V podcastu Analýzy hrozeb Microsoft se přímo od expertů dozvíte o tom, jaké jsou jejich poznatky. Poslechněte si ho.
CISO Insider: 3. číslo
Vítejte ve třetím čísle série CISO Insider. Jmenuji se Rob Lefferts a vedu inženýrské týmy pro Microsoft Defender a Sentinel. Tuto sérii článků jsme zahájili zhruba před rokem, abychom se s vámi podělili o poznatky z diskusí s některými vašimi kolegy i z našeho vlastního výzkumu a zkušeností s prací v první linii kybernetické bezpečnosti.
V prvních dvou číslech jsme se věnovali stupňujícím se hrozbám, jako je ransomware, a tomu, jak lídři v oblasti zabezpečení využívají možnosti automatizace a zvyšování kvalifikace, aby na tyto hrozby mohli účinně reagovat při pokračujícím nedostatku talentů. Protože v dnešní ekonomické nejistotě čelí ředitelé CISO ještě většímu tlaku na efektivní fungování, snaží se mnozí z nich optimalizovat provoz pomocí cloudových řešení a integrovaných spravovaných bezpečnostních služeb. V tomto čísle jsme se zaměřili na nové priority zabezpečení, protože organizace se stále více orientují na cloudový model, což se dotýká všech digitálních prostředků, od místních systémů až po zařízení Internetu věcí.
Veřejný cloud nabízí výhody silného základního zabezpečení, nákladové efektivity a škálovatelných výpočetních prostředků, což z něj dělá klíčový zdroj v době omezených rozpočtů. S touto trojitou hrou však souvisí potřeba dbát na mezery v zabezpečení, které vznikají v propojeních mezi veřejným cloudem, privátními cloudy a místními systémy. Podíváme se, co dělají lídři v oblasti zabezpečení, aby si dokázali poradit se zabezpečením v liminálních prostorech mezi síťovými zařízeními, koncovými body, aplikacemi, cloudy a spravovanými službami. Nakonec se podíváme na dvě technologie, které představují vrchol této bezpečnostní výzvy: IoT a OT. Konvergence těchto dvou polarizovaných technologií, kdy jedna je nově vznikající a druhá starší a obě jsou zavedeny do sítě bez odpovídajícího integrovaného zabezpečení, vytváří propustnou hranici náchylnou k útokům.
3. číslo se zabývá těmito třemi prioritami zabezpečení zaměřenými na cloud:
Cloud je zabezpečený, ale spravujete své cloudové prostředí bezpečným způsobem?
Zavádění cloudu se zrychlilo, protože organizace hledají nové možnosti zvyšování efektivity v reakci na ekonomická omezení i nedostatek talentů. Ředitelé CISO důvěřují veřejným cloudovým službám z hlediska jejich základního zabezpečení, ale cloud je pouze tak zabezpečený, jak jsou zákazníci schopni spravovat rozhraní mezi veřejným cloudem a soukromou infrastrukturou. Podíváme se na to, jak lídři v oblasti zabezpečení řeší tento nedostatek pomocí silné strategie zabezpečení cloudu – například zabezpečením cloudových aplikací a úloh pomocí nástrojů, jako je správa stavu zabezpečení cloudu a platforma pro ochranu nativních cloudových aplikací (CNAPP).
Komplexní přístup ke stavu zabezpečení začíná přehledem o prostředcích a končí řízením rizik podle priorit.
Se zrychleným zaváděním cloudu se zvyšuje i počet služeb, koncových bodů, aplikací a zařízení. Vedle strategie pro správu důležitých bodů připojení ke cloudu si ředitelé CISO uvědomují potřebu většího přehledu a koordinace v rámci rozšiřujícího se digitálního prostředí – potřebu komplexní správy stavu zabezpečení. Podíváme se na to, jak lídři v oblasti zabezpečení rozšiřují svůj přístup od prevence útoků (což je stále nejlepší obrana, pokud funguje) k řízení rizik prostřednictvím komplexních nástrojů pro správu stavu zabezpečení, které pomáhají s inventarizací prostředků a modelováním obchodních rizik. A samozřejmě nemůžeme zapomenout na správu identit a řízení přístupu.
Zaveďte principy nulové důvěry (Zero Trust) a bezpečnostní hygienu, abyste zkrotili velmi různorodé, hyper-síťové prostředí zařízení IoT a OT.
Exponenciální nárůst počtu připojených zařízení Internetu věcí a zařízení OT nadále představuje bezpečnostní výzvu – zejména s ohledem na obtížnost sladění technologií, které jsou směsicí cloudových nástrojů, nástrojů třetích stran a starších zařízení upravených pro připojení k síti. Předpokládá se, že do roku 2025 dosáhne počet globálních zařízení Internetu věcí 41,6 miliardy. Tím se rozšíří potenciální oblast útoku pro útočníky, kteří tato zařízení využívají jako vstupní body pro kybernetické útoky. Tato zařízení bývají cílem útoků jako zranitelná místa v síti. Můžou být zavedena bez systematického plánování a připojena k IT síti bez jasných pokynů od týmu zabezpečení, vyvinuta bez základního zabezpečení třetí stranou nebo nedostatečně spravována týmem zabezpečení kvůli výzvám, jako jsou vlastní protokoly a požadavky na dostupnost (OT). Přečtěte si, jak mnoho IT lídrů nyní vyvíjí svou strategii zabezpečení zařízení IoT/OT, aby dokázali pracovat s tímto hraničním prostředím plném trhlin.
Cloud je zabezpečený, ale spravujete své cloudové prostředí bezpečným způsobem?
V době nedostatku talentů a napjatých rozpočtů nabízí cloud mnoho výhod – nákladovou efektivitu, neomezeně škálovatelné prostředky, špičkové nástroje a spolehlivější ochranu dat, než jaké je podle většiny lídrů v oblasti zabezpečení možné dosáhnout v místním prostředí. Zatímco dříve považovali ředitelé CISO cloudové prostředky za kompromis mezi vyšším rizikem a vyšší efektivitou nákladů, většina lídrů v oblasti zabezpečení, se kterými dnes hovoříme, přijala cloud jako nové normální prostředí. Důvěřují silnému základnímu zabezpečení cloudové technologie: „Očekávám, že poskytovatelé cloudových služeb mají pořádek v oblasti správy identit a přístupu, zabezpečení systémů a fyzického zabezpečení,“ říká jeden z ředitelů CISO.
Jak si však většina lídrů v oblasti zabezpečení uvědomuje, základní zabezpečení cloudu nezaručuje bezpečnost vašich dat. Ochrana vašich dat v cloudu do značné míry závisí na tom, jak jsou cloudové služby implementovány spolu s místními systémy a domácími technologiemi. Riziko vzniká v mezerách mezi cloudem a tradičními hranicemi organizace, zásadami a technologiemi používanými k zabezpečení cloudu. Vyskytují se chybné konfigurace, takže organizace jsou často vystaveny riziku a jsou závislé na týmech zabezpečení, které tyto nedostatky identifikují a odstraňují.
„Velký počet porušení zabezpečení je způsoben chybnou konfigurací, kdy někdo něco neúmyslně špatně nastaví nebo změní, což umožní únik dat.“
Veřejné služby – voda, 1 390 zaměstnanců
Do roku 2023 bude 75 % případů porušení zabezpečení cloudu způsobeno nedostatečnou správou identit, přístupů a oprávnění, přičemž v roce 2020 to bylo 50 % (Největší rizika chybných konfigurací a ohrožení zabezpečení v cloudu: Studie | CSO Online). Problém nespočívá v zabezpečení samotného cloudu, ale v zásadách a kontrolních mechanismech používaných k zabezpečení přístupu. Jak říká jeden z ředitelů CISO v oboru finančních služeb: „Zabezpečení cloudu je velmi dobré, pokud je správně nasazené. Samotný cloud a jeho součásti jsou bezpečné. Ale pak se dostanete ke konfiguraci a ptáte se – píšu svůj kód správně? Nastavuji správně konektory v rámci podniku?“ Jiný lídr v oblasti zabezpečení tuto výzvu shrnuje: „Špatná konfigurace těchto cloudových služeb je to, co je otevírá aktérům hrozeb.“ S tím, jak si stále více lídrů v oblasti zabezpečení uvědomuje rizika nesprávné konfigurace cloudu, posunuje se konverzace o zabezpečení cloudu od otázky, jestli je cloud bezpečný, k otázce, jestli ho bezpečně používáme.
Co znamená bezpečné používání cloudu? Mnoho lídrů, se kterými mluvím, přistupuje ke strategii zabezpečení cloudu od základu a řeší lidské chyby, které vystavují organizaci rizikům, jako je porušení zabezpečení identit a chybné konfigurace. To je v souladu i s našimi doporučeními – zabezpečení identit a adaptivní správa jejich přístupu jsou naprosto zásadní součástí každé strategie zabezpečení cloudu.
Všem, kteří ještě váhají, možná pomůže toto: Společnost McAfee uvedla, že 70 % vystavených záznamů – 5,4 miliardy – bylo ohroženo kvůli chybně nakonfigurovaným službám a portálům. Řízení přístupu prostřednictvím kontroly identit a implementace důkladné bezpečnostní hygieny může do značné míry pomoct odstranit nedostatky zabezpečení. Společnost McAfee podobně uvedla, že 70 % vystavených záznamů – 5,4 miliardy – bylo ohroženo kvůli špatně nakonfigurovaným službám a portálům. Řízení přístupu prostřednictvím kontroly identit a implementace důkladné bezpečnostní hygieny může do značné míry pomoct odstranit nedostatky zabezpečení.
Důkladná strategie zabezpečení cloudu zahrnuje tyto osvědčené postupy:
1. Zavedení komplexní platformy pro ochranu nativních cloudových aplikací (CNAPP): Výsledkem správy zabezpečení pomocí fragmentovaných nástrojů můžou být slepá místa v ochraně a vyšší náklady. Pro omezení celkové potenciální oblasti útoků v cloudu a automatizaci ochrany před hrozbami je zásadní mít k dispozici platformu typu „vše v jednom“, která umožňuje začlenit zabezpečení od kódu až po cloud. Strategie CNAPP zahrnuje následující osvědčené postupy:
a. Upřednostnění zabezpečení v DevOps od samého začátku. Ve spěchu při vývoji cloudových aplikací může být zabezpečení opomíjeno. Vývojáři mají motivaci rychle vyřešit obchodní problém a můžou postrádat dovednosti v oblasti zabezpečení cloudu. V důsledku toho se můžou aplikace šířit bez odpovídajících pravidel v oblasti autorizace dat. Rozhraní API se stala hlavním cílem hackerů, protože organizace je vzhledem k rychlosti vývoje cloudových aplikací často nemůžou sledovat. Společnost Gartner označuje „rozšiřování API“ za rostoucí problém a předpovídá, že do roku 2025 bude spravována méně než polovina podnikových API (Gartner). Proto je velmi důležité co nejrychleji implementovat strategii DevSecOps.
b. Posílení zabezpečení cloudu a oprava chybných konfigurací. Chybné konfigurace jsou nejčastější příčinou porušení cloudového zabezpečení. Podívejte se na nejčastější chybné konfigurace v nastavení skupin zabezpečení podle Cloud Security Alliance . Přestože nejčastěji slýcháme obavy z ponechání prostředků úložišť otevřených veřejnosti, ředitelé CISO uvádějí i další oblasti, kde dochází k zanedbávání: zakázané monitorování a protokolování, nadměrná oprávnění, nechráněné zálohování atd. Důležitou pojistkou proti špatné správě je šifrování. To má zásadní význam pro snížení rizika ransomwaru. Nástroje pro správu stavu zabezpečení cloudu nabízejí další obrannou linii, protože monitorují cloudové prostředky z hlediska vystavení a chybných konfigurací ještě předtím, než dojde k porušení zabezpečení, takže můžete proaktivně snižovat potenciální oblast útoku.
c. Automatizace detekce, reakce a analýzy incidentů. Identifikace a oprava chybné konfigurace je skvělá, ale musíme také zajistit, abychom měli k dispozici nástroje a procesy pro detekci útoků, které projdou přes obranu. Tady můžou pomoct nástroje pro správu detekce hrozeb a reakce na ně.
d. Zajištění správné správy přístupu. Vícefaktorové ověřování, jednotné přihlašování, řízení přístupu na základě role, správa oprávnění a certifikace pomáhají řídit dvě největší rizika cloudového zabezpečení: uživatele a špatně nakonfigurované digitální vlastnosti. Nejmenší úroveň přístupu je osvědčeným postupem správy oprávnění ke cloudové infrastruktuře (CIEM). Někteří lídři se při zavádění aktivních kontrolních mechanismů zabezpečení spoléhají na řešení pro řízení přístupu k identitám nebo správu oprávnění. Jeden z lídrů v oblasti finančních služeb se spoléhá na zprostředkovatele zabezpečení přístupu ke cloudu (CASB) jako na „klíčovou pojistku“ při správě služeb SaaS organizace a při udržování kontroly nad uživateli a daty. CASB funguje jako prostředník mezi uživateli a cloudovými aplikacemi, zajišťuje přehled a vynucuje opatření správného řízení prostřednictvím zásad – což je pojistka při správě služeb SaaS a při udržování kontroly nad uživateli a daty. CASB funguje jako prostředník mezi uživateli a cloudovými aplikacemi, zajišťuje přehled a vynucuje opatření správného řízení prostřednictvím zásad.
Platforma pro ochranu nativních cloudových aplikací, jakou nabízí například Microsoft Defender for Cloud , poskytuje nejen přehled o prostředcích ve více cloudech, ale také ochranu ve všech vrstvách prostředí a zároveň monitoruje hrozby a koreluje upozornění do incidentů, které se integrují s vaším řešením SIEM. To zjednodušuje prověřování a pomáhá týmům SOC udržovat si náskok před upozorněními napříč platformami.
Trocha prevence – odstraňování nedostatků v identitách a chybných konfiguracích – v kombinaci s robustními nástroji pro reakci na útoky výrazně přispívá k zabezpečení celého cloudového prostředí, od podnikové sítě až po cloudové služby.
Komplexní přístup ke stavu zabezpečení začíná přehledem o prostředcích a končí řízením rizik podle priorit.
Přechod na IT orientované na cloud vystavuje organizaci nejen nedostatkům v implementaci, ale také rostoucímu počtu síťových prostředků – zařízení, aplikací, koncových bodů – a také vystaveným cloudovým úlohám. Lídři v oblasti zabezpečení spravují stav zabezpečení v tomto fyzicky neomezeném prostředí pomocí technologií, které poskytují přehled a zajišťují prioritní reakce. Tyto nástroje pomáhají organizacím vytvořit inventář prostředků, který pokrývá celou potenciální oblast útoku a zahrnuje spravovaná i nespravovaná zařízení v síti organizace i mimo ni. Pomocí těchto nástrojů můžou ředitelé CISO posoudit stav zabezpečení každého prostředku i jeho roli ve firmě a vytvořit model prioritních rizik.
Když hovoříme lídry v oblasti zabezpečení, vidíme vývoj od zabezpečení založeného na perimetru k přístupu založenému na stavu zabezpečení, který zahrnuje ekosystém bez hranic.
Jak říká jeden z ředitelů CISO: „Podle mě stojí stav zabezpečení na identitách... Nedíváme se na jen na perimetr jako u starého tradičního zabezpečení, ale přesouváme se až ke koncovým bodům.“ (Veřejné služby – voda, 1 390 zaměstnanců). „Identita se stala novým perimetrem,“ říká jeden z ředitelů CISO v oboru FinTech a ptá se: „Co znamená identita v tomto novém modelu, kde neexistuje žádné venku a uvnitř?“ (FinTech, 15 000 zaměstnanců).
Vzhledem k tomuto propustnému prostředí chápou ředitelé CISO naléhavost komplexní správy stavu zabezpečení, ale mnozí z nich pochybují, jestli mají potřebné prostředky a digitální vyspělost, aby tuto vizi uváděli do praxe. Dobrou zprávou je, že díky kombinaci osvědčených architektur (aktualizovaných podle dnešních potřeb) a inovací v oblasti zabezpečení je komplexní správa stavu zabezpečení pro většinu organizací dosažitelná.
Pořiďte si do své kybernetické infrastruktury nástroje, které vám umožní provádět inventarizaci prostředků. Za druhé, podívejte se, která z těchto zařízení jsou důležitá, která představují pro organizaci největší riziko, a porozumějte tomu, jaká jsou potenciální ohrožení zabezpečení u těchto zařízení. Pak se rozhodněte, jestli je to přijatelné a jestli je třeba je opravit nebo izolovat.
Ken Malcolmson, výkonný poradce pro zabezpečení, Microsoft
Tady jsou některé osvědčené postupy a nástroje, které lídři v oblasti zabezpečení používají ke správě stavu zabezpečení v otevřeném, cloudovém prostředí:
1. Získejte komplexní přehled pomocí inventáře majetku.
Přehled je prvním krokem k holistické správě stavu zabezpečení. Ředitelé CISO se ptají: „Víme vůbec – jako první krok – co všechno máme? Máme vůbec přehled o prostředcích, než se dostaneme k jejich správě? Inventář rizikových prostředků zahrnuje IT prostředky, jako jsou sítě a aplikace, databáze, servery, cloudové vlastnosti, vlastnosti Internetu věcí a také data a IP prostředky uložené v této digitální infrastruktuře. Většina platforem, jako je Microsoft 365 nebo Azure, obsahuje integrované nástroje pro inventarizaci prostředků, které vám můžou pomoct začít.
Přehled je prvním krokem k holistické správě stavu zabezpečení. Ředitelé CISO se ptají: „Víme vůbec – jako první krok – co všechno máme? Máme vůbec přehled o prostředcích, než se dostaneme k jejich správě? Inventář rizikových prostředků zahrnuje IT prostředky, jako jsou sítě a aplikace, databáze, servery, cloudové vlastnosti, vlastnosti Internetu věcí a také data a IP prostředky uložené v této digitální infrastruktuře. Většina platforem, jako je Microsoft 365 nebo Azure, obsahuje integrované nástroje pro inventarizaci prostředků, které vám můžou pomoct začít.
2. Proveďte vyhodnocení ohrožení zabezpečení a analýzu rizik.
Jakmile má organizace k dispozici komplexní inventář prostředků, je možné analyzovat rizika s ohledem na vnitřní ohrožení zabezpečení i vnější hrozby. Tento krok do značné míry závisí na kontextu a je pro každou organizaci jedinečný. Spolehlivé vyhodnocení rizik závisí na silném partnerství mezi týmy zodpovědnými za zabezpečení, IT a data. Tento multifunkční tým při své analýze využívá automatizované nástroje pro vyhodnocování a prioritizaci rizik, například nástroje pro prioritizaci rizik integrované do služeb Microsoft Entra ID, Microsoft Defender XDR a Microsoft 365. Technologie automatizovaného přiřazování skóre rizikům a stanovování priorit můžou také zahrnovat expertní pokyny pro nápravu nedostatků a kontextové informace pro účinnou reakci na hrozby.
Jakmile má organizace k dispozici komplexní inventář prostředků, je možné analyzovat rizika s ohledem na vnitřní ohrožení zabezpečení i vnější hrozby. Tento krok do značné míry závisí na kontextu a je pro každou organizaci jedinečný. Spolehlivé vyhodnocení rizik závisí na silném partnerství mezi týmy zodpovědnými za zabezpečení, IT a data. Tento multifunkční tým při své analýze využívá automatizované nástroje pro vyhodnocování a prioritizaci rizik, například nástroje pro prioritizaci rizik integrované do služeb Microsoft Entra ID, Microsoft Defender XDR a Microsoft 365. Technologie automatizovaného přiřazování skóre rizikům a stanovování priorit můžou také zahrnovat expertní pokyny pro nápravu nedostatků a kontextové informace pro účinnou reakci na hrozby.
3. Stanovujte priority rizik a potřeb v oblasti zabezpečení pomocí modelování obchodních rizik.
Když jasně porozumí prostředí rizik, můžou technické týmy spolupracovat s firemními lídry na stanovování priorit bezpečnostních opatření s ohledem na obchodní potřeby. Zvažte roli každého prostředku, jeho hodnotu pro firmu a také riziko pro firmu v případě jeho ohrožení a pokládejte si otázky jako jsou tyto: „Jak citlivé jsou dané informace a jaký dopad na firmu by mělo jejich vystavení?“ nebo „Jak důležité jsou tyto systémy pro provoz a jaký by byl dopad výpadku na firmu?“ Microsoft nabízí nástroje pro podporu komplexní identifikace a stanovování priorit ohrožení zabezpečení podle modelování obchodních rizik, mezi které patří Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Microsoft Defender Správa externí potenciální oblasti útoku a Microsoft Defender Správa zranitelností.
Když jasně porozumí prostředí rizik, můžou technické týmy spolupracovat s firemními lídry na stanovování priorit bezpečnostních opatření s ohledem na obchodní potřeby. Zvažte roli každého prostředku, jeho hodnotu pro firmu a také riziko pro firmu v případě jeho ohrožení a pokládejte si otázky jako jsou tyto: „Jak citlivé jsou dané informace a jaký dopad na firmu by mělo jejich vystavení?“ nebo „Jak důležité jsou tyto systémy pro provoz a jaký by byl dopad výpadku na firmu?“ Microsoft nabízí nástroje pro podporu komplexní identifikace a stanovování priorit ohrožení zabezpečení podle modelování obchodních rizik, mezi které patří Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Microsoft Defender Správa externí potenciální oblasti útoku a Microsoft Defender Správa zranitelností.
4. Vytvořte si strategii správy stavu zabezpečení.
Základem komplexní správy stavu zabezpečení je inventarizace prostředků, analýza rizik a model obchodních rizik. Tento přehled pomáhá týmu zabezpečení určit, jak nejlépe přidělovat zdroje, jaká opatření pro posílení zabezpečení je třeba použít a jak optimalizovat kompromis mezi riziky a použitelností u každého segmentu sítě.
Základem komplexní správy stavu zabezpečení je inventarizace prostředků, analýza rizik a model obchodních rizik. Tento přehled pomáhá týmu zabezpečení určit, jak nejlépe přidělovat zdroje, jaká opatření pro posílení zabezpečení je třeba použít a jak optimalizovat kompromis mezi riziky a použitelností u každého segmentu sítě.
Řešení pro správu stavu zabezpečení nabízejí přehled a analýzu ohrožení zabezpečení, které organizacím pomáhají pochopit, na co mají zaměřit své úsilí o zlepšení stavu zabezpečení. Díky tomuto přehledu pak můžou identifikovat a prioritizovat důležité části v potenciální oblasti útoku.
Zaveďte principy nulové důvěry (Zero Trust) a bezpečnostní hygienu, abyste zkrotili velmi různorodé, hyper-síťové prostředí zařízení IoT a OT
Dva problémy, o kterých jsme hovořili – nedostatky v implementaci cloudu a rozšiřování počtu zařízení připojených ke cloudu – vytvářejí dokonalou bouři rizik v prostředích zařízení Internetu věcí (IoT) a provozních technologií (OT). Vedle přirozeného rizika zvětšené potenciální oblasti útoku, které přinášejí zařízení IoT a OT, mi lídři v oblasti zabezpečení říkají, že se snaží racionalizovat konvergenci rodících se strategií pro IoT a starších strategií pro OT. IoT zařízení jsou sice nativní pro cloud, ale tato zařízení často upřednostňují obchodní účelnost před základním zabezpečením. Zařízení OT bývají starší zařízení spravovaná dodavatelem, vyvinutá bez moderního zabezpečení a ad hoc zavedená do IT sítě organizace.
Zařízení IoT a OT pomáhají organizacím modernizovat pracoviště, více využívat data a snižovat nároky na zaměstnance prostřednictvím strategických změn, jako je vzdálená správa a automatizace. Společnost International Data Corporation (IDC) odhaduje, že do roku 2025 bude k Internetu věcí připojeno 41,6 miliardy zařízení, což je vyšší tempo růstu než u tradičních IT zařízení.
S touto příležitostí však souvisí i významné riziko. Naše studie Cyber Signals z prosince 2022, „The Convergence of IT and Operational Technology“, se zabývala riziky, která tyto technologie představují pro kritickou infrastrukturu.
Mezi klíčová zjištění patří:
1. 75 % nejběžnějších průmyslových řídicích jednotek v sítích OT zákazníků má neopravená ohrožení zabezpečení s vysokou závažností.
2. V letech 2020 až 2022 došlo k 78% nárůstu odhalených ohrožení zabezpečení s vysokou závažností u průmyslových řídicích zařízení vyráběných oblíbenými dodavateli.
3. Na mnoha zařízeních veřejně viditelných na internetu je používán nepodporovaný software. Například zastaralý software Boa se stále široce používá v zařízeních Internetu věcí a sadách SDK (Software Development Kit).
Zařízení Internetu věcí často představují nejslabší článek digitálního prostředí. Protože nejsou spravována, aktualizována ani opravována stejným způsobem jako tradiční IT zařízení, můžou sloužit jako vhodná vstupní brána pro útočníky, kteří se snaží proniknout do IT sítě. Zařízení IoT jsou po získání přístupu zranitelná vůči vzdálenému spouštění kódu. Útočník může získat kontrolu nad zařízením IoT a zneužít jeho ohrožení zabezpečení k implantování botnetů nebo malwaru. Od této chvíle může takové zařízení sloužit jako otevřená dvířka do celé sítě.
Zařízení provozních technologií (OT) představují ještě hrozivější riziko, protože mnohá z nich jsou kriticky důležitá pro provoz organizace. Sítě OT, které byly v minulosti offline nebo fyzicky izolované od podnikové IT sítě, se stále více prolínají se systémy IT a IoT. Naše studie o stavu kybernetické bezpečnosti IoT/OT v podnikové sféře, kterou jsme provedli v listopadu 2021 ve spolupráci s Ponemon Institute, zjistila, že více než polovina sítí OT je nyní připojena k podnikovým (firemním) IT sítím. Podobný podíl společností – 56 % – má ve své OT síti zařízení připojená k internetu pro scénáře, jako je vzdálený přístup.
„Téměř každý útok, který jsme v posledním roce zaznamenali, začal počátečním přístupem do IT sítě, který byl pak využit v prostředí provozních technologií (OT).“
David Atch, Analýza hrozeb Microsoft, vedoucí výzkumu zabezpečení IoT/OT
Konektivita provozních technologií (OT) vystavuje organizace riziku velkého porušení zabezpečení a výpadku v případě útoku. Provozní technologie (OT) jsou často klíčovou součástí podniku, což útočníkům poskytuje lákavý cíl, který můžou zneužít ke způsobení významných škod. Samotná zařízení můžou být snadným cílem, protože se často jedná o starší zařízení, která nejsou standardně zabezpečená, pocházejí z doby před zavedením moderních postupů zabezpečení a můžou mít vlastní protokoly, které nejsou viditelné pro standardní nástroje pro monitorování IT. Útočníci mají tendenci tyto technologie zneužívat tak, že objeví vystavené internetové systémy, získají přístup prostřednictvím přihlašovacích údajů zaměstnanců nebo zneužijí přístup udělený dodavatelům a smluvním partnerům třetích stran. Nemonitorované protokoly ICS jsou jedním z běžných vstupních bodů pro útoky specifické pro OT (studie Microsoft Digital Defense Report 2022).
Při řešení jedinečné výzvy, kterou představuje správa zabezpečení IoT a OT v tomto smíšeném prostředí s různými zařízeními připojenými různými způsoby k IT síti, se lídři v oblasti zabezpečení řídí těmito osvědčenými postupy:
1. Získejte komplexní přehled o zařízeních.
Základem efektivní správy IoT/OT je pochopení všech prostředků v síti, jejich vzájemného propojení a obchodních rizik a vystavení v každém bodě připojení. Řešení pro detekci a reakci v síti (NDR) zahrnující IoT a OT a řešení SIEM, jako je Microsoft Sentinel, vám také můžou pomoct získat hlubší přehled o zařízeních IoT/OT v síti a sledovat jejich neobvyklé chování, například komunikaci s neznámými hostiteli. (Další informace o správě vystavených protokolů ICS v OT najdete v infografice „The Unique Security Risk of IOT Devices,“ Zabezpečení od Microsoftu).
Základem efektivní správy IoT/OT je pochopení všech prostředků v síti, jejich vzájemného propojení a obchodních rizik a vystavení v každém bodě připojení. Řešení pro detekci a reakci v síti (NDR) zahrnující IoT a OT a řešení SIEM, jako je Microsoft Sentinel, vám také můžou pomoct získat hlubší přehled o zařízeních IoT/OT v síti a sledovat jejich neobvyklé chování, například komunikaci s neznámými hostiteli. (Další informace o správě vystavených protokolů ICS v OT najdete v infografice „The Unique Security Risk of IOT Devices,“ Zabezpečení od Microsoftu).
2. Segmentujte sítě a používejte principy nulové důvěry (Zero Trust).
Kdekoli je to možné, segmentujte sítě, abyste v případě útoku zabránili laterálnímu pohybu. Zařízení Internetu věcí (IoT) a sítě provozních technologií (OT) by měly být odděleny nebo izolovány od podnikových IT sítí prostřednictvím bran firewall. V této souvislosti je také důležité předpokládat, že sítě OT a IT jsou konvergované, a vytvořit protokoly nulové důvěry (Zero Trust) v celé potenciální oblasti útoku. Stále častěji však platí, že segmentace sítě není proveditelná. Například pro organizace v regulovaných oborech, jako je zdravotnictví, veřejné služby a výroba, je propojení mezi OT a IT klíčové pro obchodní funkce. Jako příklad můžeme uvést mamografy nebo chytré přístroje pro magnetickou rezonanci připojené k systémům elektronických zdravotních záznamů (EHR); chytré výrobní linky nebo systémy čištění vody vyžadující vzdálené monitorování. V těchto případech jsou principy nulové důvěry (Zero Trust) velmi důležité.
Kdekoli je to možné, segmentujte sítě, abyste v případě útoku zabránili laterálnímu pohybu. Zařízení Internetu věcí (IoT) a sítě provozních technologií (OT) by měly být odděleny nebo izolovány od podnikových IT sítí prostřednictvím bran firewall. V této souvislosti je také důležité předpokládat, že sítě OT a IT jsou konvergované, a vytvořit protokoly nulové důvěry (Zero Trust) v celé potenciální oblasti útoku. Stále častěji však platí, že segmentace sítě není proveditelná. Například pro organizace v regulovaných oborech, jako je zdravotnictví, veřejné služby a výroba, je propojení mezi OT a IT klíčové pro obchodní funkce. Jako příklad můžeme uvést mamografy nebo chytré přístroje pro magnetickou rezonanci připojené k systémům elektronických zdravotních záznamů (EHR); chytré výrobní linky nebo systémy čištění vody vyžadující vzdálené monitorování. V těchto případech jsou principy nulové důvěry (Zero Trust) velmi důležité.
3. Zaveďte hygienu správy zabezpečení IoT/OT.
Týmy zabezpečení můžou tyto nedostatky odstranit pomocí některých základních hygienických postupů, jako jsou tyto:
Týmy zabezpečení můžou tyto nedostatky odstranit pomocí některých základních hygienických postupů, jako jsou tyto:
- Eliminace nepotřebných připojení k internetu a otevřených portů, omezení nebo odepření vzdáleného přístupu a používání služeb VPN.
- Správa zabezpečení zařízení používáním oprav, měněním výchozích hesel a portů.
- Zajištění, aby protokoly ICS nebyly přímo vystaveny přístupu z internetu.
Praktický návod, jak můžete dosáhnout této úrovně přehledu a správy, najdete v infografice „The Unique Risk of IoT/OT Devices,“ Microsoft Security Insider.
Přehledy pro rozhodování
1. K monitorování neobvyklého nebo neoprávněného chování u zařízení, jako je například komunikace s neznámými hostiteli, používejte řešení pro detekci a reakci pro sítě (NDR) s podporou IoT/OT a řešení správy akcí a informací o zabezpečení (SIEM)/řešení pro orchestrace zabezpečení a reakce (SOAR), abyste získali hlubší přehled o zařízeních IoT/OT v síti.
2. Chraňte inženýrské stanice monitorováním pomocí řešení detekce a reakce v koncových bodech (EDR).
3. Omezte potenciální oblast útoku odstraněním nepotřebných připojení k internetu a otevřených portů, omezením vzdáleného přístupu blokováním portů, odepřením vzdáleného přístupu a používáním služeb VPN.
4. Zajistěte, aby protokoly ICS nebyly vystaveny přímému přístupu z internetu.
5. Segmentujte sítě, abyste omezili možnost útočníků pohybovat se po počátečním proniknutí do sítě laterálně a ohrožovat prostředky. Zařízení Internetu věcí (IoT) a sítě provozních technologií (OT) by měly být izolovány od podnikových IT sítí prostřednictvím bran firewall.
6. Zajistěte odolnost zařízení používáním oprav, měněním výchozích hesel a portů.
7. Předpokládejte, že vaše sítě OT a IT jsou konvergované, a integrujte protokoly nulové důvěry (Zero Trust) do potenciální oblasti útoku.
8. Zajistěte organizační soulad mezi OT a IT podporou větší viditelnosti a integrace týmů.
9. Vždy dodržujte osvědčené postupy zabezpečení IoT/OT založené na základních informacích analýzy hrozeb.
S tím, jak lídři v oblasti zabezpečení využívají příležitosti k zefektivnění digitálních prostředků v souvislosti s rostoucími hrozbami a tlakem na to, aby zvládali více práce s menšími zdroji, stává se cloud základem moderní strategie zabezpečení. Jak jsme viděli, výhody přístupu orientovaného na cloud výrazně převažují nad riziky – zejména pro organizace, které využívají osvědčené postupy pro správu svých cloudových prostředí prostřednictvím robustní strategie zabezpečení cloudu, komplexní správy stavu zabezpečení a specifických taktik k odstraňování nedostatků na hranicích IoT/OT.
Další analýzy a poznatky týkající se zabezpečení najdete v příštím čísle. Děkujeme, že jste přečetli CISO Insider!
Praktický návod, jak můžete dosáhnout této úrovně přehledu a správy, najdete v infografice „The Unique Risk of IoT/OT Devices,“ Microsoft Security Insider.
Všechny citované výzkumy společnosti Microsoft využívají nezávislé výzkumné firmy, které kontaktují odborníky na zabezpečení pro kvantitativní i kvalitativní studie, čímž je zajištěna ochrana soukromí a analytická preciznost. Pokud není uvedeno jinak, jsou citace a zjištění v tomto dokumentu výsledkem výzkumných studií společnosti Microsoft.
Sledujte Microsoft