קבל תובנות ישירות מהמומחים בפודקאסט של בינת האיומים של Microsoft. האזן עכשיו.
CISO Insider: גיליון 3
ברוכים הבאים למהדורה השלישית בסדרת CISO Insider. שמי רוב לפרטס ואני מוביל את צוותי ההנדסה של Microsoft Defender ו- Sentinel. השקנו את הסדרה הזו לפני כשנה כדי לשתף תובנות מהדיונים שלנו עם חלק מעמיתיכם וכן מהמחקר והניסיון שלנו בעבודה בקווי החזית של אבטחת הסייבר.
שתי המהדורות הראשונות שלנו התייחסו לאיומים המסלימים כגון תוכנת כופר וכיצד מנהלי האבטחה משתמשים באוטומציה ובהזדמנויות לשדרוג המיומנויות כדי להגיב ביעילות לאיומים אלה לנוכח המחסור המתמשך בכישרונות. כאשר מנהלי אבטחת מידע עומדים מול לחץ רב אף יותר לפעול ביעילות בחוסר הוודאות הכלכלית השורר כיום, רבים מהם מחפשים למטב את השימוש בפתרונות מבוססי ענן ובשירותי אבטחה מנוהלים משולבים. במהדורה זו אנחנו בוחנים את סדרי העדיפות החדשים באבטחה נוכח המעבר של הארגונים למודל שממוקד יותר ויותר בענן – מעבר שכולל את כל התוכן במרחב הדיגיטלי, החל ממערכות מקומיות וכלה במכשירי IoT.
הענן הציבורי מציע מצב שבו כולם מרוויחים עם אבטחה יסודית חזקה, עלות חסכונית ומחשוב מדרגי, מה שהופך אותו למשאב מרכזי בזמנים של תקציבים מהודקים. אבל עם היתרון המשולש הזה מגיע צורך להתייחס לפערים שעולים במרחב בין הענן הציבורי לעננים הפרטיים ולמערכות מקומיות. אנחנו בודקים את מה שמנהלי אבטחה עושים כדי לנהל את האבטחה בחללי הסף בין מכשירי רשת, נקודות קצה, אפליקציות, עננים ושירותים מנוהלים. לבסוף, אנחנו רואים שתי טכנולוגיות שמייצגות את השיא של אתגר האבטחה הזה, IoT ו- OT. השילוב של שתי טכנולוגיות קוטביות אלה – אחת חדשה והשנייה מסורתית, ששתיהן נוספו לרשת בלי אבטחה מובנית הולמת – יוצר קצה מחוספס שחשוף למתקפה.
מהדורה 3 בוחנת את שלושת העדיפויות האלה, הממוקדות בענן:
הענן הוא מאובטח, אבל האם אתה מנהל באופן מאובטח את סביבת הענן שלך?
ארגונים רבים מחפשים יעילות חדשה בתגובה לאילוצים כלכליים ולמחסור בכישרונות ואימוץ הענן האיץ בהתאם. מנהלי אבטחת מידע נותנים אמון בשירותי הענן הציבורי לאבטחה המסורתית, אבל הענן אף פעם לא מאובטח יותר מהיכולת של הלקוח לנהל את הממשק בין הענן הציבורי לתשתית הפרטית. אנחנו בוחנים כיצד מנהלי האבטחה סוגרים את הפער הזה באמצעות אסטרטגיה חזקה לאבטחת ענן – לדוגמה על-ידי אבטחה של עומסי העבודה והאפליקציות בענן באמצעות כלים כמו ניהול מערך אבטחה בענן ופלטפורמה להגנת יישומים מובנית בענן (CNAPP).
מצב אבטחה כולל מתחיל בניראות ומסתיים בניהול מתועדף של סיכונים.
עם האימוץ המואץ של הענן מגיע ריבוי השירותים, נקודות הקצה, האפליקציות והמכשירים. בנוסף לאסטרטגיה לניהול נקודות החיבור החיוניות של הענן, מנהלי אבטחת מידע מזהים צורך בניראות ובתיאום טובים יותר לאורך טביעת הרגל הדיגיטלית המתרחבת שלהם – צורך בניהול מערך מקיף. אנחנו רואים איך מנהלי אבטחה מרחיבים את הגישה שלהם, החל ממניעת מתקפות (זו עדיין ההגנה הטובה ביותר, כל עוד היא מצליחה) ועד לניהול סיכונים באמצעות כלים לניהול מקיף של מערך אבטחה, שיעזרו ליצור רשימות של נכסים ולמדל סיכון עסקי – וכמובן בקרת זהות וגישה.
היעזר בשיטות 'אפס אמון' ובהיגיינה כדי להשתלט על הסביבה המרושתת במיוחד והמגוונת מאוד של IoT & OT.
ההתרחבות האקספוננציאלית של מכשירי IoT ו- OT מחוברים ממשיכה להעלות אתגרי אבטחה – בייחוד בהתחשב בקושי של תיאום בין טכנולוגיות המהוות שילוב של כלים מקוריים בענן של צד שלישי ושל ציוד מדור קודם שהותאם לעבודת רשת. מספר מכשירי IoT בעולם צפוי להגיע ל- 41.6 מיליארד עד 2025, מה שיוצר שטח תקיפה מורחב עבור תוקפים שמשתמשים במכשירים כאלה כנקודות כניסה למתקפות סייבר. מכשירים אלה נוטים להיות נקודות תורפה ברשת. ייתכן שהם נוספו אד-הוק ומחוברים לרשת ה- IT ללא הנחיה ברורה מצוות האבטחה; ייתכן שפותחו שלא על יסודות של אבטחה על-ידי צד שלישי או שהם מנוהלים באופן לא תקין על-ידי צוות האבטחה בגלל אתגרים כמו פרוטוקולים קנייניים ודרישות זמינות (OT). למד כמה מנהלי IT מפתחים עכשיו את אסטרטגיית אבטחת ה- IoT/OT שלהם כדי לנווט בתחום רצוף פערים זה.
הענן הוא מאובטח, אבל האם אתה מנהל באופן מאובטח את סביבת הענן שלך?
בזמנים של מחסור בכישרונות ותקציבים שהולכים ומתהדקים, הענן מציע יתרונות רבים – עלויות חסכוניות, משאבים המאפשרים שינוי קנה מידה ללא הגבלה, כלים חדשניים והגנת נתונים אמינה יותר ממה שרוב מנהלי האבטחה חושבים שהם יכולים להשיג באופן מקומי. בעוד שמנהלי אבטחת מידע רגילים לראות את משאבי הענן כפשרה בין חשיפה רבה יותר לסיכון וחסכוניות רבה יותר. רוב מנהלי האבטחה שאיתם אנחנו משוחחים היום אימצו את הענן כנורמה החדשה. הם מאמינים באבטחה יסודית חזקה של טכנולוגיית ענן: "אני מצפה שאצל ספקי שירותי הענן הכל תקין מבחינת ניהול זהויות וגישה, אבטחת המערכת והאבטחה הפיזית," אומר מנהל אבטחת מידע אחד.
אבל כפי שמבינים רוב מנהלי האבטחה, אבטחה בסיסית של הענן לא מבטחיה שהנתונים מאובטחים – הגנה על הנתונים שלכם בענן תלויה בחלק רב באופן שבו מיושמים שירותי הענן לצד מערכות מקומיות וטכנולוגיה תוצרת בית. הסיכונים מתעוררים בפערים שבין הענן לבין הגבול הארגוני המסורתי, לכללי המדיניות ולטכנולוגיות המשמשות לאבטחת הענן. מתרחשות תצורות שגויות ולעתים קרובות משאירות את הארגונים חשופים ותלויים בצוותי האבטחה לזיהוי וסגירה של הפערים.
"מספר גבוה של הפרות מתרחשות עקב תצורה שגויה, מישהו הגדיר משהו בצורה שגויה בטעות, או שינה משהו שאיפשר את דליפת הנתונים."
תשתיות – מים, 1,390 עובדים
עד 2023, 75 מהפרות האבטחה בענן ייגרמו על-ידי ניהול לא תקין של זהויות, גישה והרשאות, עלייה מ- 50% בשנת 2020 (תצורה שגויה ופגיעויות מהוות את הסיכונים הגדולים ביותר באבטחת ענן: דוח | CSO באינטרנט). האתגר הזה קיים לא רק באבטחת הענן עצמו, אלא גם בכללי המדיניות ובבקרות המשמשים לאבטחת גישה. כדברי שמנהל אבטח מידע בשירותים פיננסיים, "אבטחת הענן היא מצוינת אם היא נפרסה בצורה נכונה. הענן עצמו והרכיבים שלו מאובטחים. ואז עוברים לתצורה: האם אני כותב את הקוד היטב? האם אני מגדיר את המחברים מול הארגון כראוי?" מנהל אבטחה נוסף מסכם את האתגר: "התצורה השגויה של שירותי ענן אלה היא מה שחושף את השירותים לגורמי איום." ככל שמנהלי אבטחה רבים יותר מביעים את הסיכונים של תצורת ענן שגויה, השיחה בנושא אבטחת הענן עברה מ"האם הענן מאובטח?" ל"האם אני משתמש בענן באופן מאובטח?"
מה המשמעות של שימוש מאובטח בענן? מנהיגים רבים שאני מדבר איתם ניגשים לאסטרטגיית אבטחת הענן מהיסודות כלפי מעלה, ומתמודדים עם שגיאות האנוש שחושפות את הארגון לסיכון, כגון הפרות זהות ותצורות שגויות. זה מתיישר גם עם ההמלצות שלנו – אבטחה של זהויות וניהול מסתגל של הגישה שלהן הם חיוניים לחלוטין בכל אסטרטגיית אבטחת ענן.
לכל מי שעדיין מתלבט, אולי זה יעזור: McAfee דיווחה על כך ש- 70% מהרשומות שנחשפו לסיכון – 5.4 מיליארד – נפגעו עקב שירותים ופורטלים עם תצורה שגויה. ניהול של גישה באמצעות בקרות זהות ויישום היגיינת אבטחה חזקה יכולים לתרום הרבה לסגירת הפערים. באופן דומה, McAfee דיווחה על כך ש- 70% מהרשומות שנחשפו לסיכון – 5.4 מיליארד – נפגעו עקב שירותים ופורטלים עם תצורה שגויה. ניהול של גישה באמצעות בקרות זהות ויישום היגיינת אבטחה חזקה יכולים לתרום הרבה לסגירת הפערים.
אסטרטגיה חזקה לאבטחת ענן כוללת שתי שיטת עבודה מומלצת אלה:
1. הטמעת אסטרטגיה של פלטפורמת הגנה מקצה לקצה על אפליקציות מקורית לענן (CNAPP): ניהול אבטחה עם כלים מפוזרים יכול לגרום לשטחים מתים בהגנה ולגרור עלויות גבוהות. פלטפורמה רב-תכליתית שמאפשרת לך להטמיע את האבטחה מהקוד לענן היא חיונית כדי לצמצם את שטח התקיפה הכולל של הענן ולהפוך את ההגנה מפני איומים לאוטומטית. אסטרטגיית CNAPP מערבת את השיטות המומלצות הבאות:
א. לתעדף אבטחה מההתחלה ב- DevOps. האבטחה יכולה ליפול בין הכיסאות במרוץ לפיתוח אפליקציות תוכנה. למפתחים יש תמריץ לפתור במהירות בעיה עסקית וייתכן שחסרים להם מיומנויות של אבטחת ענן. כתוצאה מכך, תיתכן התרבות של אפליקציות בלי כללים הולמים להרשאת נתונים. ממשקי API הפכו למטרה מועדפת של תוקפים, מכיוון שלעתים קרובות ארגונים לא יכולים לעקוב אחריהם לנוכח הקצב של פיתוח יישומי הענן. Gartner מזהה את "התפשטות ה- API" כסוגיה מתרחבת, וצופה שעד 2025 פחות ממחצית ממשקי ה- API הארגוניים יהיו מנוהלים (Gartner). לכן חיוני ליישם אסטרטגיית DevSecOps במהירות האפשרית.
ב. חיזוק של מצב אבטחה כולל בענן ותיקון של תצורות שגויות. תצורות שגויות הם בין הסיבות הנפוצות ביותר להפרת ענן – כפי שמופיע ברשימת התצורות השגויות הנפוצות ביותר של הגדרות קבוצת אבטחה של Cloud Security Alliance . למרות שהחשש הנפוץ ביותר שאנחנו שומעים הוא השארת משאבי האחסון פתוחים לציבור, מנהלי אבטחת מידע מציינים גם תחומי הזנחה אחרים: ניטור ורישום מושבתים, הרשאות רבות מדי, גיבויים שאינם מוגנים ועוד. ההצפנה היא חומה חשובה כנגד ניהול לקוי – והיא חיונית כדי לצמצם את הסיכון לתוכנת כופר. כלי ניהול מצב האבטחה הכולל בענן מציעים שורת הגנה נוספת באמצעות ניטור של משאבי הענן לאיתור אזורים חשופים ותצורות שגויות לפני שתתרחש הפרה, כדי שיהיה ניתן לצמצם את שטח התקיפה באופן יזום.
ג. אוטומציה של זיהוי תקריות, תגובה אליהן וניתוח שלהן. זיהוי ותיקון של תצורות שגויות הם חשובים מאוד, אבל אנחנו חייבים גם להבטיח שיש לנו את הכלים והתהליכים לזיהוי המתקפות שעברו את ההגנות. כאן יכולים לעזור כלי ניהול של זיהוי איומים ותגובה אליהם.
ד. ניהול נכון של גישה. אימות רב-גורמי, כניסה יחידה, בקרת גישה המבוססת על תפקיד, ניהול הרשאות ואישורים יכולים לעזור בניהול שני הסיכונים הגדולים ביותר לאבטחת ענן: המשתמש ומאפיינים דיגיטליים שלא הוגדרו כראוי. אחת השיטות המומלצות לניהול זכאות לתשתית ענן (CIEM) היא גישה מינימלית. חלק מהמנהלים נשענים על פתרון ניהול גישה המבוססת על זהות או על פתרון ניהול זכאות להצבת בקרות אבטחה פעילות. מנהל אחד בתחום השירותים הפיננסיים מסתמך על סוכן אבטחה של גישה לענן (CASB) כעל "מחסום עיקרי" לניהול שירותי SaaS של הארגון ולשמירת הבקרה על המשתמשים ועל הנתונים. ה- CASB משמש כמתווך בין משתמשים ליישומי ענן ומספק ניראות ומאלץ פעולות פיקוח דרך כללי מדיניות. ה- CASB משמש כמתווך בין משתמשים ליישומי ענן ומספק ניראות ומאלץ פעולות פיקוח דרך כללי מדיניות.
פלטפורמה כזו להגנת יישומים מובנית בענן שמוצעת ב- Microsoft Defender for Cloud לא רק מציעה ניראות של משאבים בריבוי שירותי ענן, אלא גם מספקת הגנה בכל שכבות הסביבה תוך ניטור של איומים והתאמה של התראות לתקריות שמשתלבים ב- SIEM שלך. יכולות אלה מייעלות את החקירה ועוזרות לצוותי SOC שלך לעמוד בקצב של ההתראות המתקבלות ברחבי הפלטפורמה.
מניעה קטנה – סגירה של פערי זהות ותצורה שגויה – בשילוב עם כלים חזקים לתגובה למתקפות תורמים הרבה לאבטחת סביבת הענן כולה, החל מהרשת הארגונית ועד לשירותי הענן.
מצב אבטחה כולל מתחיל בניראות ומסתיים בניהול מתועדף של סיכונים.
המעבר ל- IT המתמקד בענן לא רק חושף את הארגון לפערי יישום, אלא גם למערך הולך ומתרחב של נכסים מרושתים – מכשירים, אפליקציות, נקודות קצה – וכן לעומסי עבודה חשופים בענן. מנהיגי האבטחה מנהלים את מצב האבטחה בסביבה חסרת גבולות זו באמצעות טכנולוגיות שמספקות ניראות ותגובה מתועדפת. הכלים האלה עוזרים לארגונים למפות מלאי נכסים שמכסה את שטח התקיפה כולו ומתפרס על מכשירים מנוהלים ולא מנוהלים, בתוך הרשת הארגונית ומחוצה לה. באמצעות משאבים אלה, מנהלי אבטחת מידע יכולים לגשת למצב האבטחה הכולל של כל נכס וכל לתפקיד שלו בעסק כדי לפתח מודל סיכון שמסודר לפי עדיפות.
בשיחות שלנו עם מנהלי אבטחה, אנחנו רואים התפתחות מאבטחה המבוססת על גבולות לגישה המבוססת על מצב אבטחה כולל, שמאמצת אקוסיסטמה ללא גבולות.
כדברי מנהל אבטחת מידע אחד, "בעיניי, מצב האבטחה מגיע עד לזהות... אנחנו לא מתייחסים אליו רק כאל מצב האבטחה המסורתי והישן שיש בו גבול, אלא מרחיבים אותו עד לנקודת הקצה." (תשתיות – מים, 1,390 עובדים). "הזהות הפכה לגבול החדש," מציין מנהל אבטחה בטכנולוגיית פיננסים, בשאלה: "מה המשמעות של זהות במודל החדש הזה, שבו אין חלוקה לתחומי חוץ ופנים?" (FinTech, 15,000 עובדים).
לנוכח סביבה 'נקבובית' זו, מנהלי אבטחת מידע מבינים את הדחיפות של ניהול מצב אבטחה מקיף – אבל רבים מהם תוהים אם יהיו להם המשאבים והבשלות הדיגיטלית כדי ליישם את החזון הזה. למרבה המזל, באמצעות שילוב של מסגרות מוכחות בתעשייה (המעודכנות לטובת הצרכים של היום) וחדשנות בתחום האבטחה, ניהול מקיף של מצב אבטחה הוא בר השגה עבור רוב הארגונים.
בתשתית הסייבר צריכים להיות כלים שמאפשרים לך לעשות רשימת מלאי של נכסים. שנית, בדוק אילו נכסים הם חיוניים, אילו מהם מהווים את הסיכון הגדול ביותר לארגון ולמד מהן נקודות התורפה הפוטנציאליות של מכשירים אלה. לאחר מכן יש לקבוע אם זה מתקבל – האם צריך לתקן או לבודד את הנכס הזה.
Ken Malcolmson, Executive Security Advisor, Microsoft
הנה מספר שיטות עבודה מומלצות וכלים שמנהלי אבטחה משתמשים בהם לניהול האבטחה בסביבה פתוחה המתמקדת בענן:
1. השגת ניראות מקיפה באמצעות רשימת נכסים.
הניראות היא השלב הראשון בניהול מקיף של מצב אבטחה. מנהלי אבטחת המידע שואלים, "האם אנחנו בכלל יודעים, כשלב ראשון, מה יש לנו שם? האם יש לנו בכלל ניראות לפני שנעבור לניהול?" רשימת נכסים בסיכון כוללת נכסי IT כמו רשתות ואפליקציות, מסדי נתונים, שרתים, מאפייני ענן, מאפייני IoT וכן הנתונים ונכסי ה- IP המאוחסנים בתשתית דיגיטלית זו. רוב הפלטפורמות, כמו Microsoft 365 או Azure, כוללות כלים מובנים ליצירת רשימות נכסים שיכולים לעזור לך להתחיל.
הניראות היא השלב הראשון בניהול מקיף של מצב אבטחה. מנהלי אבטחת המידע שואלים, "האם אנחנו בכלל יודעים, כשלב ראשון, מה יש לנו שם? האם יש לנו בכלל ניראות לפני שנעבור לניהול?" רשימת נכסים בסיכון כוללת נכסי IT כמו רשתות ואפליקציות, מסדי נתונים, שרתים, מאפייני ענן, מאפייני IoT וכן הנתונים ונכסי ה- IP המאוחסנים בתשתית דיגיטלית זו. רוב הפלטפורמות, כמו Microsoft 365 או Azure, כוללות כלים מובנים ליצירת רשימות נכסים שיכולים לעזור לך להתחיל.
2. הערכת פגיעות וניתוח סיכון.
אחרי שלארגון יש רשימת נכסים מקיפה, ניתן לנתח סיכון גם מבחינת פגיעויות פנימיות וגם מבחינת סיכונים חיצוניים. השלב הזה תלוי מאוד בהקשר והוא ייחודי לכל ארגון – הערכת סיכונים מהימנה תלויה בשותפות חזקה בין צוותי האבטחה, ה- IT והנתונים. הצוות חוצה הארגון הזה ממנף את הכלים האוטומטיים לניקוד וקביעת סדר עדיפות של סיכונים – לדוגמה, כלי קביעת סדר עדיפות של סיכונים המשולבים במזהה Microsoft Entra, Microsoft Defender XDR ו- Microsoft 365. טכנולוגיות אוטומטיות לניקוד וקביעת סדר עדיפות של סיכונים יכולות גם לשלב הדרכה של מומחים לסגירת הפערים וכל מידע הקשרי לתגובה יעילה לאיומים.
אחרי שלארגון יש רשימת נכסים מקיפה, ניתן לנתח סיכון גם מבחינת פגיעויות פנימיות וגם מבחינת סיכונים חיצוניים. השלב הזה תלוי מאוד בהקשר והוא ייחודי לכל ארגון – הערכת סיכונים מהימנה תלויה בשותפות חזקה בין צוותי האבטחה, ה- IT והנתונים. הצוות חוצה הארגון הזה ממנף את הכלים האוטומטיים לניקוד וקביעת סדר עדיפות של סיכונים – לדוגמה, כלי קביעת סדר עדיפות של סיכונים המשולבים במזהה Microsoft Entra, Microsoft Defender XDR ו- Microsoft 365. טכנולוגיות אוטומטיות לניקוד וקביעת סדר עדיפות של סיכונים יכולות גם לשלב הדרכה של מומחים לסגירת הפערים וכל מידע הקשרי לתגובה יעילה לאיומים.
3. קביעת עדיפות של סיכונים וצורכי אבטחה עם מידול סיכונים עסקיים.
כשיש להם הבנה ברורה של נוף הסיכונים, צוותים טכניים יכולים לעבוד עם מנהיגים עסקיים לקביעת העדיפות של התערבויות אבטחה ביחס לצרכים העסקיים. יש להביא בחשבון את התפקיד של כל נכס, את הערך שלו לעסק ואת הסיכון הנשקף לעסק אם הוא ייחשף לסכנה ולשאול שאלות כמו 'כמה רגיש המידע הזה ומה תהיה ההשפעה לעסק אם ייחשף?' או 'כמה חיוניות המערכות האלה לעסק – מה תהיה ההשפעה של זמן השבתה שלהן על העסק?' Microsoft מציעה כלים לתמיכה בזיהוי וקביעת עדיפות מקיפים של פגיעויות בהתאם למידול סיכונים עסקיים, וביניהם Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, ניהול שטח תקיפה חיצוני של Microsoft Defender וניהול פגיעויות של Microsoft Defender.
כשיש להם הבנה ברורה של נוף הסיכונים, צוותים טכניים יכולים לעבוד עם מנהיגים עסקיים לקביעת העדיפות של התערבויות אבטחה ביחס לצרכים העסקיים. יש להביא בחשבון את התפקיד של כל נכס, את הערך שלו לעסק ואת הסיכון הנשקף לעסק אם הוא ייחשף לסכנה ולשאול שאלות כמו 'כמה רגיש המידע הזה ומה תהיה ההשפעה לעסק אם ייחשף?' או 'כמה חיוניות המערכות האלה לעסק – מה תהיה ההשפעה של זמן השבתה שלהן על העסק?' Microsoft מציעה כלים לתמיכה בזיהוי וקביעת עדיפות מקיפים של פגיעויות בהתאם למידול סיכונים עסקיים, וביניהם Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, ניהול שטח תקיפה חיצוני של Microsoft Defender וניהול פגיעויות של Microsoft Defender.
4. יצירת אסטרטגיה לניהול מצב האבטחה הכולל.
הבסיס לניהול מצב אבטחה מקיף מורכב מרשימת נכסים, ניתוח סיכונים ומודל סיכונים עסקיים. הניראות והתובנות האלה עוזרות לצוות האבטחה לקבוע את אופן הקצאת המשאבים הטוב ביותר, להחליט אילו אמצעי חיזוק יש ליישם וכיצד יש למטב את הפשרה שבין הסיכון לשימושיות בכל מקטע ברשת.
הבסיס לניהול מצב אבטחה מקיף מורכב מרשימת נכסים, ניתוח סיכונים ומודל סיכונים עסקיים. הניראות והתובנות האלה עוזרות לצוות האבטחה לקבוע את אופן הקצאת המשאבים הטוב ביותר, להחליט אילו אמצעי חיזוק יש ליישם וכיצד יש למטב את הפשרה שבין הסיכון לשימושיות בכל מקטע ברשת.
פתרונות לניהול מצב אבטחה מציעים את ניתוח הניראות והפגיעות שעוזר לארגונים להבין היכן עליהם למקד את המאמצים לשיפור מערך האבטחה. עם תובנה זו הם יכולים לזהות ולתעדף אזורים חשובים בשטח התקיפה שלהם.
היעזרות בשיטות 'אפס אמון' ובהיגיינה כדי להשתלט על הסביבה המרושתת במיוחד והמגוונת מאוד של IoT ו- OT
שני אתגרים ששוחחנו עליהם – הפער ביישום הענן וריבוי המכשירים המחוברים לענן – יוצרים 'סערה מושלמת' של סיכונים בסביבות מכשירי IoT ו- OT. בנוסף לסיכון הפנימי של שטח תקיפה מורחב שנגרם על-ידי מכשירי IoT ו- OT, מנהלי האבטחה אומרים לי שהם מנסים ליצור רציונליזציה של השילוב בין אסטרטגיות IoT חדשות ואסטרטגיות OT מדור קודם. ה- IoT יכול להיות מקורי בענן, אבל המכשירים האלה מתעדפים לעתים קרובות את הכדאיות העסקית על אבטחה יסודית; OT נוטה להיות ציוד מדור קודם המנוהל על-ידי ספקים שפותח ללא אבטחה מודרנית ונוסף אד-הוק לרשת ה- IT של הארגון.
מכשירי IoT ו- OT עוזרים לארגונים להפוך את סביבות העבודה למודרניות, להתבסס יותר על נתונים ולהקטין את נטל הדרישות שעל הצוות באמצעות שינויים אסטרטגיים כגון ניהול מרוחק ואוטומציה. תאגיד הנתונים הבינלאומי (IDC) מעריך שעד שנת 2025 יהיו 41.6 מיליארד מכשירי IoT מחוברים, קצב צמיחה שעולה על זה של מכשירי IT מסורתיים.
אבל עם הזדמנות זו מגיע גם סיכון משמעותי. דוח 'אותות סייבר' שלנו לדצמבר 2022, ההתכנסות של IT וטכנולוגיה תפעולית, בחן את הסיכונים הנשקפים לתשתית חיונית הנגרמים על-ידי טכנולוגיות אלה.
הממצאים המרכזיים כוללים:
1. 75% מהבקרים התעשייתיים הנפוצים ביותר ברשתות OT של לקוחות כוללים פגיעויות חמורות שלא תוקנו.
2. מ- 2020 עד 2022 חלה עלייה של 78% בחשיפת פגיעויות חמורות בציוד בקרה תעשייתית שמיוצר על-ידי ספקים פופולריים.
3. במכשירים רבים שגלויים לציבור באינטרנט פועלת תוכנה שאינה נתמכת. לדוגמה, התוכנה המיושנת Boa עדיין נמצאת בשימוש רחב במכשירי IoT ובערכות פיתוח תוכנה (SDK).
לעתים קרובות, מכשירי IoT מייצגים את החוליה החדשה ביותר בנכס הדיגיטלי. מכיוון שאינם מנוהלים, מעודכנים או מתוקנים באופן זהה לזה של מכשירי IT מסורתיים, הם יכולים לשמש כשער נוח לתוקפים המעוניינים לחדור לרשת ה- IT. לאחר שהגישה אליהם נפרצה, מכשירי IoT פגיעים להפעלת קוד מרחוק. תוקף יכול לקבל שליטה ולנצל לרעה נקודות תורפה כדי לשתול תוכנות בוטנט או תוכנות זדוניות במכשיר IoT. בשלב זה, המכשיר יכול לשמש כדלת פתוחה לרשת כולה.
מכשירי טכנולוגיה תפעולית מציבים סיכון חמור עוד יותר, ורבים מהם קריטיים לפעילות הארגון. רשתות OT שבאופן היסטורי אינן מקוונות או מבודדות פיזית מרשת ה- IT הארגונית, הולכות ומשתלבות יותר במערכות IT ו- IoT. המחקר שערכנו בנובמבר 2021 יחד עם מכון Ponemon, מצב אבטחת הסייבר של IoT/OT בארגונים, גילה שמעל מחצית רשתות ה- OT מחוברות כעת לרשתות IT ארגוניות (עסקיות). בחלק דומה של חברות – 56 אחוזים – יש מכשירים המחוברים לאינטרנט ברשת ה- OT שלהם לתרחישים כמו גישה מרחוק.
”כמעט כל מתקפה שראינו בשנה האחרונה התחילה מהערכה ראשונית לרשת IT שמונפה לכדי סביבת OT.”
David Atch, בינת איומים של Microsoft, ראש מחקר האבטחה בתחום IoT/OT
קישוריות OT חושפת ארגונים לסיכון של שיבוש וזמן השבתה מהותיים במקרה של מתקפה. ה- OT חיונית במקרים רבים לעסק ומספקת לתוקפים מטרה מפתה שהם יכולים לנצל לרעה כדי לגרום נזק משמעותי. המכשירים עצמם יכולים להוות מטרות קלות, מכיוון שלעתים קרובות יש להם ציוד מיושן או ציוד מדור קודם שאינו מאובטח משלב התכנון, קודם לנוהלי אבטחה מודרניים ויכול לכלול פרוטוקולים קניינים שחומקים מגילוי באמצעות כלי ניטור IT מסורתיים. התוקפים נוטים לנצל טכנולוגיות אלה באמצעות גילוי של מערכות חשופות הפונות לאינטרנט, קבלת גישה באמצעות פרטי כניסה של עובדים או ניצול לרעה של הגישה הניתנת לספקים וקבלנים חיצוניים. פרוטוקולי ICS שאינם מנוטרים מהווים את אחת מנקודות הכניסה הנפוצות יותר למתקפות שמכוונות ספציפית ל- OT (דוח ההגנה הדיגיטלית של Microsoft 2022).
כדי להתמודד עם האתגר הייחודי של ניהול אבטחת IoT ו- OT ברצף המשולב הזה של מכשירים שונים שמחוברים בדרכים שונות לרשת ה- IT, מנהיגי האבטחה פועלים לפי שיטות עבודה מומלצות אלה:
1. השגת ניראות מקיפה של המכשירים.
הבנה של כל הנכסים שיש לך ברשת, כיצד הכל מחובר ומהם הסיכונים והחשיפה העסקיים הכרוכים בכל נקודת חיבור היא יסוד חיוני לניהול יעיל של IoT/OT. פתרון זיהוי ותגובה ברשת (NDR) עם מודעות ל- IoT ו- OT ו- SIEM כמו Microsoft Sentinel יכולים גם להעניק לך ראות מעמיקה יותר של מכשירי IoT/OT ברשת שלך ולנטר אותם לאיתור דפוסי פעולה חריגים כגון תקשורת עם מארחים שאינם מוכרים. (למידע נוסף על ניהול של פרוטוקולי ICS חשופים ב- OT, ראה "סיכון האבטחה הייחודי הנשקף ממכשירי IOT," האבטחה של Microsoft).
הבנה של כל הנכסים שיש לך ברשת, כיצד הכל מחובר ומהם הסיכונים והחשיפה העסקיים הכרוכים בכל נקודת חיבור היא יסוד חיוני לניהול יעיל של IoT/OT. פתרון זיהוי ותגובה ברשת (NDR) עם מודעות ל- IoT ו- OT ו- SIEM כמו Microsoft Sentinel יכולים גם להעניק לך ראות מעמיקה יותר של מכשירי IoT/OT ברשת שלך ולנטר אותם לאיתור דפוסי פעולה חריגים כגון תקשורת עם מארחים שאינם מוכרים. (למידע נוסף על ניהול של פרוטוקולי ICS חשופים ב- OT, ראה "סיכון האבטחה הייחודי הנשקף ממכשירי IOT," האבטחה של Microsoft).
2. חלוקה של רשתות למקטעים ויישום עקרונות אפס אמון.
במידת האפשר יש לחלק רשתות למקטעים כדי להגביל את התנועה הרוחבית במקרה של מתקפה. צריך לבודד או לרווח מכשירי IoT ורשתות OT מרשתות IT ארגוניות באמצעות חומות אש. עם זאת, חשוב גם להניח שרשתות OT ו- IT שלך ממוזגות ולבנות פרוטוקול 'אפס אמון' לרוחב שטח התקיפה. במקרים רבים, אי אפשר לחלק את הרשת למקטעים. בארגונים מוסדרים כמו שירותי בריאות, תשתיות וייצור, לדוגמה, קישוריות OT-IT חיונית לתפקוד העסקי – לדוגמה מכונות ממוגרמה או מכשירי MRI חכמים שמחוברים לרשומות רפואיות אלקטרוניות (EHR); פסי ייצור חכמים או מערכות טיהור מים הדורשות ניטור מרחוק. במקרים כאלה, נוהלי 'אפס אמון' הם קריטיים.
במידת האפשר יש לחלק רשתות למקטעים כדי להגביל את התנועה הרוחבית במקרה של מתקפה. צריך לבודד או לרווח מכשירי IoT ורשתות OT מרשתות IT ארגוניות באמצעות חומות אש. עם זאת, חשוב גם להניח שרשתות OT ו- IT שלך ממוזגות ולבנות פרוטוקול 'אפס אמון' לרוחב שטח התקיפה. במקרים רבים, אי אפשר לחלק את הרשת למקטעים. בארגונים מוסדרים כמו שירותי בריאות, תשתיות וייצור, לדוגמה, קישוריות OT-IT חיונית לתפקוד העסקי – לדוגמה מכונות ממוגרמה או מכשירי MRI חכמים שמחוברים לרשומות רפואיות אלקטרוניות (EHR); פסי ייצור חכמים או מערכות טיהור מים הדורשות ניטור מרחוק. במקרים כאלה, נוהלי 'אפס אמון' הם קריטיים.
3. יישום היגיינה של ניהול אבטחת IoT/OT.
צוותי אבטחה יכולים לגשר על הפערים באמצעות נוהלי היגיינה בסיסיים כמו:
צוותי אבטחה יכולים לגשר על הפערים באמצעות נוהלי היגיינה בסיסיים כמו:
- ביטול חיבורי אינטרנט לא נחוצים ופתיחת יציאות, הגבלה או חסימה של גישה מרחוק ושימוש בשירותי VPN.
- ניהול של אבטחת מכשירים באמצעות יישום תיקונים ושינוי ברירות המחדל של סיסמאות ויציאות.
- בדיקה שפרוטוקולי ICS אינם חשופים ישירות לאינטרנט
סיכון האבטחה הייחודי של מכשירי IoT/OT, ראה "סיכון האבטחה הייחודי של מכשירי IoT/OT", Microsoft Security Insider.
תובנות מעשיות
1. שימוש בפתרון זיהוי ותגובה ברשת (NDR) מודע IoT/OT וכן פתרון מידע אבטחה וניהול אירועים (SIEM)/תיאום אבטחה ותגובה (SOAR) כדי לקבל ראות מעמיקה יותר של מכשירי IoT/OT ברשת, ניטור של מכשירים לאיתור התנהגויות חריגות או בלתי מורשות, כגון תקשורת עם מארחים לא מוכרים
2. הגנה על עמדות הנדסה על ידי ניטור באמצעות פתרונות זיהוי ותגובה בנקודות קצה (EDR)
3. הקטנת שטח התקיפה על ידי ביטול חיבורי אינטרנט לא נחוצים ופתיחת יציאות, הגבלת גישה מרוחקת על ידי חסימת יציאות, מניעת גישה מרחוק ושימוש בשירותי VPN
4. בדיקה שפרוטוקולי ICS אינם חשופים ישירות לאינטרנט
5. חלוקת הרשתות כדי להגביל את יכולתו של התוקף לנוע באופן רוחבי ולחשוף נכסים לסכנה לאחר החדירה הראשונית. יש לבודד מכשירי IoT ורשתות OT מרשתות IT ארגוניות דרך חומות אש
6. יש לוודא שהמכשירים איתנים על ידי יישום תיקונים, שינוי הסיסמאות והיציאות המהוות ברירת מחדל
7. יש להניח שרשתות OT ו- IT שלך ממוזגות ולבנות פרוטוקול 'אפס אמון' בתוך שטח התקיפה
8. יש לוודא תיאום ארגוני בין OT ל- IT באמצעות קידום של ניראות טובה יותר ושילוב טוב יותר של הצוות
9. חשוב תמיד לפעול לפי השיטות המומלצות לאבטחת IoT/OT בהתאם לבינת איומים יסודית
בזמן שהמנהיגים העסקיים מנצלים את ההזדמנות לייעל את הנכס הדיגיטלי שלהם על רקע האיומים המתגברים והלחץ לעשות יותר עם פחות משאבים, הענן מבסס את עצמו ביסוד אסטרטגיית האבטחה המודרנית. כפי שראינו, היתרונות של גישה המתמקדת בענן עולים בהרבה על הסיכונים שלה, – בפרט עבור ארגונים שמיישמים שיטות עבודה מומלצות לניהול סביבות הענן שלהם באמצעות אסטרטגיה חזקה לאבטחת ענן, ניהול מצב אבטחה מקיף וטקטיקות ספציפיות לסגירת הפערים בקצה ה- IoT/OT.
במהדורה הבאה שלנו אפשר לקבל עוד ניתוח אבטחה ותובנות. תודה על שקראת את CISO Insider!
סיכון האבטחה הייחודי של מכשירי IoT/OT, ראה "סיכון האבטחה הייחודי של מכשירי IoT/OT", Microsoft Security Insider.
כל המחקר המצוטט של Microsoft משתמש בחברות מחקר עצמאיות שיוצרות קשר עם מומחי אבטחה למחקרים כמותניים וגם איכותניים, ומבטיחים הגנה על פרטיות וניתוח מוקפד. ציטוטים וממצאים שכלולים במסמך התקבלו כתוצאה ממחקרים של Microsoft, אלא אם צוין אחרת.
עקוב אחר Microsoft