Beschleunigen der Risikominderung (Secure Future Initiative)

Pfeilername: Beschleunigen der Reaktion und Behebung
Mustername: Beschleunigung der Schwachstellenbehebung

Kontext und Problem

Sicherheitsrisiken sind eine unvermeidbare Realität in komplexen digitalen Umgebungen. Organisationen müssen schnell und systematisch agieren, um Risiken zu minimieren, doch viele kämpfen mit langsamer Koordination, manueller Triage und inkonsistenten Abhilfemaßnahmen.

Herkömmliche Patchingmodelle und ältere Berichtsstrukturen verzögern häufig Antworten, insbesondere wenn Sicherheits- und IT-Teams in Silos arbeiten. Währenddessen nutzen Bedrohungsakteure ungepatchte Systeme und Fehlkonfigurationen aus, um Berechtigungen zu erhöhen, sich seitlich zu bewegen oder Daten zu exfiltrieren.

Lösung

Um diese Herausforderungen zu bewältigen, hat Microsoft ein umfassendes Programm zur Verwaltung von Sicherheitsrisiken implementiert, das sich auf automatisierungs- und schnellere Offenlegung konzentriert. Diese Bemühungen wurden als Teil der beschleunigten Reaktions- und Sanierungssäule der Secure Future Initiative (SFI) durchgeführt. Insgesamt unterstützt dieses Programm frühzeitige Erkennung, konsistente Priorisierung und beschleunigte Zeit zur Entschärfung (TTM) und ist besonders effektiv für Probleme mit hohem Schweregrad. Tatsächlich ermöglichte es Microsoft, TTM für 73% von Sicherheitsrisiken zu reduzieren, während der Umfang des Programms erweitert wird.

Zu den wichtigsten Komponenten des Microsoft-Ansatzes gehören:

  • Automatisieren der Erkennung und Triage von Sicherheitsrisiken mithilfe von Microsoft Defender Vulnerability Management und internen KI-Tools

  • Erstellen computerlesbarer Offenlegungen von Sicherheitsrisiken über CsAF-Dateien (Common Security Advisory Framework)

  • Veröffentlichung der CVE-Meldungen für Cloud-Dienstanfälligkeiten schneller, einschließlich Fällen, in denen kein Kunden-Patch erforderlich ist

  • Bereitstellung von gezielten Warnungen über Azure Service Health und das Microsoft 365 Admin Center mit umsetzbarer Anleitung auf Mandanten- oder Abonnement-Level.

  • Zentrales Verwalten von Vorfällen, Kundenbindung und Offenlegung durch unternehmensübergreifende Workflows.

  • Ausstellen von staatlichen Bedrohungsbenachrichtigungen (NSNs), um betroffene Organisationen über gezielte oder erfolgreiche Angriffe zu informieren

Beratung

Organisationen können ein ähnliches Muster mit den folgenden Aktionen anwenden:

Anwendungsfall Empfohlene Aktion Ressource
Einrichten eines robusten Sicherheitsrisikoverwaltungsprogramms
  • Ernennen von Eigentümern, die für die Erkennung, Priorisierung und Behebung verantwortlich sind
  • Sicherstellen konsistenter Ressourcensichtbarkeit und Konfigurationsbasispläne
  • Abstimmung von Sicherheits- und IT-Workflows von der Ermittlung bis zur Lösung
 Leitfaden zur Vorfallbereitschaft
Automatisieren Sie die Erkennung und Triage
  • Verwenden von Tools wie Microsoft Defender Vulnerability Management zum Scannen von Systemen und Priorisieren von CVEs
  • Integration in Bedrohungserkennungsfeeds, um aktiv ausgenutzte Sicherheitsrisiken zu kennzeichnen
  • Verwenden Sie die risikobasierte Bewertung, um sich auf die sicherheitsanfälligkeiten zu konzentrieren, die am wichtigsten sind
 Microsoft Defender-Sicherheitsrisikoverwaltung
Standardisieren und Beschleunigen der Kommunikation
  • Veröffentlichen Sie CVEs auch dann, wenn keine Kundenaktion erforderlich ist, da Transparenz Vertrauen schafft.
  • Verwenden von CSAF-Dateien und der Sicherheitsupdates-API von Microsoft, um den Computer-zu-Computer-Verbrauch zu ermöglichen
  • Erstellen von Warnungsworkflows im Azure Service Health und Microsoft 365 Admin Center zum Erreichen von Vorfallsantwortern
 Microsoft Security Response Center
Erstellen von Sichtbarkeit und Rechenschaftspflicht
  • Überwachen und Bericht erstatten über Zeit bis zur Entschärfung (TTM), Alterungsanfälligkeiten und Patch-Abdeckung
  • Entwerfen Sie Dashboards, um Fortschritte nachzuverfolgen und Verzögerungen zu kennzeichnen.
  • Implementieren interner Eskalationspfade für Sicherheitsrisiken mit hoher Priorität
 Verwalten von Vorfällen in Microsoft Defender
Bereiten Sie sich auf die Aktivitäten des Nationalstaats vor
  • Verstehen Sie das NSN-Programm von Microsoft und seien Sie bereit zu antworten, wenn Sie benachrichtigt werden.
  • Konfigurieren des Benachrichtigungsroutings, damit SOC- und Sicherheitsteams sofort Bedrohungserkennung erhalten
  • Lesen Sie regelmäßig die NSN-Anleitungen in Microsoft-Portalen und Digitalen Verteidigungsberichten
 Bericht über Bedrohungen des Nationalstaats
Kontinuierlich verbessern
  • Verwenden sie rote Teamberichte, Rezensionen nach dem Vorfall und Kundenfeedback, um Reaktionsprozesse zu verfeinern
  • Suchen Sie nach Möglichkeiten zum Automatisieren von Workflows, reduzieren Sie Übergaben und verbessern Sie die Benachrichtigungsadressierung.
 Untersuchen und Beantworten mithilfe von Microsoft Defender XDR

Ergebnisse

Vorteile

  • Größeres Bewusstsein für Cloud-Sicherheitsrisiken durch erweiterte CVE-Publikationen und Empfehlungen darüber, ob eine Kundenkorrektur erforderlich ist

  • Erhöhte Transparenz und Vertrauen durch erweiterte CVE-Daten (CWE/CPE-Tagging) und automatisierte Warnungsübermittlung zusammen mit erweiterter Offenlegung von Sicherheitsrisiken

  • Schnellere und umsetzbare Kommunikation über kundenorientierte Produktportale

  • Schnellere Entschärfungszeitpläne durch Automatisierung und KI, die den Lebenszyklus von Sicherheitslücken zu Patches optimieren.

  • Proaktive Verteidigung, die erweiterte Bedrohungserkennung verwendet, um frühere Erkennung und priorisierte Reaktion zu unterstützen

Kompromisse

  • Priorisieren der Reaktion auf Sicherheitsrisiken basierend auf potenziellen Auswirkungen, Bedrohungsaktivitäten und erforderlicher Kundenaktion

  • Festlegen von Investitionen in automatisiertes Scannen, Klassifizieren und Workflow-Orchestrierung, um die schwerwiegendsten Sicherheitsrisiken als höchste Priorität zu beheben

  • Im Fokus stehen menschliche und organisatorische Faktoren bei der Neugestaltung von Prozessen zur Vereinheitlichung der Sicherheits-, IT- und Kommunikationsteams.

Wichtige Erfolgsfaktoren

Verfolgen Sie die folgenden KPIs, um den Fortschritt zu messen:

  • Durchschnittliche Zeit zur Minderung von Sicherheitsrisiken mit hohem Schweregrad (TTM)

  • Prozentsatz der in SLA adressierten CVEs

  • Warnungskonfigurationsstatus für Cloudabonnements

Zusammenfassung

Organisationen können erheblich verbessern, wie schnell sie auf bekannte Sicherheitsrisiken reagieren. Mit Automatisierung, erweiterter Kommunikation und integrierten Sicherheitsrisikoworkflows können Teams die Gefährdung einschränken, bekannte Lücken schneller schließen und die erforderliche Resilienz aufbauen, um aktive Bedrohungen zu bewältigen.

Beginnen Sie heute mit der Beschleunigung Ihrer Sicherheitsrisikoantwort – bevor Angreifer die Verzögerung ausnutzen.

  • Last updated on