Получете информация от експертите в подкаста Набор от ресурси на Microsoft срещу заплахи. Слушайте сега.
CISO Insider: Проблем 3
Добре дошли в третия брой на поредицата CISO Insider. Казвам се Роб Лефертс и ръководя инженерните екипи на Microsoft Defender и Sentinel. Стартирахме тази поредица преди около година, за да споделим прозрения от дискусиите ни с някои от вашите колеги, както и от нашите собствени проучвания и опит в областта на киберсигурността.
В първите два броя разгледахме ескалиращите заплахи, като например рансъмуер, и как лидерите в областта на сигурността използват автоматизацията и възможностите за повишаване на квалификацията, за да отговорят ефективно на тези заплахи в условията на продължаващ недостиг на таланти. Тъй като CISO са изправени пред още по-голям натиск да работят ефективно в днешната икономическа несигурност, много от тях се стремят да оптимизират с помощта на решения базирано в облака и интегрирани управлявани услуги за защита. В този брой разглеждаме новите приоритети в областта на защитата, тъй като организациите преминават към все по-ориентиран към облака модел, включващ всичко в дигиталното им имущество – от локалните системи до устройствата на IoT.
Публичният облак предлага печеливша комбинация от силна фундаментална сигурност, ефективност на разходите и мащабируеми изчисления, което го прави ключов ресурс във време на свити бюджети. Но заедно с тази тройна игра се появява и необходимостта да се "внимава за пропуските", които възникват в пресечната точка между публичния облак, частните облаци и локалните системи. Разглеждаме какво правят лидерите в областта на защитата, за да управляват защитата в граничните пространства между мрежовите устройства, крайните точки, приложенията, облаците и управляваните услуги. Накрая разглеждаме две технологии, които представляват връхната точка на това предизвикателство в областта на сигурността – IoT и оперативната технология. Сближаването на тези две поляризирани технологии – едната от тях е в процес на създаване, а другата е наследена, като и двете са въведени в мрежата без адекватна вградена защита – създава порест ръб, уязвим за атаки.
Издание 3 разглежда тези три приоритета в областта на защитата, ориентирани към облака:
Облакът е сигурен, но управлявате ли сигурно своята облачна среда?
Приемането на облака се ускори, тъй като организациите търсят нова ефективност в отговор на икономическите ограничения и недостига на таланти. CISO се доверяват на публичните облачни услуги за тяхната основна сигурност, но облакът е толкова сигурен, колкото е способен клиентът да управлява интерфейса между публичния облак и частната инфраструктура. Разглеждаме как лидерите в областта на сигурността преодоляват различията с помощта на силна стратегия за сигурност в облака – например чрез защита на приложенията и работните натоварвания в облака с инструменти като управление на позициите в облака и платформата за нативни за облака приложения (CNAPP).
Цялостният подход към защитата започва с видимост и завършва с приоритетно управление на риска.
Ускореното приемане на облака води до увеличаване на броя на услугите, крайните точки, приложенията и устройствата. В допълнение към стратегията за управление на критичните точки за връзка с облака, CISO признават необходимостта от по-добра видимост и координация на разширяващия се дигитален отпечатък – необходимост от цялостно управление на състоянието. Разглеждаме как лидерите в областта на сигурността разширяват подхода си от предотвратяване на атаки (което все още е най-добрата защита, стига да работи) към управление на риска чрез цялостни инструменти за управление на позициите, които помагат за инвентаризация на активите и моделиране на бизнес риска – и, разбира се, за контрол на идентичността и достъпа.
Опирайте се на нулевото доверие и хигиената, за да укротите изключително разнообразната, хипермрежова среда на IoT & OT.
Експоненциалният ръст на свързаните устройства от областта на IoT и OT продължава да поставя предизвикателства пред защитата – особено като се има предвид трудността да се съчетаят технологии, които са смесица от инструменти на трети страни, работещи в облака, и старо оборудване, преоборудвано за работа в мрежа. Прогнозите са, че до 2025 г. броят на глобалните IoT устройства ще достигне 41,6 милиарда, което създава разширена площ за атаки за нападателите, които използват тези устройства като входни точки за кибератаки. Тези устройства обикновено се насочват като точки на уязвимост в мрежата. Възможно е те да са въведени ad hoc и да са свързани към ИТ мрежата без ясна насока от екипа по защитата; да са разработени без фундаментална сигурност от трета страна; или да се управляват неадекватно от екипа по сигурността поради предизвикателства като патентовани протоколи и изисквания за наличност (OT). Научете как много ИТ лидери сега развиват своята стратегия за защита на IoT/OT, за да се справят с този пропусклив край.
Облакът е сигурен, но управлявате ли сигурно своята облачна среда?
Във време на недостиг на таланти и свити бюджети облакът предлага много предимства – ефективност на разходите, безкрайно мащабируеми ресурси, най-съвременни инструменти и по-надеждна защита на данните, отколкото повечето лидери в областта на защитата смятат, че могат да постигнат на място. Докато преди CISO възприемаха ресурсите в облака като компромис между по-голямо излагане на риск и по-голяма ефективност на разходите, днес повечето от лидерите в областта на защитата, с които разговаряме, са приели облака като новото нормално явление. Те се доверяват на силната фундаментална сигурност на облачните технологии: "Очаквам, че доставчиците на услуги в облака са си подредили къщата по отношение на управлението на идентичността и достъпа, сигурността на системите и физическата сигурност", казва един от CISO.
Но както признават повечето лидери в областта на защитата, фундаменталната защита в облака не гарантира, че данните ви са защитени – защитата на данните ви в облака зависи в голяма степен от начина, по който услугите в облака се прилагат заедно с локалните системи и домашните технологии. Рискът се поражда от пропуските между облака и традиционните организационни граници, политиките и технологиите, използвани за защита на облака. Възникват неправилни конфигурации, които често оставят организациите изложени на риск и зависими от екипите по защита, за да идентифицират и отстранят пропуските.
"Голям брой нарушения се дължат на неправилно конфигуриране – някой по невнимание неправилно конфигурира нещо или променя нещо, което позволява изтичането на данни."
Комунални услуги – вода, 1 390 служители
До 2023 г. 75 % от нарушенията на облачната защита ще бъдат причинени от неадекватно управление на идентичностите, достъпа и привилегиите, в сравнение с 50 % през 2020 г. (Неправилното конфигуриране и уязвимостите са най-големите рискове в облачната защита: Отчет | CSO Online). Предизвикателството не е в защитата на самия облак, а в политиките и контрола, използвани за осигуряване на достъп. Както казва един CISO в областта на финансовите услуги: " Защитата в облака е много добра, ако се прилага правилно. Самият облак и неговите компоненти са защитени. Но вие навлизате в конфигурирането: правилно ли пиша кода си? Правилно ли настройвам връзките си в предприятието?" Друг лидер в областта на защитата обобщава предизвикателството: "Неправилното конфигуриране на тези услуги в облака е това, което отваря услугите за действащите лица, свързани със заплахи." Тъй като все повече лидери в областта на сигурността осъзнават рисковете от неправилното конфигуриране на услугите в облака, разговорът за сигурността в облака се измества от "Сигурен ли е облакът?" към "Използвам ли безопасно облака?"
Какво означава да използваш облака безопасно? Много от ръководителите, с които разговарям, подхождат към стратегията за защита в облака от самото начало, като се справят с човешките грешки, които излагат организацията на риск, като например нарушаване на идентичността и неправилна конфигурация. Това е в съответствие и с нашите препоръки – Защитените идентичности и адаптивното управление на достъпа до тях са абсолютно фундаментални за всяка стратегия за сигурност в облака.
За всички, които все още се колебаят, може би това ще помогне: McAfee съобщава, че 70 % от изложените на риск записи – 5,4 милиарда – са били компрометирани поради неправилно конфигурирани услуги и портали. Управлението на достъпа чрез контрол на идентичността и прилагането на строга хигиена на защитата може да допринесе за преодоляване на пропуските. McAfee съобщава по подобен начин, че 70 % от изложените на риск записи – 5,4 милиарда – са били компрометирани поради неправилно конфигурирани услуги и портали. Управлението на достъпа чрез контрол на идентичността и прилагането на строга хигиена на защитата може да допринесе за преодоляване на пропуските.
Една стабилна стратегия за сигурност в облака включва тези най-добри практики:
1. Прилагане на цялостна стратегия за Защита за нативни за облака приложения (CNAPP): Управлението на защитата с разпокъсани инструменти може да доведе до "мъртви точки" в защитата и по-високи разходи. Наличието на универсална платформа, която ви позволява да внедрите защита от кода до облака, е от решаващо значение за намаляване на общата повърхност за атаки в облака и за автоматизиране на защитата от заплахи. Стратегията CNAPP включва следните най-добри практики:
a. Приоритизиране на защитата от самото начало в DevOps. Защитата може да остане на заден план в бързината за разработване на приложения в облака. Разработчиците имат стимул да решат бързо даден бизнес проблем и може да нямат умения в областта на защитата на облака. В резултат на това приложенията могат да се разпространяват без подходящи правила за разрешаване на данни. API се превърнаха в основна мишена за хакерите, тъй като организациите често не могат да ги следят предвид темпото на разработване на приложения в облака. Gartner идентифицира "разрастването на API" като нарастващ проблем, като прогнозира, че до 2025 г. по-малко от половината API на предприятията ще бъдат управлявани (Gartner). Ето защо е от решаващо значение да се приложи стратегия DevSecOps възможно най-бързо.
b. Неправилното конфигуриране е най-честата причина за пробиви в облака – вижте най-често срещаните неправилни конфигурации на груповите настройки за защита, представени от Алианса за сигурност в облака . Въпреки че оставянето на ресурсите за съхранение отворени за обществеността е най-често срещаното опасение, CISO посочват и други области на пренебрегване: деактивиран мониторинг и регистриране, прекомерни разрешения, незащитени резервни копия и др. Шифроването е важен предпазен механизъм срещу лошо управление – и е от решаващо значение за намаляване на риска от рансъмуер. Инструментите за управление на положението на защитата в облака предлагат още една линия на защита чрез наблюдение на ресурсите в облака за излагане на риск и неправилни конфигурации, преди да е настъпил пробив, така че можете да намалите повърхността на атаката проактивно.
c. Автоматизиране на откриването, реагирането и анализа на инциденти. Идентифицирането и поправянето на грешни конфигурации е чудесно, но също така трябва да гарантираме, че разполагаме с инструменти и процеси за откриване на атаки, които преминават през защитата. Именно тук могат да помогнат инструментите за откриване на заплахи и управление на реакциите.
d. Управлявайте правилно достъпа. Многофакторното удостоверяване, еднократната идентификация, контролът на достъпа въз основа на роли, управлението на разрешенията и сертификатите помагат за управлението на двата най-големи риска за сигурността в облака: потребителят и неправилно конфигурираните дигитални свойства. Най-малкият достъп е най-добрата практика за управление на правомощията на облачната инфраструктура (CIEM). Някои ръководители разчитат на решение за управление на достъпа до идентичност или управление на правомощията, за да въведат активен контрол на защитата. Един от лидерите в областта на финансовите услуги разчита на брокера за сигурност на достъпа до облака (CASB) като на "ключова опора" за управление на услугите SaaS на организацията и за поддържане на контрола върху потребителите и данните. CASB действа като посредник между потребителите и приложенията в облака, осигурявайки видимост и налагайки действия за управление чрез политики. подкрепа", за да управляват своите услуги SaaS и да поддържат контрол върху своите потребители и данни. CASB действа като посредник между потребителите и приложенията в облака, осигурявайки видимост и налагайки действия за управление чрез политики.
Платформата за Защита за нативни за облака приложения, като тази, предлагана в Microsoft Defender for Cloud , не само предлага видимост на ресурсите в няколко облака, но и осигурява защита на всички нива на средата, като същевременно следи за заплахи и корегира сигналите в инциденти, които се интегрират с вашия SIEM. Това опростява разследванията и помага на екипите на SOC да изпреварват сигналите от различни платформи.
Превенцията – затварянето на пропуските в идентичността и неправилното конфигуриране – в съчетание със стабилни инструменти за реакция на атаки е от голямо значение за защитата на цялата облачна среда – от корпоративната мрежа до облачните услуги.
Цялостният подход към защитата започва с видимост и завършва с приоритетно управление на риска.
Преминаването към ИТ, ориентирани към облака, излага организацията не само на пропуски при внедряването, но и на нарастващ набор от мрежови активи – устройства, приложения, крайни точки – както и на изложени на риск работни натоварвания в облака. Лидерите в областта на защитата управляват позициите си в тази среда без периметър с помощта на технологии, които осигуряват видимост и приоритетна реакция. Тези инструменти помагат на организациите да съставят инвентарна карта на активите, която покрива цялата повърхност на атака, обхващаща управлявани и неуправлявани устройства както в мрежата на организацията, така и извън нея. Използвайки тези ресурси, CISO могат да оценят състоянието на защитата на всеки актив, както и ролята му в бизнеса, за да разработят модел на приоритетен риск.
В разговорите ни с лидери в областта на защитата виждаме еволюция от периметрова сигурност към подход, базиран на позицията за сигурност, който обхваща екосистема без граници.
Както казва един от ръководителите на CISO: "За мен защитата се свежда до идентичността…. Ние не гледаме на това само като на старата традиционна защита, където е периметърът, а го пренасяме чак до крайната точка." (Комунални услуги – вода, 1 390 служители). "Идентичността се превърна в новия периметър", коментира CISO от FinTech и пита: "Какво означава идентичност в този нов модел, в който няма външно и вътрешно?" (FinTech, 15 000 служители).
Като се има предвид тази пропусклива среда, CISO разбират неотложността на цялостното управление на позициите, но много от тях се питат дали разполагат с ресурсите и цифровата зрялост, за да приложат тази визия на практика. За щастие, благодарение на комбинацията от доказани в индустрията рамки (актуализирани за съвременните нужди) и иновации в областта на защитата, цялостното управление на позициите е достижимо за повечето организации.
Въведете в кибернетичната си инфраструктура инструменти, които ви позволяват да извършвате инвентаризация на активите. Второ, вижте кои от тях са критични, кои са с най-голям риск за организацията, разберете какви са потенциалните уязвимости на тези устройства и решете дали това е приемливо – трябва ли да ги поправям или изолирам.
Кен Малкълмсън, изпълнителен съветник по сигурността, Microsoft
Ето някои най-добри практики и инструменти, които лидерите в областта на защитата използват, за да управляват позициите си в отворената среда, ориентирана към облака:
1. Постигнете цялостна видимост с инвентаризация на активите.
Видимостта е първата стъпка в цялостното управление на позициите. Специалистите по управление на защитата се питат: "Знаем ли изобщо всичко, с което разполагаме, като първа стъпка? Трябва ли изобщо да имаме видимост, преди да можем да стигнем до управлението?" Инвентаризацията на рисковите активи включва ИТ активи като мрежи и приложения, бази данни, сървъри, облачни свойства, свойства на интернет на нещата, както и данните и активите на интелектуалната собственост, съхранявани в тази цифрова инфраструктура. Повечето платформи, като Microsoft 365 или Azure, включват вградени инструменти за инвентаризация на активите, които могат да ви помогнат да започнете.
Видимостта е първата стъпка в цялостното управление на позициите. Специалистите по управление на защитата се питат: "Знаем ли изобщо всичко, с което разполагаме, като първа стъпка? Трябва ли изобщо да имаме видимост, преди да можем да стигнем до управлението?" Инвентаризацията на рисковите активи включва ИТ активи като мрежи и приложения, бази данни, сървъри, облачни свойства, свойства на интернет на нещата, както и данните и активите на интелектуалната собственост, съхранявани в тази цифрова инфраструктура. Повечето платформи, като Microsoft 365 или Azure, включват вградени инструменти за инвентаризация на активите, които могат да ви помогнат да започнете.
2. Оценка на уязвимостта и анализ на риска.
След като организацията разполага с изчерпателна инвентаризация на активите, е възможно да се анализира рискът както по отношение на вътрешните уязвимости, така и по отношение на външните заплахи. Тази стъпка зависи до голяма степен от контекста и е уникална за всяка организация – надеждната оценка на риска зависи от силното партньорство между екипите по сигурността, ИТ и данните. Този многофункционален екип използва автоматизирани инструменти за оценка и приоритизиране на риска в своя анализ – например инструментите за приоритизиране на риска, интегрирани в Microsoft Entra ID, Microsoft Defender XDR и Microsoft 365. Автоматизираните технологии за оценяване и приоритизиране на риска могат да включват и експертни насоки за отстраняване на пропуските, както и контекстуална информация за ефективен отговор на заплахите.
След като организацията разполага с изчерпателна инвентаризация на активите, е възможно да се анализира рискът както по отношение на вътрешните уязвимости, така и по отношение на външните заплахи. Тази стъпка зависи до голяма степен от контекста и е уникална за всяка организация – надеждната оценка на риска зависи от силното партньорство между екипите по сигурността, ИТ и данните. Този многофункционален екип използва автоматизирани инструменти за оценка и приоритизиране на риска в своя анализ – например инструментите за приоритизиране на риска, интегрирани в Microsoft Entra ID, Microsoft Defender XDR и Microsoft 365. Автоматизираните технологии за оценяване и приоритизиране на риска могат да включват и експертни насоки за отстраняване на пропуските, както и контекстуална информация за ефективен отговор на заплахите.
3. Приоритизиране на нуждите от риск и защита с помощта на моделиране на бизнес риска.
С ясното разбиране на рисковия пейзаж техническите екипи могат да работят с бизнес лидерите, за да определят приоритетите на интервенциите по защитата по отношение на бизнес нуждите. Обмислете ролята на всеки актив, неговата стойност за бизнеса и риска за бизнеса, ако той бъде компрометиран, като зададете въпроси като: "Колко чувствителна е тази информация и какво би било въздействието на нейното разкриване върху бизнеса?" или "Колко критични са тези системи – какво би било въздействието на престоя върху бизнеса?" Microsoft предлага инструменти, които подпомагат цялостното идентифициране и приоритизиране на уязвимостите в съответствие с моделирането на бизнес риска, включително Microsoft Оценка на защитата, Microsoft Управление на уязвимости на Microsoft Defender*, Azure Secure Score, Управление на въшна повърхност на атака на Microsoft Defender и Управление на уязвимости на Microsoft Defender.
С ясното разбиране на рисковия пейзаж техническите екипи могат да работят с бизнес лидерите, за да определят приоритетите на интервенциите по защитата по отношение на бизнес нуждите. Обмислете ролята на всеки актив, неговата стойност за бизнеса и риска за бизнеса, ако той бъде компрометиран, като зададете въпроси като: "Колко чувствителна е тази информация и какво би било въздействието на нейното разкриване върху бизнеса?" или "Колко критични са тези системи – какво би било въздействието на престоя върху бизнеса?" Microsoft предлага инструменти, които подпомагат цялостното идентифициране и приоритизиране на уязвимостите в съответствие с моделирането на бизнес риска, включително Microsoft Оценка на защитата, Microsoft Управление на уязвимости на Microsoft Defender*, Azure Secure Score, Управление на въшна повърхност на атака на Microsoft Defender и Управление на уязвимости на Microsoft Defender.
4. Създаване на стратегия за управление на позициите.
Инвентаризацията на активите, анализът на риска и моделът на бизнес риска са в основата на цялостното управление на позициите. Тази видимост и разбиране помагат на екипа по защитата да определи как най-добре да разпредели ресурсите, какви мерки за укрепване трябва да се приложат и как да се оптимизира компромисът между риска и използваемостта за всеки сегмент от мрежата.
Инвентаризацията на активите, анализът на риска и моделът на бизнес риска са в основата на цялостното управление на позициите. Тази видимост и разбиране помагат на екипа по защитата да определи как най-добре да разпредели ресурсите, какви мерки за укрепване трябва да се приложат и как да се оптимизира компромисът между риска и използваемостта за всеки сегмент от мрежата.
Решенията за управление на сигурността предлагат видимост и анализ на уязвимостите, за да помогнат на организациите да разберат къде да съсредоточат усилията си за подобряване на сигурността. Благодарение на тази информация те могат да идентифицират и приоритизират важните области в повърхността на атаките.
Опирайте се на нулевото доверие и хигиената, за да укротите изключително разнообразната, хипермрежова среда на IoT и OT
Двете предизвикателства, които обсъдихме – изоставането в прилагането на облака и разпространението на свързаните с облака устройства – създават перфектна буря от рискове в средите на IoT и OT устройства. В допълнение към присъщия риск от разширената площ за атаки, която се създава от IoT и OT устройствата, лидерите в областта на сигурността ми казват, че се опитват да рационализират сближаването на зараждащите се IoT и наследените OT стратегии. IoT може и да е базиран на облака, но тези устройства често дават приоритет на бизнес целесъобразността пред фундаменталната сигурност; OT обикновено е управлявано от доставчика наследено оборудване, разработено без съвременна сигурност и въведено ad hoc в ИТ мрежата на организацията.
Устройствата IoT и OT помагат на организациите да модернизират работните пространства, да се ориентират в по-голяма степен към данните и да облекчат изискванията към персонала чрез стратегически промени като дистанционно управление и автоматизация. Международната корпорация за данни (IDC) изчислява, че до 2025 г. ще има 41,6 милиарда свързани устройства на интернет на нещата – темп на растеж, който надхвърля този на традиционните ИТ устройства.
Но с тази възможност се свързва и значителен риск. В нашия доклад "Киберсигнали" от декември 2022 г., озаглавен Сближаване на ИТ и оперативните технологии, бяха разгледани рисковете за критичната инфраструктура, породени от тези технологии.
Основните изводи включват:
1. 75 % от най-разпространените индустриални контролери в клиентските мрежи OT имат непоправени уязвимости с висока степен на опасност.
2. От 2020 г. до 2022 г. разкриването на уязвимости с висока степен на опасност в оборудване за промишлен контрол, произвеждано от популярни доставчици, ще се увеличи със 78%.
3. На много устройства, които са публично видими в интернет, се използва неподдържан софтуер. Например остарелият софтуер Boa все още се използва широко в устройствата на IoT и комплектите за разработка на софтуер (SDK).
Устройствата на IoT често представляват най-слабото звено в дигиталното имущество. Тъй като те не се управляват, актуализират или поправят по същия начин, както традиционните ИТ устройства, те могат да послужат като удобен портал за нападателите, които искат да проникнат в ИТ мрежата. След като получат достъп, устройствата IoT са уязвими за отдалечено изпълнение на код. Нападателят може да получи контрол и да използва уязвимостите, за да имплантира ботнет или зловреден софтуер в устройство на IoT. В този момент устройството може да служи като отворена врата към цялата мрежа.
Оперативните технологични устройства представляват още по-зловещ риск, тъй като много от тях са от решаващо значение за функционирането на организацията. Исторически офлайн или физически изолирани от корпоративната ИТ мрежа, мрежите на ОТ все повече се смесват с ИТ и IoT системите. Нашето проучване от ноември 2021 г., проведено съвместно с института Ponemon, Състоянието на киберсигурността на IoT/OT в предприятието, установи, че над половината от мрежите OT вече са свързани с корпоративните ИТ (бизнес) мрежи. Подобна част от компаниите – 56% – разполагат с устройства, свързани с интернет, в своята мрежа за работа в реално време за сценарии като отдалечен достъп.
"Почти всяка атака, на която станахме свидетели през последната година, започваше от първоначален достъп до ИТ мрежа, който се използваше в средата на ОТ."
Дейвид Атч, Набор от ресурси на Microsoft срещу заплахи, ръководител на отдела за изследване на защитата на IoT/OT
Свързаността на ОТ излага организациите на риск от сериозни смущения и престой в случай на атака. OT често е в основата на бизнеса, което предоставя на нападателите примамлива цел, от която могат да се възползват, за да причинят значителни щети. Самите устройства могат да бъдат лесна мишена, тъй като често се касае за незащитено или наследено оборудване, което не е защитено по дизайн, съществува преди съвременните практики за сигурност и може да има патентовани протоколи, които не могат да бъдат видени от стандартните инструменти за ИТ мониторинг. Нападателите са склонни да използват тези технологии, като откриват изложени на риск интернет системи, получават достъп чрез идентификационните данни за вход на служителите или използват достъпа, предоставен на доставчици и изпълнители от трети страни. Ненаблюдаваните протоколи на ICS са често срещана входна точка за специфични за ОТ атаки (Отчет за дигитална защита на Microsoft 2022).
За да се справят с уникалното предизвикателство да управляват сигурността на IoT и OT в този смесен континуум от различни устройства, свързани по различни начини с ИТ мрежата, лидерите по сигурността следват тези най-добри практики:
1. Постигане на цялостна видимост на устройствата.
Разбирането на всички активи, с които разполагате в мрежата, как всичко е взаимосвързано и какъв е бизнес рискът и експозицията във всяка точка на свързване, е критична основа за ефективно управление на IoT/OT. Решение за откриване и реагиране в мрежата (NDR), съобразено с IoT и OT, и SIEM като Microsoft Sentinel също могат да ви помогнат да осигурите по-дълбока видимост на IoT/OT устройствата във вашата мрежа и да ги наблюдавате за аномално поведение, като например комуникация с непознати хостове. (За повече информация относно управлението на изложените на риск ICS протоколи в ОТ вижте "Уникалният риск за сигурността на IOT устройствата" Microsoft Security).
Разбирането на всички активи, с които разполагате в мрежата, как всичко е взаимосвързано и какъв е бизнес рискът и експозицията във всяка точка на свързване, е критична основа за ефективно управление на IoT/OT. Решение за откриване и реагиране в мрежата (NDR), съобразено с IoT и OT, и SIEM като Microsoft Sentinel също могат да ви помогнат да осигурите по-дълбока видимост на IoT/OT устройствата във вашата мрежа и да ги наблюдавате за аномално поведение, като например комуникация с непознати хостове. (За повече информация относно управлението на изложените на риск ICS протоколи в ОТ вижте "Уникалният риск за сигурността на IOT устройствата" Microsoft Security).
2. Сегментиране на мрежите и прилагане на принципите за Zero Trust.
Където е възможно, сегментирайте мрежите, за да възпрепятствате страничното движение в случай на атака. Устройствата IoT и мрежите OT трябва да бъдат изолирани от корпоративната ИТ мрежа чрез защитни стени. Въпреки това е важно също така да приемете, че ОТ и ИТ са обединени, и да изградите протоколи за нулево доверие по цялата повърхност на атаката. Все по-често сегментирането на мрежата не е осъществимо. За регулираните организации, като например Здравеопазването, комуналните услуги и производството, OT-IT свързаността е от основно значение за бизнес функциите – вземете например мамографски апарати или интелигентни ядрено-магнитен резонанс, които се свързват със системи за електронни здравни досиета (EHR); интелигентни производствени линии или пречистване на вода, изискващи отдалечено наблюдение. В тези случаи Zero Trust е от решаващо значение.
Където е възможно, сегментирайте мрежите, за да възпрепятствате страничното движение в случай на атака. Устройствата IoT и мрежите OT трябва да бъдат изолирани от корпоративната ИТ мрежа чрез защитни стени. Въпреки това е важно също така да приемете, че ОТ и ИТ са обединени, и да изградите протоколи за нулево доверие по цялата повърхност на атаката. Все по-често сегментирането на мрежата не е осъществимо. За регулираните организации, като например Здравеопазването, комуналните услуги и производството, OT-IT свързаността е от основно значение за бизнес функциите – вземете например мамографски апарати или интелигентни ядрено-магнитен резонанс, които се свързват със системи за електронни здравни досиета (EHR); интелигентни производствени линии или пречистване на вода, изискващи отдалечено наблюдение. В тези случаи Zero Trust е от решаващо значение.
3. Въвеждане на хигиена за управление на защитата на IoT/OT.
Екипите по сигурността могат да отстранят пропуските чрез някои основни хигиенни практики, като например:
Екипите по сигурността могат да отстранят пропуските чрез някои основни хигиенни практики, като например:
- Премахване на ненужните интернет връзки и отворени портове, ограничаване или отказване на отдалечен достъп и използване на VPN услуги
- Управление на защитата на устройствата чрез прилагане на корекции и промяна на паролите и портовете по подразбиране
- Уверете се, че протоколите на ICS не са пряко изложени на интернет
За практически насоки как да постигнете това ниво на разбиране и управление, вижте "Уникалният риск на IoT/OT устройствата", Microsoft Security Insider.
Позволяващи действие прозрения
1. Използвайте решение за мрежово откриване и реакция (NDR) с оглед на IoT/OT и решение за информация за защита и управление на събития (SIEM)/организиране на защитата и реакция (SOAR), за да получите по-дълбока видимост на IoT/OT устройствата в мрежата си, да наблюдавате устройствата за аномално или неразрешено поведение, като например комуникация с непознати хостове
2. Защита на инженерните станции чрез мониторинг с решения за откриване и реагиране на крайни точки (EDR)
3. Намалете повърхността на атака, като елиминирате ненужните интернет връзки и отворени портове, ограничите отдалечения достъп чрез блокиране на портове, отказване на отдалечен достъп и използване на VPN услуги
4. Уверете се, че ICS протоколите не са разкрити директно в интернет
5. Сегментирайте мрежите, за да ограничите способността на атакуващия да се премества странично и да компрометира активи след първоначалното проникване. Устройствата за IoT и OT мрежите трябва да са изолирани от корпоративните ИТ мрежи чрез защитни стени
6. Уверете се, че устройствата са надеждни, като прилагате корекции, променяте паролите по подразбиране и портовете
7. Приемете, че OT и IT са обединени, и вградете протоколи за Zero Trust в повърхността си на атаки
8. Осигуряване на организационно съответствие между ОТ и ИТ чрез насърчаване на по-голяма видимост и интеграция на екипите
9. Винаги следвайте най-добрите практики за сигурността на IoT/OT, основани на основно разузнаване за заплахи
Тъй като лидерите в областта на защитата се възползват от възможността да рационализират своите дигитални имоти в условията на нарастващи заплахи и натиск да правят повече с по-малко ресурси, облакът се превръща в основа на съвременната стратегия за сигурност. Както видяхме, ползите от подхода, ориентиран към облака, значително надвишават рисковете – особено за организациите, които прилагат най-добрите практики за управление на своите облачни среди чрез стабилна стратегия за защита в облака, цялостно управление на състоянието и специфични тактики за отстраняване на пропуските на границата на IoT/OT.
Очаквайте следващия ни брой, за да се запознаете с повече анализи и информация за защитата. Благодарим ви, че четете CISO Insider!
За практически насоки как да постигнете това ниво на разбиране и управление, вижте "Уникалният риск на IoT/OT устройствата", Microsoft Security Insider.
цялото цитирано проучване на Microsoft използва независими проучвания на фирми за свързване със специалисти в областта на защитата както за количествени, така и за качествени проучвания, гарантирайки защити на поверителността и аналитична точност. Цитатите и констатациите, включени в този документ, освен ако не е указано друго, са резултат от проучвания на Microsoft.
Следвайте Microsoft