Im Microsoft Threat Intelligence-Podcast erfahren Sie wichtige Erkenntnisse direkt von den Experten selbst. Jetzt anhören
CISO Insider: 3. Ausgabe
Willkommen zur dritten Ausgabe von CISO Insider. Mein Name ist Rob Lefferts und ich leite die Microsoft Defender- und Sentinel-Entwicklerteams. Wir haben diese Reihe vor etwa einem Jahr gestartet, um Erkenntnisse aus unserem Austausch mit einigen Ihrer Kollegen sowie aus unserer eigenen Forschung und Erfahrung an vorderster Front im Bereich Cybersicherheit zu präsentieren.
In den ersten beiden Ausgaben ging es um wachsende Bedrohungen wie Ransomware und darum, wie Sicherheitsverantwortliche in Zeiten des anhaltenden Fachkräftemangels Automatisierung und Upskilling nutzen, um wirksam auf diese Bedrohungen reagieren zu können. Da CISOs in der heutigen unsicheren Wirtschaftslage unter noch größerem Effizienzdruck stehen, suchen viele nach Optimierungsmöglichkeiten durch cloudbasierte Lösungen und ganzheitliche Managed Security Services. In dieser Ausgabe legen wir den Schwerpunkt auf die neuen Sicherheitsprioritäten, die sich aus der zunehmenden Umstellung von Unternehmen auf ein cloudzentriertes Modell ergeben, das ihren gesamten digitalen Bestand umfasst – von lokalen Systemen bis hin zu IoT-Geräten.
Die öffentliche Cloud bietet Vorteile auf drei Ebenen – hohe grundlegende Sicherheit, Kosteneffizienz und Skalierbarkeit der Datenverarbeitung –, was sie in Zeiten knapper Budgets zu einer wichtigen Ressource macht. Dieses Triple Play bringt jedoch auch die Notwendigkeit mit sich, auf die Lücken zu achten, die an der Schnittstelle zwischen privater Cloud, öffentlicher Cloud und lokalen Systemen entstehen. Wir werden uns ansehen, was Sicherheitsverantwortliche tun, um die Sicherheit an den Übergängen zwischen vernetzten Geräten, Endpunkten, Anwendungen, Clouds und verwalteten Diensten zu gewährleisten. Abschließend werden wir zwei Technologien betrachten, die in diesem Zusammenhang die größte Herausforderung darstellen: IoT und OT. Das Zusammentreffen dieser beiden gegensätzlichen Technologien – die eine relativ neu, die andere bereits etabliert und beide ohne angemessene integrierte Sicherheitsvorkehrungen in das Netzwerk eingeführt – schafft eine durchlässige Grenze, die anfällig für Angriffe ist.
In der dritten Ausgabe befassen wir uns mit diesen drei cloudbezogenen Sicherheitsprioritäten:
Die Cloud ist sicher, aber verwalten Sie Ihre Cloudumgebung auch sicher?
Die Nutzung der Cloud hat zugenommen, da Unternehmen angesichts wirtschaftlicher Zwänge und des Fachkräftemangels nach neuen Möglichkeiten zur Effizienzsteigerung suchen. CISOs vertrauen auf die grundlegende Sicherheit öffentlicher Clouddienste, aber die Cloud ist nur so sicher wie die Fähigkeit des Kunden, die Schnittstelle zwischen der öffentlichen Cloud und privaten Infrastrukturen zu verwalten. Wir sehen uns an, wie Sicherheitsverantwortliche diese Lücke mit einer starken Cloud-Sicherheitsstrategie schließen – zum Beispiel, indem sie ihre Cloudanwendungen und -Workloads mit Instrumenten wie Cloud Posture Management und der cloudnativen Application Protection Platform (CNAPP) absichern.
Umfassende Sicherheit fängt bei der Transparenz an und endet bei einem an Prioritäten ausgerichteten Risikomanagement
Mit der zunehmenden Nutzung der Cloud steigt auch die Anzahl der Dienste, Endpunkte, Anwendungen und Geräte. Neben der Notwendigkeit einer Strategie für die Verwaltung kritischer Cloud-Verbindungspunkte erkennen CISOs auch den Bedarf an mehr Transparenz und Koordination in ihrem wachsenden digitalen Bestand – also ein umfassendes Posture Management. Wir sehen uns an, wie Sicherheitsverantwortliche ihren Ansatz von der Angriffsprävention (immer noch die beste Verteidigung, solange sie wirksam ist) auf das Risikomanagement mit Tools für ein umfassendes Posture Management ausweiten, die bei der Inventarisierung von Ressourcen und der Modellierung von Geschäftsrisiken helfen – und natürlich bei der Identitäts- und Zugriffskontrolle.
Setzen Sie auf Zero Trust und Sicherheitshygiene, um die Kontrolle über stark heterogene und hypervernetzte IoT- und OT-Umgebungen zu behalten.
Die exponentielle Zunahme von IoT- und OT-Geräten, die mit dem Internet verbunden sind, stellt nach wie vor eine Herausforderung für die Sicherheit dar – insbesondere angesichts der Schwierigkeit, eine Mischung aus cloudnativen Geräten, Geräten von Drittanbietern und älteren Geräten, die für die Netzwerkfähigkeit aufgerüstet wurden, unter einen Hut zu bringen. Bis 2025 wird die Zahl der IoT-Geräte weltweit voraussichtlich auf 41,6 Milliarden ansteigen, wodurch sich die Angriffsfläche für Angreifer vergrößert, die diese Geräte als Einfallstore für Cyberangriffe nutzen. Als bekannte Schwachstellen in einem Netzwerk werden in der Regel diese Geräte ins Visier genommen. Möglicherweise wurden sie ad hoc eingeführt und ohne klare Anweisungen des Sicherheitsteams in das IT-Netzwerk integriert oder von einem Drittanbieter ohne grundlegende Sicherheitsvorkehrungen entwickelt, oder sie werden vom Sicherheitsteam aufgrund von Problemen wie proprietären Protokollen und Verfügbarkeitsanforderungen (OT) nur unzureichend verwaltet. Erfahren Sie, wie viele IT-Verantwortliche ihre IoT-/OT-Sicherheitsstrategie jetzt erweitern und an diesen tendenziell durchlässigen Grenzbereich anpassen.
Die Cloud ist sicher, aber verwalten Sie Ihre Cloudumgebung auch sicher?
In Zeiten des Fachkräftemangels und immer knapper werdender Budgets bietet die Cloud viele Vorteile: Kosteneffizienz, unbegrenzte Skalierbarkeit von Ressourcen, hochmoderne Tools und zuverlässigeren Datenschutz, als die meisten Sicherheitsverantwortlichen es sich vor Ort vorstellen können. Während CISOs Cloudressourcen früher als Kompromiss zwischen höherem Risiko und höherer Kosteneffizienz betrachteten, sehen die meisten Sicherheitsverantwortlichen, mit denen wir heute sprechen, die Cloud als neue Normalität. Sie vertrauen auf die starken Sicherheitsgrundlagen der Cloud-Technologie: "Ich erwarte, dass die Anbieter von Clouddiensten ihre Hausaufgaben in Bezug auf Identitäts- und Zugriffsmanagement, Systemsicherheit und physische Sicherheit machen", so ein CISO.
Die meisten Sicherheitsverantwortlichen sind sich jedoch darüber im Klaren, dass die grundlegende Sicherheit der Cloud noch keine Garantie für die Sicherheit der eigenen Daten ist – der Schutz von Daten in der Cloud hängt in hohem Maße davon ab, wie Clouddienste in Kombination mit lokalen Systemen und proprietären Technologien implementiert werden. Risiken entstehen durch die Lücken zwischen der Cloud und den traditionellen Organisationsgrenzen, den Richtlinien und Technologien, die zur Sicherung der Cloud eingesetzt werden. Es kommt zu Fehlkonfigurationen, aufgrund derer Unternehmen oft ungeschützt sind und auf Sicherheitsteams angewiesen sind, die diese Lücken identifizieren und schließen.
„Ein großer Teil aller Sicherheitsverletzungen ist auf Fehlkonfigurationen zurückzuführen, d. h. auf versehentliche Fehlkonfigurationen oder Änderungen, durch die Daten nach außen gelangen können.“
Versorgungswirtschaft/Wasser, 1.390 Mitarbeiter
Bis 2023 werden 75 Prozent der Sicherheitsverletzungen in der Cloud auf eine unzureichende Verwaltung von Identitäten, Zugriffsrechten und Berechtigungen zurückzuführen sein, im Vergleich zu 50 Prozent im Jahr 2020 (Misconfiguration and vulnerabilities biggest risks in cloud security: Report | CSO Online). Die Herausforderung liegt dabei nicht in der Sicherheit der Cloud selbst, sondern in den Richtlinien und Kontrollmechanismen, die zur Sicherung des Zugriffs eingesetzt werden. Ein CISO aus dem Finanzdienstleistungssektor drückt es so aus: "Die Cloudsicherheit ist sehr gut, wenn sie richtig eingerichtet wird. Die Cloud selbst und ihre Komponenten sind sicher. Aber alles hängt von der Konfiguration ab: Schreibe ich meinen Code richtig? Konfiguriere ich meine Konnektoren im Unternehmen richtig?" Ein anderer Sicherheitsverantwortlicher bringt die Herausforderung folgendermaßen auf den Punkt: "Es ist die Fehlkonfiguration dieser Clouddienste, die sie für Bedrohungsakteure zugänglich macht". Da sich immer mehr Sicherheitsverantwortliche der Risiken durch Fehlkonfigurationen in der Cloud bewusst werden, hat sich die Diskussion rund um die Cloudsicherheit von der Frage "Ist die Cloud sicher?" auf die Frage "Nutze ich die Cloud sicher?" verlagert.
Was bedeutet es aber, die Cloud sicher zu nutzen? Viele der Verantwortlichen, mit denen ich spreche, gehen an die Cloudsicherheitsstrategie von unten heran, indem sie die menschlichen Fehler berücksichtigen, die das Unternehmen einem Risiko aussetzen, wie die Kompromittierung von Identitäten und Fehlkonfigurationen. Dies entspricht auch unseren Empfehlungen: Der Schutz von Identitäten und die anpassungsfähige Verwaltung ihrer Zugriffsrechte sind für jede Cloudsicherheitsstrategie von grundlegender Bedeutung.
Für alle, die noch unschlüssig sind: Laut McAfee wurden 70 Prozent der ungeschützten Datensätze – 5,4 Milliarden – aufgrund falsch konfigurierter Dienste und Portale kompromittiert. Die Zugriffsverwaltung durch Verfahren zur Identitätsprüfung und die Umsetzung einer strengen Sicherheitshygiene können wesentlich dazu beitragen, die Lücken zu schließen. McAfee berichtete auch, dass 70 Prozent der ungeschützten Datensätze – 5,4 Milliarden – aufgrund falsch konfigurierter Dienste und Portale kompromittiert wurden. Die Zugriffsverwaltung durch Verfahren zur Identitätsprüfung und die Umsetzung einer strengen Sicherheitshygiene können wesentlich dazu beitragen, die Lücken zu schließen.
Eine zuverlässige Cloudsicherheitsstrategie umfasst die folgenden Best Practices:
1. Implementierung einer durchgängigen CNAPP-Strategie (Cloud-Native Application Protection Platform): Das Sicherheitsmanagement mit fragmentierten Tools kann zu blinden Flecken im Hinblick auf den Schutz und zu höheren Kosten führen. Eine All-in-One-Plattform, mit der Sie Sicherheitsmaßnahmen vom Code bis zur Cloud einbetten können, ist entscheidend, um die Angriffsfläche in der Cloud insgesamt zu verringern und den Schutz vor Bedrohungen zu automatisieren. Die CNAPP-Strategie umfasst folgende Best Practices:
a. Sicherheit muss in DevOps von Anfang an Priorität haben. In der Eile, mit der Cloud-Anwendungen entwickelt werden, kann die Sicherheit auf der Strecke bleiben. Entwickler haben in der schnellen Lösung eines Geschäftsproblems einen Anreiz, verfügen aber möglicherweise nicht über die erforderlichen Kenntnisse im Bereich der Cloudsicherheit. Infolgedessen können sich immer mehr Anwendungen ohne angemessene Datenautorisierungsregeln ausbreiten. APIs sind zu einem bevorzugten Ziel von Hackern geworden, da Unternehmen angesichts des Entwicklungstempos von Cloudanwendungen oft nicht in der Lage sind, den Überblick über sie zu behalten. Gartner identifiziert im "API-Wildwuchs" ein wachsendes Problem und prognostiziert, dass bis 2025 weniger als die Hälfte der Unternehmens-APIs verwaltet sein werden (Gartner). Daher ist es wichtig, so schnell wie möglich eine DevSecOps-Strategie zu implementieren.
b. Erhöhung der Cloudsicherheit und Behebung von Fehlkonfigurationen. Fehlkonfigurationen sind die häufigste Ursache für Sicherheitsverletzungen in der Cloud – siehe die Liste der häufigsten Fehlkonfigurationen bei Sicherheitsgruppen der Cloud Security Alliance . Während die Sichtbarkeit von Speicherressourcen für die Öffentlichkeit die häufigste Befürchtung ist, die uns gegenüber geäußert wird, nennen CISOs auch andere Bereiche, die vernachlässigt werden: deaktivierte Überwachung und Protokollierung, zu umfangreiche Berechtigungen, ungeschützte Backups, uvm. Verschlüsselung ist ein wichtiger Schutzfaktor gegen Verwaltungsfehler – und entscheidend, um das Risiko von Ransomware zu verringern. Cloud Security Posture Management-Tools bieten eine zusätzliche Sicherheitsschiene: Sie überwachen Cloud-Ressourcen auf Schwachstellen und Fehlkonfigurationen, bevor es zu einer Sicherheitsverletzung kommt, so dass Sie die Angriffsfläche proaktiv reduzieren können.
c. Automatisierung der Erkennung, Reaktion auf und Analyse von Vorfällen. Das Erkennen und Beheben von Fehlkonfigurationen ist eine gute Sache, aber wir müssen auch sicherstellen, dass wir die richtigen Werkzeuge und Verfahren nutzen können, um Angriffe zu erkennen, die die Schutzmaßnahmen durchbrochen haben. Tools zur Bedrohungserkennung und für das Reaktionsmanagement können dabei helfen.
d. Richtige Zugriffsverwaltung. Multi-Faktor-Authentifizierung, Single Sign-On, rollenbasierte Zugriffssteuerung, Berechtigungsmanagement und Zertifizierungen helfen, die beiden größten Risikofaktoren für die Cloudsicherheit in den Griff zu bekommen: den Benutzer und falsch konfigurierte digitale Objekte. Eine bewährte CIEM-Praxis (Cloud Infrastructure Entitlement Management, Berechtigungsverwaltung für die Cloudinfrastruktur) ist es, die Zugriffsrechte auf ein Minimum zu beschränken. Einige führende Unternehmen nutzen eine Lösung für die Identitäts- oder Berechtigungsverwaltungt, um aktive Sicherheitskontrollen einzurichten. Ein führendes Finanzdienstleistungsunternehmen verlässt sich auf den Cloud Access Security Broker (CASB) als "wichtige Verstärkung", um die SaaS-Dienste des Unternehmens zu verwalten und die Kontrolle über Benutzer und Daten zu behalten. Der CASB fungiert als Vermittler zwischen Benutzern und Cloudanwendungen, bietet Transparenz und erzwingt Governance-Maßnahmen durch Richtlinien. Der CASB fungiert als Vermittler zwischen Benutzern und Cloudanwendungen, bietet Transparenz und erzwingt Governance-Maßnahmen durch Richtlinien.
Eine cloudnative Plattform für den Anwendungsschutz wie jene in Microsoft Defender for Cloud bietet nicht nur Transparenz für Multi-Cloud-Ressourcen, sondern auch Schutz für die gesamte Umgebung, während Bedrohungen überwacht und Warnungen mit Vorfällen korreliert werden, alles in Ihr SIEM integriert. Dies vereinfacht Untersuchungen und hilft Ihren SOC-Teams, den Überblick über plattformübergreifende Warnungen zu behalten.
Ein Minimum an Prävention – das Schließen von Lücken im Bereich Identitäten und das Beheben von Fehlkonfigurationen – in Kombination mit zuverlässigen Tools zur Angriffsabwehr trägt wesentlich zur Sicherung der gesamten Cloudumgebung bei, vom Unternehmensnetzwerk bis hin zu Clouddiensten.
Umfassende Sicherheit fängt bei der Transparenz an und endet bei einem an Prioritäten ausgerichteten Risikomanagement
Der Übergang zu einer cloudzentrierten IT setzt Unternehmen nicht nur Implementierungslücken aus, sondern auch Problemen, die mit einer wachsenden Anzahl vernetzter Ressourcen – Geräte, Anwendungen, Endpunkte – und exponierten Cloud-Workloads einhergehen. Sicherheitsverantwortliche verwalten den Sicherheitsstatus in dieser perimeterlosen Umgebung mithilfe von Technologien, die Transparenz und priorisierte Reaktionen ermöglichen. Diese Tools unterstützen Unternehmen bei der Erstellung eines Ressourceninventars, das die gesamte Angriffsfläche abdeckt und sowohl verwaltete als auch nicht verwaltete Geräte innerhalb und außerhalb des Unternehmensnetzwerks umfasst. Mithilfe dieser Ressourcen können CISOs den Sicherheitsstatus jedes einzelnen Geräts und dessen Rolle im Unternehmen bestimmen und ein nach Prioritäten gegliedertes Risikomodell ausarbeiten.
In unseren Gesprächen mit führenden Sicherheitsexperten konnten wir eine Entwicklung von perimeterbasierter Sicherheit hin zu einem sicherheitsstatusbasierten Ansatz beobachten, der ein grenzenloses Ökosystem berücksichtigt.
Ein CISO drückte es so aus: "Für mich reicht der Sicherheitsstatus bis zur Identität ... Wir betrachten ihn nicht nur im Sinne des alten, traditionellen Ansatzes, bei dem es um den Perimeter ging, sondern wir verschieben das Ganze hinunter bis zum Endpunkt." (Versorgungswirtschaft/Wasser, 1.390 Mitarbeiter) "Die Identität ist zum neuen Perimeter geworden", kommentiert ein FinTech-CISO und stellt die Frage: "Was bedeutet Identität in diesem neuen Modell, in dem es kein Außen und Innen mehr gibt?" (FinTech, 15.000 Mitarbeiter)
Angesichts dieser durchlässigen Umgebung verstehen CISOs die Dringlichkeit eines umfassenden Posture Managements – aber viele fragen sich, ob sie über die Ressourcen und die digitale Reife verfügen, um dies in die Praxis umzusetzen. Glücklicherweise ist ein umfassendes Posture Management für die meisten Unternehmen in greifbare Nähe gerückt, dank einer Kombination aus branchenerprobten Frameworks (die an die heutigen Anforderungen angepasst wurden) und innovativer Sicherheitslösungen.
Statten Sie Ihre Cyberinfrastruktur mit Tools aus, die eine Bestandsaufnahme Ihrer Ressourcen ermöglichen. Zweitens: Schauen Sie sich an, welche davon kritisch sind, welche das größte Risiko für das Unternehmen darstellen, und machen Sie sich mit den potenziellen Schwachstellen dieser Geräte vertraut, und entscheiden Sie dann, ob dies akzeptabel ist – muss ich sie patchen oder isolieren?
Ken Malcolmson, Executive Security Advisor, Microsoft
Im Folgenden werden einige Best Practices und Tools beschrieben, die von Sicherheitsverantwortlichen eingesetzt werden, um den Sicherheitsstatus in einer offenen, cloudzentrierten Umgebung zu kontrollieren:
1. Umfassende Transparenz durch Bestandsaufnahme der Ressourcen erreichen
Transparenz ist der erste Schritt zu einem ganzheitlichen Posture Management. CISOs fragen sich: "Kennen wir überhaupt alles, was wir haben? Haben wir überhaupt die nötige Transparenz, um zur Verwaltung übergehen zu können?" Eine Bestandsaufnahme der Risikoobjekte umfasst IT-Ressourcen wie Netzwerke und Anwendungen, Datenbanken, Server, Cloud-Objekte, IoT-Objekte sowie die in dieser digitalen Infrastruktur gespeicherten Daten und IP-Ressourcen. Die meisten Plattformen wie Microsoft 365 oder Azure bieten integrierte Tools für die Bestandsaufnahme, die Sie bei den ersten Schritten unterstützen können.
Transparenz ist der erste Schritt zu einem ganzheitlichen Posture Management. CISOs fragen sich: "Kennen wir überhaupt alles, was wir haben? Haben wir überhaupt die nötige Transparenz, um zur Verwaltung übergehen zu können?" Eine Bestandsaufnahme der Risikoobjekte umfasst IT-Ressourcen wie Netzwerke und Anwendungen, Datenbanken, Server, Cloud-Objekte, IoT-Objekte sowie die in dieser digitalen Infrastruktur gespeicherten Daten und IP-Ressourcen. Die meisten Plattformen wie Microsoft 365 oder Azure bieten integrierte Tools für die Bestandsaufnahme, die Sie bei den ersten Schritten unterstützen können.
2. Schwachstellenbewertung und Risikoanalyse
Sobald eine Organisation über ein umfassendes Ressourceninventar verfügt, kann das Risiko sowohl in Bezug auf interne Schwachstellen als auch auf externe Bedrohungen analysiert werden. Dieser Schritt hängt stark vom Kontext ab und ist für jedes Unternehmen unterschiedlich. Eine zuverlässige Risikobewertung hängt zudem von einer starken partnerschaftlichen Zusammenarbeit zwischen den Sicherheits-, IT- und Datenteams ab. Dieses interdisziplinäre Team nutzt für seine Analyse Tools zur automatisierten Risikobewertung und -priorisierung, wie beispielsweise die in Microsoft Entra ID, Microsoft Defender XDR und Microsoft 365 integrierten Tools zur Risikopriorisierung. Technologien zur automatisierten Risikobewertung und -priorisierung können auch fachliche Unterstützung bei der Behebung von Lücken sowie kontextbezogene Informationen für eine effektive Reaktion auf Bedrohungen umfassen.
Sobald eine Organisation über ein umfassendes Ressourceninventar verfügt, kann das Risiko sowohl in Bezug auf interne Schwachstellen als auch auf externe Bedrohungen analysiert werden. Dieser Schritt hängt stark vom Kontext ab und ist für jedes Unternehmen unterschiedlich. Eine zuverlässige Risikobewertung hängt zudem von einer starken partnerschaftlichen Zusammenarbeit zwischen den Sicherheits-, IT- und Datenteams ab. Dieses interdisziplinäre Team nutzt für seine Analyse Tools zur automatisierten Risikobewertung und -priorisierung, wie beispielsweise die in Microsoft Entra ID, Microsoft Defender XDR und Microsoft 365 integrierten Tools zur Risikopriorisierung. Technologien zur automatisierten Risikobewertung und -priorisierung können auch fachliche Unterstützung bei der Behebung von Lücken sowie kontextbezogene Informationen für eine effektive Reaktion auf Bedrohungen umfassen.
3. Priorisierung von Risiken und Sicherheitsanforderungen mithilfe von Geschäftsrisikomodellen
Auf der Grundlage eines klaren Verständnisses der Risikolandschaft können technische Teams gemeinsam mit der Geschäftsleitung Prioritäten für Sicherheitsmaßnahmen im Hinblick auf die Geschäftsanforderungen festlegen. Berücksichtigen Sie die Rolle jeder Ressource, ihren Wert für das Unternehmen und das Risiko für das Unternehmen, wenn sie kompromittiert wird, und stellen Sie sich Fragen wie "Wie vertraulich sind diese Informationen und welche Auswirkungen hätte ihre Preisgabe auf das Unternehmen?" oder "Wie geschäftskritisch sind diese Systeme, welche Auswirkungen hätte ein Ausfall auf das Unternehmen?" Microsoft bietet Tools zur Identifizierung und Priorisierung von Schwachstellen entsprechend der Geschäftsrisikomodellierung an, darunter die Microsoft-Sicherheitsbewertung, die Microsoft-Compliancebewertung, die Azure-Sicherheitsbewertung, Microsoft Defender External Attack Surface Management und Microsoft Defender Vulnerability Management.
Auf der Grundlage eines klaren Verständnisses der Risikolandschaft können technische Teams gemeinsam mit der Geschäftsleitung Prioritäten für Sicherheitsmaßnahmen im Hinblick auf die Geschäftsanforderungen festlegen. Berücksichtigen Sie die Rolle jeder Ressource, ihren Wert für das Unternehmen und das Risiko für das Unternehmen, wenn sie kompromittiert wird, und stellen Sie sich Fragen wie "Wie vertraulich sind diese Informationen und welche Auswirkungen hätte ihre Preisgabe auf das Unternehmen?" oder "Wie geschäftskritisch sind diese Systeme, welche Auswirkungen hätte ein Ausfall auf das Unternehmen?" Microsoft bietet Tools zur Identifizierung und Priorisierung von Schwachstellen entsprechend der Geschäftsrisikomodellierung an, darunter die Microsoft-Sicherheitsbewertung, die Microsoft-Compliancebewertung, die Azure-Sicherheitsbewertung, Microsoft Defender External Attack Surface Management und Microsoft Defender Vulnerability Management.
4. Erarbeitung einer Posture Management-Strategie
Ein Ressourceninventar, eine Risikoanalyse und ein Geschäftsrisikomodell bilden die Grundlage für ein umfassendes Posture Management. Diese Transparenz und die gewonnenen Erkenntnisse helfen dem Sicherheitsteam bei der Entscheidung, wie Ressourcen am besten zugewiesen werden, welche Härtungsmaßnahmen anzuwenden sind und wie der Kompromiss zwischen Risiko und Nutzbarkeit für jedes Netzwerksegment optimiert werden kann.
Ein Ressourceninventar, eine Risikoanalyse und ein Geschäftsrisikomodell bilden die Grundlage für ein umfassendes Posture Management. Diese Transparenz und die gewonnenen Erkenntnisse helfen dem Sicherheitsteam bei der Entscheidung, wie Ressourcen am besten zugewiesen werden, welche Härtungsmaßnahmen anzuwenden sind und wie der Kompromiss zwischen Risiko und Nutzbarkeit für jedes Netzwerksegment optimiert werden kann.
Posture-Management-Lösungen bieten Transparenz und Schwachstellenanalyse, durch die Unternehmen erfahren, worauf sie sich bei der Verbesserung ihres Sicherheitsstatus konzentrieren müssen. Auf dieser Grundlage können sie wichtige Bereiche ihrer Angriffsfläche identifizieren und priorisieren.
Setzen Sie auf Zero Trust und Sicherheitshygiene, um die Kontrolle über stark heterogene und hypervernetzte IoT- und OT-Umgebungen zu behalten.
Die beiden genannten Herausforderungen – die Lücke bei der Cloud-Implementierung und die Zunahme der mit der Cloud verbundenen Geräte – führen zu einer äußerst kritischen Risikosituation in IoT- und OT-Geräteumgebungen. Neben dem inhärenten Risiko einer erweiterten Angriffsfläche durch IoT- und OT-Geräte berichten mir Sicherheitsverantwortliche, dass sie versuchen, die Verschmelzung von neuen IoT- und älteren OT-Strategien zu rationalisieren. Das IoT mag zwar cloudbasiert sein, aber bei diesen Geräten steht häufig die geschäftliche Zweckmäßigkeit über grundlegender Sicherheit, während es sich bei den OT-Geräten in der Regel um herstellerverwaltete Altgeräte handelt, die ohne moderne Sicherheitsvorkehrungen entwickelt und ad hoc in das IT-Netzwerk des Unternehmens integriert wurden.
IoT- und OT-Geräte ermöglichen es Unternehmen, ihre Arbeitsumgebung zu modernisieren, zunehmend datengestützt zu arbeiten und die Anforderungen an die Mitarbeiter durch strategische Anpassungen wie Fernverwaltung und Automatisierung zu reduzieren. Die International Data Corporation (IDC) schätzt, dass es bis 2025 41,6 Milliarden mit dem Internet verbundene IoT-Geräte geben wird, eine Wachstumsrate, die diejenige der traditionellen IT-Geräte übertrifft.
Diese Entwicklung birgt jedoch auch erhebliche Risiken. In unserem Cyber Signals-Bericht "The Convergence of IT and Operational Technology" (Dezember 2022) hatten wir die Risiken für kritische Infrastrukturen untersucht, die von diesen Technologien ausgehen.
Dies sind die wichtigsten Ergebnisse:
1. 75 % der gängigsten industriellen Steuerungen in OT-Netzwerken von Kunden weisen ungepatchte hochkritische Schwachstellen auf.
2. Zwischen 2020 und 2022 gab es einen 78-prozentigen Anstieg bei der Offenlegung hochkritischer Schwachstellen in industriellen Steuerungssystemen gängiger Hersteller.
3. Auf vielen Geräten, die über das Internet öffentlich zugänglich sind, läuft nicht unterstützte Software. Beispielsweise ist die veraltete Software Boa in IoT-Geräten und Software Development Kits (SDKs) immer noch weit verbreitet.
IoT-Geräte sind oft das schwächste Glied in der digitalen Infrastruktur. Da sie nicht wie herkömmliche IT-Geräte verwaltet, aktualisiert oder gepatcht werden, können sie Angreifern als leichtes Einfallstor dienen, um in das IT-Netzwerk einzudringen. Sobald auf IoT-Geräte zugegriffen wird, sind sie anfällig für die Ausführung von Remote-Code. Ein Angreifer kann die Kontrolle übernehmen und Schwachstellen ausnutzen, um Botnets oder Malware in ein IoT-Gerät einzuschleusen. Dieses kann dann als Einfallstor für das gesamte Netzwerk dienen.
OT-Geräte stellen ein noch größeres Risiko dar, da viele von ihnen für den Geschäftsbetrieb einer Organisation von entscheidender Bedeutung sind. Während sie in der Vergangenheit offline oder physisch vom IT-Netzwerk des Unternehmens isoliert waren, sind OT-Netzwerke heute zunehmend mit IT- und IoT-Systemen vermischt. Unsere in Zusammenarbeit mit dem Ponemon Institute durchgeführte Studie "The State of IoT/OT Cybersecurity in the Enterprise" (November 2021) hat ergeben, dass mehr als die Hälfte der OT-Netzwerke inzwischen mit den (Geschäfts-)IT-Netzwerken des Unternehmens verbunden sind. Ähnlich viele Unternehmen (56 %) verfügen über Geräte in ihrem OT-Netz für Szenarien wie den Fernzugriff.
„Nahezu alle Angriffe der letzten Jahre begannen mit dem Erstzugriff auf ein IT-Netzwerk und weiteten sich dann auf die OT-Umgebung aus.“
David Atch, Microsoft Threat Intelligence, Head of IoT/OT Security Research
OT-Konnektivität setzt Unternehmen dem Risiko erheblicher Beeinträchtigungen und Ausfallzeiten im Falle eines Angriffs aus. Operative Technologie ist oft von zentraler Bedeutung für den Geschäftsbetrieb und stellt daher für Angreifer ein verlockendes Ziel dar, das sie ausnutzen können, um erheblichen Schaden anzurichten. Die Geräte selbst können leichte Ziele sein, da es sich häufig um veraltete Hardware handelt, die von Haus aus unsicher ist, aus der Zeit vor modernen Sicherheitsverfahren stammt und aufgrund proprietärer Protokolle für Standard-IT-Überwachungswerkzeuge möglicherweise nicht sichtbar ist. Angreifer machen sich diese Technologien zunutze, indem sie ungeschützte Systeme mit Internetzugang ausfindig machen, sich mit den Anmeldedaten von Mitarbeitenden Zugang verschaffen oder die Zugangsberechtigungen von Drittanbietern und Auftragnehmern ausnutzen. Unüberwachte ICS-Protokolle sind ein häufiger Einstiegspunkt für OT-spezifische Angriffe (Microsoft-Bericht über digitale Abwehr, 2022).
Zur Bewältigung der besonderen Herausforderungen bei der Verwaltung der Sicherheit des IoT und der OT in dieser vielfältigen Mischung von Geräten, die auf unterschiedliche Art und Weise mit dem IT-Netzwerk verbunden sind, sollten Sicherheitsverantwortliche die folgenden Best Practices befolgen:
1. Für vollständige Gerätetransparenz sorgen
Eine wichtige Grundlage für ein effektives IoT/OT-Management ist es, alle Ressourcen in einem Netzwerk zu kennen, zu wissen, wie sie miteinander verbunden sind, und die mit den einzelnen Verbindungspunkten verknüpften geschäftlichen Risiken und Bedrohungen zu verstehen. Eine IoT- und OT-taugliche NDR-Lösung (Network Detection and Response) und ein SIEM wie Microsoft Sentinel können Ihnen auch dabei helfen, einen tieferen Einblick in die IoT/OT-Geräte in Ihrem Netzwerk zu erhalten und diese auf anomales Verhalten wie Kommunikation mit unbekannten Hosts zu überwachen. (Weitere Informationen zur Verwaltung offener ICS-Protokolle bei OT finden Sie unter "The Unique Security Risk of IOT Devices", Microsoft Security).
Eine wichtige Grundlage für ein effektives IoT/OT-Management ist es, alle Ressourcen in einem Netzwerk zu kennen, zu wissen, wie sie miteinander verbunden sind, und die mit den einzelnen Verbindungspunkten verknüpften geschäftlichen Risiken und Bedrohungen zu verstehen. Eine IoT- und OT-taugliche NDR-Lösung (Network Detection and Response) und ein SIEM wie Microsoft Sentinel können Ihnen auch dabei helfen, einen tieferen Einblick in die IoT/OT-Geräte in Ihrem Netzwerk zu erhalten und diese auf anomales Verhalten wie Kommunikation mit unbekannten Hosts zu überwachen. (Weitere Informationen zur Verwaltung offener ICS-Protokolle bei OT finden Sie unter "The Unique Security Risk of IOT Devices", Microsoft Security).
2. Netzwerke segmentieren und Zero Trust-Prinzipien anwenden.
Wo immer möglich, sollten Netzwerke segmentiert werden, um im Falle eines Angriffs eine Ausbreitung im System zu verhindern. IoT-Geräte und OT-Netzwerke sollten durch Firewalls vom IT-Netzwerk des Unternehmens abgeschirmt oder isoliert werden. Es ist jedoch auch wichtig, davon auszugehen, dass OT und IT bereits zusammengetroffen sind, und entsprechend Zero Trust-Protokolle für die gesamte Angriffsfläche zu erstellen. Die Segmentierung von Netzwerken ist immer seltener möglich. Für reglementierte Organisationen wie jene des Gesundheitswesens, Versorgungsunternehmen und die Fertigungsindustrie ist die Verbindung von OT und IT von zentraler Bedeutung für den Geschäftsbetrieb. Beispiele sind Mammographiegeräte oder intelligente MRT-Geräte, die mit EGA-Systemen (elektronische Gesundheitsakte) kommunizieren, intelligente Fertigungsstraßen oder Wasseraufbereitungsanlagen, die eine Fernüberwachung erfordern. In diesen Fällen ist Zero Trust von entscheidender Bedeutung.
Wo immer möglich, sollten Netzwerke segmentiert werden, um im Falle eines Angriffs eine Ausbreitung im System zu verhindern. IoT-Geräte und OT-Netzwerke sollten durch Firewalls vom IT-Netzwerk des Unternehmens abgeschirmt oder isoliert werden. Es ist jedoch auch wichtig, davon auszugehen, dass OT und IT bereits zusammengetroffen sind, und entsprechend Zero Trust-Protokolle für die gesamte Angriffsfläche zu erstellen. Die Segmentierung von Netzwerken ist immer seltener möglich. Für reglementierte Organisationen wie jene des Gesundheitswesens, Versorgungsunternehmen und die Fertigungsindustrie ist die Verbindung von OT und IT von zentraler Bedeutung für den Geschäftsbetrieb. Beispiele sind Mammographiegeräte oder intelligente MRT-Geräte, die mit EGA-Systemen (elektronische Gesundheitsakte) kommunizieren, intelligente Fertigungsstraßen oder Wasseraufbereitungsanlagen, die eine Fernüberwachung erfordern. In diesen Fällen ist Zero Trust von entscheidender Bedeutung.
3. Grundlegende Sicherheitsmaßnahmen im IoT/OT-Management anwenden
Sicherheitsteams können Lücken schließen, indem sie einige grundlegende Hygienemaßnahmen ergreifen, z. B:
Sicherheitsteams können Lücken schließen, indem sie einige grundlegende Hygienemaßnahmen ergreifen, z. B:
- Vermeidung unnötiger Internetverbindungen und offener Ports, Einschränkung oder Unterbindung des Fernzugriffs und Nutzung von VPN-Diensten
- Gewährleistung der Gerätesicherheit durch Anwendung von Patches und Änderung von Standardpasswörtern und -ports
- Sicherstellen, dass ICS-Protokolle nicht direkt über das Internet zugänglich sind
Konkrete Anleitungen, wie dieses Maß an Transparenz und Kontrolle erreicht werden kann, finden Sie unter "The Unique Risk of IoT/OT Devices", Microsoft Security Insider.
Umsetzbare Erkenntnisse
1. Verwenden Sie eine IoT/OT-fähige NDR-Lösung (Network Detection and Response) und eine SIEM/SOAR-Lösung (Security Information and Event Management und Security Orchestration and Response), um einen tieferen Einblick in IoT- und OT-Geräte in Ihrem Netzwerk zu erhalten und Geräte auf anomales oder unerlaubtes Verhalten zu überwachen, wie etwa die Kommunikation mit unbekannten Hosts.
2. Schützen Sie Engineering-Stationen durch die Überwachung mit EDR-Lösungen (Endpoint Detection and Response, Erkennung und Reaktion am Endpunkt).
3. Verringern Sie die Angriffsfläche, indem Sie unnötige Internetverbindungen und offene Ports vermeiden, den Fernzugriff durch das Sperren von Ports einschränken, den Fernzugriff unterbinden und VPN-Dienste nutzen.
4. Sicherstellen, dass ICS-Protokolle nicht direkt über das Internet zugänglich sind.
5. Segmentieren Sie Netzwerke, um die Möglichkeiten von Angreifern einzuschränken, sich nach dem Eindringen im System auszubreiten und Ressourcen zu kompromittieren. IoT-Geräte und OT-Netzwerke sollten durch Firewalls von firmeneigenen IT-Netzwerken isoliert werden.
6. Sorgen Sie für die Sicherheit von Geräten, indem Sie Patches anwenden sowie Standardkennwörter und -ports ändern.
7. Gehen Sie davon aus, dass OT und IT bereits zusammengetroffen sind, und erstellen Sie entsprechend Zero Trust-Protokolle für die gesamte Angriffsfläche.
8. Stellen Sie eine einheitliche Ausrichtung zwischen OT und IT in der Organisation sicher, indem Sie für mehr Transparenz sorgen und die Teameinbindung fördern.
9. Wenden Sie immer bewährte IoT- und OT-Sicherheitspraktiken an, die auf grundlegender Threat Intelligence basieren.
Angesichts zunehmender Bedrohungen und des Drucks, mit weniger Ressourcen mehr zu erreichen, ergreifen Sicherheitsverantwortliche die Chance, ihre digitalen Ressourcen zu rationalisieren, und die Cloud wird zur Grundlage einer modernen Sicherheitsstrategie. Wie wir gesehen haben, überwiegen die Vorteile eines cloudzentrierten Ansatzes bei weitem die Risiken – insbesondere für Unternehmen, die Best Practices anwenden, um ihre Cloudumgebungen durch eine zuverlässige Cloudsicherheitsstrategie, ein umfassendes Posture Management und spezifische Taktiken zum Schließen von Lücken am IoT/OT-Edge zu schützen.
In unserer nächsten Ausgabe werden wir weitere Analysen und Erkenntnisse zum Thema Sicherheit präsentieren. Danke fürs Lesen des CISO Insider!
Konkrete Anleitungen, wie dieses Maß an Transparenz und Kontrolle erreicht werden kann, finden Sie unter "The Unique Risk of IoT/OT Devices", Microsoft Security Insider.
Für alle genannten Forschungsprojekte von Microsoft wurden Sicherheitsexperten im Rahmen quantitativer und qualitativer Studien über unabhängige Forschungsunternehmen befragt. Dabei wurden sowohl Vertraulichkeit als auch analytische Genauigkeit gewahrt. Sofern nicht anders angegeben, sind die in diesem Dokument verwendeten Zitate ein Ergebnis aus Forschungsstudien von Microsoft.
Microsoft folgen