие меры безопасности, как нулевое доверие, встроенные в каждый этап жизненного цикла разработки организации, помогают разработчикам внедрять инновации и создавать безопасную среду. Кроме того, это помогает администраторам безопасности определять правильные технологии, процессы, меры и учитывать все более сложный ландшафт угроз.
Управление состоянием безопасности данных: Как это работает и варианты использования
– Масштабируемость
Мир кибербезопасности – это бесконечная игра в кошки-мышки. Злоумышленники постоянно ищут способы использовать уязвимости в инфраструктуре безопасности, в то время как ИТ-команда исправляет пробелы.
Эффективная архитектура кибербезопасности помогает выявлять и исправлять уязвимости, помогая командам безопасности реагировать на инциденты с помощью правильных протоколов. ИТ-отдел предоставляет им инструменты и знания, необходимые для реагирования на взломы в режиме реального времени с использованием автоматизации и интеллектуальных средств обнаружения угроз до того, как они заразят ваши системы.
По мере того, как организация масштабируется за счет увеличения числа сотрудников, процессов и инструментов, это только усложняет ИТ-инфраструктуру и создает новые пробелы.
Хорошо спроектированная архитектура безопасности объединяет разрозненные инструменты и процессы для синхронизации критических событий и управления реагированием на угрозы. Хорошо синхронизированная система закладывает основу масштабируемой инфраструктуры для оптимизации операционных процессов и повышения эффективности.
– Соответствие требованиям к данным
Наконец, большинство организаций, обрабатывающих конфиденциальные данные клиентов, должны соблюдать правила безопасности данных и конфиденциальности. Архитектуры кибербезопасности помогают вам внедрять средства контроля безопасности в системы, которые хранят или обрабатывают данные в соответствии с законами о защите данных.
Компоненты архитектуры кибербезопасности
Архитектуру кибербезопасности образуют три основных элемента – люди, процессы и инструменты. Они взаимосвязаны и взаимозависимы друг от друга, чтобы функционировать как единое целое.
– Люди
Это ваши пользователи или сотрудники в рамках различных функций, на которых возложены определенные роли и обязанности. Процессы и инструменты не работают сами по себе, поэтому справедливо будет сказать, что человеческий компонент является наиболее важным аспектом золотого треугольника.
Отдельные пользователи, прошедшие надлежащую подготовку и оснащенные технологиями, могут стать вашим самым надежным средством защиты от взломов. В то же время неэффективные методы обеспечения безопасности и недостаточная осведомленность о безопасности приводят к потенциальным катастрофам.
Несмотря на потенциальную силу компонента «Люди», теоретически реализовать его на полную мощность не так просто. Большинство людей сопротивляются изменениям и не воспринимают обучение всерьез, поскольку недооценивают его ценность. Чтобы противостоять этому, руководство должно предлагать интуитивно понятные решения для обеспечения культуры, ориентированной на безопасность.
– Процессы и политики
Компонент процесса объединяет людей и инструменты, задавая вопрос «как». Это серия шагов, используемых для достижения бизнес-цели.
Комплексный процесс должен определять, как каждая роль вписывается в конкретный рабочий процесс, детализировать сквозные этапы выполнения деятельности, предлагать соответствующие учебные материалы, иметь систему проверки и систему показателей оценки успеха.
Кроме того, она должна четко детализировать ожидания, устанавливать крайние сроки и визуализировать рабочие процессы путем сопоставления процессов.
Политики являются важнейшим вспомогательным компонентом процессов. Это набор ваших деловых практик и предлагаемых действий, который определяет вашу приверженность безопасности данных.
Политики безопасности должны быть прозрачными, простыми для понимания и отвечать на вопрос, почему они приняты. Обновляйте политики так часто, как это необходимо, чтобы отражать каждое незначительное изменение.
– Инструменты
Для эффективного выполнения процессов людям нужны инструменты и технологии. Технология как ресурс стала для отраслей центром повышения операционной эффективности. Но не менее важен и правильный выбор инструментов безопасности. Если инструмент не подходит для вашего уникального варианта использования, он может стать скорее головной болью, чем вспомогательным средством.
Чтобы извлечь максимум пользы из этого компонента, обсудите цели внутри компании и оцените, какой поставщик соответствует им лучше всего. Постарайтесь понять проблемы и способы их решения, прежде чем делать инвестиции.
Можно проводить учебные занятия по правильному использованию инструмента или использовать встроенные в приложение решения для автоматизации учебных занятий и повышения производительности инструмента.
– Сеть
С ростом внедрения облачных технологий сеть, пожалуй, является наиболее важным компонентом архитектуры кибербезопасности. Она состоит из:
Сетевые узлы, такие как маршрутизаторы, ретрансляторы, мосты, коммутаторы, модемы, серверы печати, сетевые интерфейсные платы (NIC) и многое другое
Протоколы безопасности, такие как брандмауэры, системы EDR (обнаружения конечных точек и реагирования на них), IRS (системы реагирования на инциденты), антивирусные решения, решения для обнаружения угроз и многое другое
Протоколы связи, такие как HTTP (протокол передачи гипертекста, HTTPS (безопасный протокол передачи гипертекста), FTP (протокол передачи файлов), SMTP (простой протокол передачи почты), IMAP (протокол доступа к интернет-сообщениям), DHCP (протокол динамической настройки хоста) и DNS (система доменных имен)
Сетевые топологии, такие как шина, звезда, кольцо, сетка, дерево, гибрид и другие
– Фреймворки безопасности
Хотя этот компонент не всегда необходим, он может быть обязательным в зависимости от типа обрабатываемых вами данных. Такие фреймворки безопасности, как HIPAA, PCI DSS, ISO 27001, GDPR, NIST и другие, помогут внедрить передовые методы обеспечения безопасности и предоставят рекомендации по управлению поведением.
Как спроектировать архитектуру кибербезопасности
Создание архитектуры кибербезопасности – это многоступенчатый процесс.
– Основные принципы
Основные принципы – это, по сути, концепции, основанные на передовых практиках обеспечения безопасности. Это строительные блоки вашей архитектуры. Эти пять принципов:
Глубокая защита: Как мера безопасности, глубокая защита не зависит от одного механизма, а сочетает в себе множество инструментов и процессов. К этим процессам относятся многофакторная аутентификация, системы управления конечными точками, брандмауэры, шифрование данных и многое другое. Настройте свои процессы и системы таким образом, чтобы создать надежный барьер для неавторизованных пользователей
Принцип наименьших привилегий: Возможно, наиболее распространенный элемент управления безопасностью, он основан на концепции минимизации данных. Чтобы реализовать это, предоставьте своим пользователям минимальный объем доступа к системам, критически важным приложениям или учетным записям, необходимым им для выполнения определенной функции. Это не только помогает уменьшить поверхность атаки, но и сводит к минимуму сбои в системе безопасности, такие как случайная утечка данных или кража данных злоумышленниками.
Разделение обязанностей: Также известное как разделение обязанностей (SoD), разделение обязанностей ограничивает права доступа для одного пользователя. Она снижает внутренние угрозы, предоставляя разным пользователям доступ к каждой части системы.
Например, если пользователь A отвечает за обеспечение работоспособности репозиториев кода, пользователь B может управлять операциями редактирования. Аналогично, если одно и то же лицо может запросить доступ и утвердить его, это имеет мало смысла с точки зрения безопасности.
Безопасность по замыслу: Как мы обсуждали ранее, в сфере безопасности предотвращение лучше лечения. Безопасность не должна быть реактивным действием или запоздалой мыслью по поводу инцидента. Вы должны проектировать свои системы и процессы таким образом, чтобы в их основе отражались передовые методы обеспечения безопасности.
Представьте, например, жизненный цикл продукта – требования, дизайн, код, установку, тестирование и запуск. В плохо спроектированной архитектуре безопасность не является приоритетной до последнего этапа. В хорошо спроектированной архитектуре безопасность является частью каждого этапа. Другими словами, безопасность не может быть замком только на последней двери дома, она встроена во всю структуру.
KISS (Keep it simple, stupid): Часто неправильно понимаемая концепция «надежной системы безопасности» заключается в том, чтобы сделать ограждения как можно более сложными. Это не обязательно хороший подход, поскольку в конечном итоге вы можете усложнить задачу системным администраторам и упростить ее для злоумышленников.
Рассмотрим на примере аутентификации. Если вы создаете лабиринт препятствий на каждом этапе доступа к системе или файлу, вы, вероятно, создали разочаровывающую и излишне сложную систему для прошедших проверку подлинности пользователей.
Создание эффективной стратегии кибербезопасности
– Триада безопасности
Триада безопасности, или CIA безопасности, – это фундаментальные принципы: конфиденциальность, целостность и доступность.
Конфиденциальность – это мера конфиденциальности, которая защищает конфиденциальную информацию от несанкционированного доступа. В основном она работает с двумя элементами управления – контролем доступа и шифрованием.
Контроль доступа устанавливает правила и критерии для того, кто может получать доступ к определенному приложению или файлу, управлять ими или редактировать их. Распространенной технологией для реализации контроля доступа является многофакторная аутентификация (MFA). Он проверяет личность пользователя, используя комбинацию того, кем он является, чем он является или что он знает.
Шифрование – это процесс скремблирования данных таким образом, что они становятся нечитаемыми для всех, у кого нет полномочий на чтение. Только авторизованные пользователи могут расшифровывать данные в удобочитаемый формат с помощью ключа.
Integrity (Целостность) фокусируется на обеспечении точности, аутентичности и достоверности данных. Такие инструменты, как цифровые подписи и коды аутентификации сообщений (MAC), сравнивают набор протоколов регистрации с исходным для расследования несанкционированных изменений.
Другим примером является технология блокчейн, при которой доступ распределяется в цифровом виде. Любой может добавить новую информацию, но не сможет изменить уже существующие данные. Используя цифровые подписи, можно проверить, верны ли изменения и кто их внес.
Доступность означает доступность данных для уполномоченных лиц по мере необходимости. Две наиболее распространенные угрозы безопасности доступности данных включают распределенный отказ в обслуживании (DDoS) и атаки программ-вымогателей.
DDoS – это метод, используемый злоумышленниками для нарушения нормальной работы путем переполнения системы трафиком, чтобы система не могла обрабатывать законные запросы.
Программы-вымогатели – это наиболее часто используемый метод, который злоумышленники используют для шифрования файлов и отказа в доступе к ним, пока владелец не заплатит выкуп.
Архитектура кибербезопасности – это стратегическое проектирование всех компонентов безопасности ИТ-инфраструктуры организации. Это включает, но не ограничивается операционным проектированием систем, которые управляют людьми, процессами, продуктами, функциями, услугами, инструментами, технологиями, политиками и процедурами.
Сколько времени требуется для создания архитектуры кибербезопасности
На этот вопрос нет прямого или объективного ответа. Это зависит от таких факторов, как ваша основная цель, требования безопасности, выбранные стандарты безопасности, бизнес-стратегия, тип угроз кибербезопасности и многое другое. На это может уйти от нескольких месяцев до даже лет.
Структура архитектуры безопасности состоит из набора принципов безопасности, руководств и технологий обеспечения безопасности. TOGAF, SABSA и OSA – вот некоторые популярные платформы, которые помогают реализовать планы архитектуры кибербезопасности.
Примеры надежной архитектуры кибербезопасности включают безопасность приложений, управление доступом, предотвращение атак нулевого дня, защиту облачной среды, антивирусные программы, брандмауэры и многое другое.
Безопасность сетевой архитектуры относится к элементам сетевой инфраструктуры, таким как беспроводные маршрутизаторы, протоколы связи и сетевые топологии, которые структурированы таким образом, чтобы защищать системы безопасности от внешних угроз, внутренних угроз и вредоносного ПО.
Мониторинг архитектуры в кибербезопасности
Ниже приведены некоторые шаги, которые организация должна предпринять при мониторинге архитектуры:
– Создайте подробную стратегию мониторинга с политиками для ее резервного копирования. Изучите бизнес-модель и разработайте стратегию мониторинга, которая наилучшим образом соответствует ей.
– Следите за каждой системой. Упускать из виду какую-либо сеть с якобы низким уровнем риска рискованно, потому что хакеры могут воспользоваться таким недостатком. В результате вам нужно будет настроить системы для обнаружения всего, от атак до ненормального поведения системы.
– Отслеживать активность пользователей по целому ряду причин, включая обнаружение и предотвращение злоупотребления привилегиями.
– Устраните беспорядок в вашей системе мониторинга. Удалите все дополнительные функции, поскольку слишком большое количество оповещений может затруднить обнаружение злоумышленника. Другими словами, измените вашу систему мониторинга, чтобы сделать ее более эффективной.
– Изучайте и документируйте любые извлеченные уроки для улучшения усилий организации в этой области.
– Ознакомьтесь рекомендациями по мониторингу облачной безопасности
Принципы и фреймворк архитектуры кибербезопасности
Принцип и структура кибербезопасности включают в себя несколько шагов или политик, которые заключаются в следующем:
1) Управление рисками:
Этот шаг включает в себя разработку и распространение политик относительно того, как вы будете подходить к управлению рисками.
ИТ-отделу необходимо идентифицировать потенциальные риски, расставить приоритеты для наиболее важных рисков и разработать планы действий по борьбе с ними.
Режим управления рисками должен быть представлен и одобрен руководящей структурой. Это важно, потому что они установят новые или дополнительные политики, если парадигма угроз изменится.
2) Безопасность конфигурации:
Настройте свою систему безопасности, удалив ненужные функции и обеспечив отсутствие по периметру каких-либо лазеек, которые могли бы привести к утечке данных.
Конфигурация системы аналогична фундаменту здания; если она небезопасна, это поставит под угрозу все остальное.
3) Безопасная сеть:
Сетевая безопасность является важнейшим компонентом кибербезопасности. Вы должны построить безопасную сеть с ответными мерами для защиты ее от атак.
Начиная с основы архитектуры вашей сети и заканчивая активным мониторингом, вы можете фильтровать угрозы кибербезопасности и предоставлять доступ наиболее безопасным из возможных способов.
Она должна отражать политики, определяющие параметры, в рамках которых может работать ваша организация. Тестирование сетевой безопасности следует проводить на регулярной основе, поскольку оно выявляет слабые места.
4) Предотвращение атак вредоносного ПО:
Любое вредоносное или шпионское ПО должно быть обнаружено и предотвращено от проникновения в системы, поскольку это подвергает вашу сеть риску.
Вы можете подвергнуться этой вредоносной атаке через электронную почту, веб-страницы, системные уязвимости или даже съемное компьютерное устройство. Вот почему вы должны установить антивирусное программное обеспечение по всем направлениям и внедрить политики, требующие регулярного аудита. Кроме того, проверьте, что является распространенным признаком попытки фишинга.
5) Управление привилегиями:
Создавайте политики, ограничивающие доступ к системам безопасности только тем, что необходимо, в зависимости от работы сотрудника. Например, с помощью контроля доступа на основе правил вы можете группировать пользователей на основе правил. Никогда не стоит делиться паролями со всеми, даже если компания небольшая.
6) Политики удаленной работы:
Поскольку иногда необходима работа из дома, крайне важно заранее разработать политики в отношении общего доступа к сети и других проблем безопасности. Например, во время вспышки коронавируса хакеры атаковали предприятия.
7) Обучение и информирование пользователей:
В организации, заботящейся о безопасности, этот принцип вращается вокруг обеспечения культуры безопасности.
Сотрудникам и пользователям необходимы практические знания для защиты данных и систем со своей стороны, поэтому организациям следует регулярно проводить программы обучения и повышения осведомленности.
