Dobijte uvide izravno od stručnjaka na podcastu Microsoftova obavještavanja o prijetnjama. Poslušajte odmah.
CISO Insider: 3. izdanje
Dobro došli u naše treće izdanje u CISO Insider serijalu. Ja sam Rob Lefferts i vodim timove razvojnih inženjera za Microsoft Defender i Sentinel. Pokrenuli smo ovaj serijal prije otprilike godinu dana kako bismo podijelili uvide iz naših razgovora s nekim od vaših kolega, kao i iz naših vlastitih istraživanja i iskustva u radu u prvim redovima kibernetičke sigurnosti.
U naša prva dva izdanja razmotrili smo eskalirajuće prijetnje, kao što je ucjenjivački softver, i način na koji voditelji u području sigurnosti koriste prilike za automatizaciju i usavršavanje kako bi reagiranje na te prijetnje bilo učinkovitost usprkos trenutačnom nedostatku stručnjaka. Kako su glavni direktori za sigurnost informacija pod još većim pritiskom da učinkovito rade u današnjim vremenima ekonomske nesigurnosti, mnogi teže ka optimizaciji s pomoću rješenja koja se temelje na oblaku i integriranih upravljanih usluga sigurnosti. U ovom izdanju sagledavamo nove prioritete u sigurnosti uslijed prelaska organizacija na model koji je sve više usredotočen na oblak, zajedno sa svim digitalnim sredstvima, od lokalnih sustava do IoT uređaja.
Javni oblak nudi trostruke prednosti – jaku osnovnu sigurnost, isplativost i prilagodljivo računalstvo i zato je ključni resurs u vremenima štednje. Međutim, te tri prednosti donose i potrebu za vođenjem računa o razlikama između javnog oblaka, privatnih oblaka i lokalnih sustava. Promatramo što vodeći ljudi u području sigurnosti rada kako bi upravljali u graničnim prostorima između umreženih uređaja, krajnjih točaka, aplikacija, oblaka i upravljanih usluga. Na kraju, promatramo dvije tehnologije koje predstavljaju vrhunac ovog sigurnosnog problema – IoT i OT. Konvergencijom ovih dviju polariziranih tehnologija, pri čemu je jedna u začetku, a druga zastarjela, a obje su uvedene u mrežu bez odgovarajuće ugrađene sigurnosti, stvara se propusni rub podložan napadima.
U 3. izdanju sagledavamo ova tri sigurnosna prioriteta usredotočena na oblak:
Oblak je siguran, upravljate li svojim okruženjem u oblaku na siguran način?
Usvajanje oblaka ubrzalo se jer organizacije traže nove učinkovitosti kao odgovor na ekonomska ograničenja i manjak stručnjaka. Glavni direktori za sigurnost informacija imaju povjerenja u usluge javnog oblaka zbog njihove osnovne sigurnosti, ali oblak je siguran samo koliko i klijentova sposobnost upravljanja sučeljem između javnog oblaka i privatne infrastrukture. Sagledavamo kako istaknuti ljudi u području sigurnosti otklanjaju propuste s pomoću jake strategije za sigurnost oblaka. Na primjer, tako što omogućavaju aplikacije u oblaku i pakete funkcija s pomoću alata kao što su upravljanje stanjem u oblaku i platforma za zaštitu aplikacija u oblaku (CNAPP).
Sveobuhvatno stanje sigurnosti kreće od vidljivosti, a završava upravljanjem prioritetnim rizicima.
S ubrzanjem usvajanja oblaka dolazi i nagli porast usluga, krajnjih točaka, aplikacija i uređaja. Pored strategije za upravljanje ključnim točkama povezivanja u oblaku, glavni direktori za sigurnost informacija prepoznaju i potrebu za većom vidljivošću i koordinacijom njihova sve šireg digitalnog otiska – potrebu za sveobuhvatnim upravljanjem stanjem. Promatramo kako vodeći ljudi u području sigurnosti šire pristup, od sprječavanja napada (što je i dalje najbolja obrada pod uvjetom da funkcionira) do upravljanja rizicima s pomoću alata za upravljanje sveobuhvatnim stanjem, a koji pomažu izrade inventara resursa i modeliranja poslovnog rizika i, naravno, identitetom i kontrolom pristupa.
Oslonite se na model „svi su nepouzdani” i higijenu kako biste ukrotili nevjerojatno raznovrsno i veoma povezano okruženje IoT-ja & OT-ja.
Sve brži rast povezanih IoT i OT uređaja i dalje pravi probleme u sigurnosti, posebice zbog toga što je teško uskladiti tehnologije koje su mješavina alata u oblaku nezavisnog proizvođača i zastarjele opreme koja se koristi za umrežavanje. Prognozira se da će broj IoT uređaja u svijetu doseći 41,6 milijardi do 2025. godine, čime se stvara veća površina za napad za napadače koji te uređaje koriste kao ulazne točke za kibernetičke napade. Ti se uređaji se često ciljaju kao točke ranjivosti u mreži. Možda su neplanski uvedeni i povezani na IT mrežu bez jasnih uputa sigurnosnog tima, možda ih je nezavisni proizvođača napravio bez osnovne sigurnosti ili je sigurnosni tim nepropisno upravljao njima zbog problema, kao što su protokoli u vlasništvu proizvođača i zahtjevi o dostupnosti (OT). Saznajte koliko vodećih ljudi u informacijskim tehnologijama sada unaprjeđuje sigurnosnu strategiju za IoT/OT kako bi upravljali tim rubom prepunim propusta.
Oblak je siguran, upravljate li svojim okruženjem u oblaku na siguran način?
U vremenima manjka stručnjaka i vremenima štednje, oblak nudi brojne pogodnosti – isplativost, beskonačno skalabilne resurse, najmodernije alate i pouzdaniju zaštitu podataka od one koja se, po mišljenju većine vodećih ljudi u području sigurnosti, može postići lokalno. Premda su glavni direktori za sigurnost informacija nekada mislili da resursi u oblaku nose veći rizik od izloženosti, ali da su isplativiji, većina vodećih ljudi u području sigurnosti s kojima danas razgovaramo prihvatila je oblak kao novo normalno. Imaju povjerenja u jaku osnovnu sigurnost tehnologije oblaka: „Očekujem da dobavljači usluga u oblaku drže sve pod kontrolom u pogledu upravljanja identitetima i pristupom, sigurnosti sustava i fizičke sigurnosti”, rekao je jedan glavni direktor za sigurnost informacija.
Međutim, kao što su mnogi vodeći ljudi u području sigurnosti prepoznali, osnovna sigurnost oblaka ne jamči sigurnost vaših podataka – zaštita vaših podataka u oblaku uvelike ovisi o tome kako se usluge u oblaku primjenjuju zajedno s lokalnim sustavima i interno napravljenom tehnologijom. Rizik se javlja u prazninama između oblaka i tradicionalne granice organizacije, pravilnika i tehnologija koje se koriste za osiguranje oblaka. Pogrešne konfiguracije se događaju i zbog toga su organizacije često izložene i ovise o sigurnosnim timovima u smislu uočavanja i otklanjanja propusta.
„Veliki broj proboja događa se zbog pogrešnih konfiguracija, kada neko slučajno pogrešno konfigurira nešto ili promijeni nešto što dovodi do curenja podataka.”
Komunalije – voda, 1390 zaposlenih
Do 2023. godine 75 % proboja sigurnosti u oblaku bit će posljedica neodgovarajućeg upravljanja identitetima, pristupom i privilegijama, što je porast u odnosu na 50 % iz 2020. godine (Pogrešna konfiguracija i ranjivosti najveći su rizici u sigurnosti u oblaku: Izvješće | CSO Online). Problem ne leži u sigurnosti samog oblaka, već u pravilnicima i kontrolama koje se koriste za osiguranje pristupa. Kako jedan glavni direktor za sigurnost informacija u financijskim uslugama kaže: „Sigurnost u oblaku je jako dobra ako se pravilno koristi. Sam oblak i njegove komponente su sigurni. Međutim, stvar je u konfiguraciji: pišem li kôd pravilno? Postavljam li ispravno konektore širom poduzeća?” Druga vodeća osoba u području sigurnosti sažima problem: „Pogrešna konfiguracija tih usluga u oblaku otvara vrata zlonamjernim akterima ka tim uslugama.” Kako sve više vodećih ljudi u području sigurnosti postaje svjesno rizika pogrešne konfiguracije oblaka, kada se priča o sigurnosti u oblaku, više se ne postavlja pitanje „Je li oblak siguran?” već „Koristim li ja oblak na siguran način?”
Šta podrazumijeva sigurno korištenje oblaka? Mnogi vodeći ljudi sa kojima razgovaram pristupaju strategiji sigurnosti u oblaku od temelja i bave se ljudskim greškama koje izlažu organizaciju riziku, kao što su proboj identiteta i pogrešne konfiguracije. To je također u skladu s našim preporukama – osiguravanje identiteta i prilagođeno upravljanje pristupima svakako su osnova svake strategije sigurnosti u oblaku.
Ako vas to još uvijek nije uvjerilo, možda ovo hoće: Poduzeće McAfee je objavilo da je 70 % izloženih zapisa – 5,4 milijarde – bilo ugroženo zbog pogrešno konfiguriranih usluga i portala. Upravljanjem pristupom kroz kontrole identiteta i primjenom jake sigurnosne higijene može se puno postići u pogledu otklanjanja propusta. Poduzeće McAfee je slično tako objavilo da je 70 % izloženih zapisa – 5,4 milijarde – bilo ugroženo zbog pogrešno konfiguriranih usluga i portala. Upravljanjem pristupom kroz kontrole identiteta i primjenom jake sigurnosne higijene može se puno postići u pogledu otklanjanja propusta.
Robusna strategija sigurnost u oblaku podrazumijeva ove najbolje prakse:
1. Primijenite strategiju platforme za zaštitu aplikacija u oblaku (CNAPP) s kraja na kraj: Upravljanje sigurnošću s pomoću fragmentiranih alata može dovesti do rupa u zaštiti i većih troškova. Sveobuhvatna platforma koja omogućava ugradnju sigurnosti od koda do oblaka ključna je za smanjenje ukupne površine napada u oblaku i automatiziranje zaštite od prijetnji. Strategija CNAPP podrazumijeva sljedeće najbolje prakse:
a. Dajte prioritet sigurnosti od samog početka koristeći metodologiju DevOps. Sigurnost može podbaciti u žurbi da se naprave aplikacije u oblaku. Razvojni inženjeri imaju motivaciju da brzo riješe poslovni problem, ali možda nemaju vještine u vezi sa sigurnosti u oblaku. Zbog toga može doći do pojave velikog broja aplikacija bez odgovarajućih pravila o autorizaciji podataka. Sučelja za programiranje aplikacija postali su glavna meta hakera jer organizacije često ne mogu prate zbog brzine izrade aplikacija u oblaku. Gartner smatra da je „širenje programskih sučelja aplikacija” sve veći problem i predviđa da će se do 2025. godine kontrolirati manje od pola programskih sučelja aplikacija poduzeća (Gartner). Zato je ključno da se strategija DevSecOps primijeni što je prije moguće.
b. Ojačajte stanje sigurnosti u oblaku i popravite pogrešne konfiguracije. Pogrešne konfiguracije najčešći su uzrok proboja oblaka – pogledajte najčešće pogrešne konfiguracije u postavci sigurnosnih grupa organizacije Cloud Security Alliance . Premda su resursi za skladištenje otvoreni za javnost najčešći strah s kojim se suočavamo, glavni direktori za sigurnost informacija navode i druga područja koja se zanemaruju: onemogućeno nadgledanje i vođenje evidencije, previše dozvola, nezaštićene sigurnosne kopije itd. Šifriranje je važna zaštita od lošeg upravljanja i ključna je za smanjenje rizika od ucjenjivačkog softvera. Alati za upravljanje stanjem sigurnosti u oblaku nude još jednu liniju obrane, a to je nadgledanje resursa u oblaku za slučaj izloženosti i pogrešnih konfiguracija prije napada, tako da proaktivno možete smanjiti površinu za napad.
c. Automatizirajte otkrivanje, reagiranje i analizu incidenata. Dobro je uočiti i popraviti pogrešne konfiguracije, ali moramo i biti sigurni da imamo alate i procese za uočavanje napada koji zaobiđu obranu. Tu mogu pomoći alati za upravljanje otkrivanjem prijetnji i reagiranjem na njih.
d. Steknite pravo upravljanja pristupima. Višestruka potvrda autentičnosti, jedinstvena prijava, kontrola pristupa utemeljena na ulogama, upravljanje dozvolama i certifikacije pomažu u upravljanju dvama najvećim rizicima za sigurnost u oblaku: korisnikom i pogrešno konfiguriranim digitalnim svojstvima. Najmanje pristupa najbolja je praksa u upravljanju pravima na infrastrukturu u oblaku (CIEM). Neki se vodeći ljudi oslanjaju na rješenja za upravljanje pristupom identitetu ili upravljanje pravima kako bi postavili aktivne kontrolne sigurnosti. Jedna vodeća osoba u financijskim uslugama oslanja se na posrednika za siguran pristup u oblaku (CASB) kao „ključnu preventivu” za upravljanje SaaS uslugama organizacije i održavanje kontrole nad korisnicima i podacima. CASB je posrednik između korisnika i aplikacija u oblaku, koji pruža vidljivost i provodi mjere upravljanja preko pravilnika, preventive” za upravljanje SaaS uslugama organizacije i održavanje kontrole nad korisnicima i podacima. CASB je posrednik između korisnika i aplikacija u oblaku, koji pruža vidljivost i provodi mjere upravljanja preko pravilnika.
Platforma za zaštitu aplikacija u oblaku, poput one koja se nudi u rješenju Microsoft Defender za oblak, ne samo da nudi vidljivost širom resursa s više oblaka, već nudi i zaštitu u svim slojevima okruženja, dok nadgleda ima li prijetnji i povezuje upozorenja u incidente, koji se integriraju s vašim upravljanjem sigurnosnim informacijama i događajima. Time su istrage jednostavnije i pomaže se SOC timovima da drže upozorenja širom platforme pod kontrolom.
Bolje je spriječiti otklanjanjem propusta u identitetu i pogrešnoj konfiguraciji, zajedno s robusnim alatima za reagiranje na napad jer se tako uspješno štiti čitavo okruženje oblaka, od korporativne mreže do usluga u oblaku.
Sveobuhvatno stanje sigurnosti kreće od vidljivosti, a završava upravljanjem prioritetnim rizicima.
Prelazak na IT usredotočen na oblak ne samo da izlaže organizaciju propustima u implementaciji, već i naglom rastu niza umreženih resursa – uređaja, aplikacija, krajnjih točaka – kao i izloženom paketu funkcija na oblaku. Voditelji u području sigurnosti upravljaju svojim stanjem u ovom okruženju bez granica s pomoću tehnologija koje pružaju vidljivost i daju prioritet reagiranju. Ti alati pomažu organizacijama da mapiraju popis resursa koji obuhvaća čitavu površinu za napad, upravljane i neupravljane uređaje, kako unutar mreže organizacije, tako i van nje. S pomoću tih resursa glavni direktori za sigurnost informacija mogu procijeniti stanje sigurnosti svakog resursa, kao i njegovu ulogu u poslovanju kako bi napravili model prioritetnih rizika.
U razgovorima s vodećim ljudima u području sigurnosti uočavamo prelazak sa sigurnosti zasnovane na granicama na pristup zasnovan na stanju sigurnosti, a koji usvaja ekosustav bez granica.
Kako jedan glavni direktor za sigurnost informacija kaže: „Za mene se stanje svodi na identitet... Ne samo da gledamo staro, tradicionalno stanje gdje se nalazi granica, već sve to pomičemo do krajnje točke.” (Komunalije – voda, 1390 zaposlenika). „Identitet je postao nova granica”, komentira CISO u financijskoj tehnologiji i pita: „Što znači identitet u ovom novom modelu gdje ne postoji izvan i unutar?” (Financijska tehnologija, 15 000 zaposlenika).
S obzirom na to propusno okruženje, glavni direktori za sigurnost informacija shvaćaju hitnost za upravljanjem sveobuhvatnim stanjem, ali se mnogi pitaju imaju li resurse i digitalnu zrelost da provedu tu viziju u praksu. Srećom, kombiniranjem okvira dokazanih u sektoru (ažuriranih za današnje potrebe) i sigurnosnih inovacija, upravljanje sveobuhvatnim stanjem dostižno je većini organizacija.
Nabavite alate u kibernetičkoj infrastrukturi koji vam omogućavaju da napravite inventar resursa. Kao drugo, pogledajte koje su kritične, koje su najrizičnije za organizaciju i probajte shvatiti koje su potencijalne ranjivosti tih uređaja i odlučite je li to prihvatljivo – trebate li ih zakrpati ili odvojiti.
Ken Malcolmson, izvršni savjetnik za sigurnost, Microsoft
Slijede neke od najboljih praksi i alati koje vodeći ljudi u području sigurnosti koriste za upravljanje svojim stanjem u otvorenim okruženjima usredotočenima na oblak:
1. Ostvarite sveobuhvatnu vidljivost s pomoću inventara resursa.
Vidljivost je prvi korak u upravljanju sveobuhvatnim stanjem. Glavni direktori za sigurnost informacija pitaju: „Znamo li uopće što sve imamo kao prvi korak? Imamo li uopće vidljivost prije nego što možemo prijeći na upravljanje?” Inventar rizičnih resursa obuhvaća IT sredstva, kao što su mreže i aplikacije, baze podataka, serveri, svojstva u oblaku, svojstva interneta stvari, kao i podatke i IP resurse koji se čuvaju u toj digitalnoj infrastrukturi. Većina platformi, kao što su Microsoft 365 ili Azure, sadrže ugrađene alate za izradu inventara resursa koji mogu pomoći s prvim koracima.
Vidljivost je prvi korak u upravljanju sveobuhvatnim stanjem. Glavni direktori za sigurnost informacija pitaju: „Znamo li uopće što sve imamo kao prvi korak? Imamo li uopće vidljivost prije nego što možemo prijeći na upravljanje?” Inventar rizičnih resursa obuhvaća IT sredstva, kao što su mreže i aplikacije, baze podataka, serveri, svojstva u oblaku, svojstva interneta stvari, kao i podatke i IP resurse koji se čuvaju u toj digitalnoj infrastrukturi. Većina platformi, kao što su Microsoft 365 ili Azure, sadrže ugrađene alate za izradu inventara resursa koji mogu pomoći s prvim koracima.
2. Procijenite ranjivosti i analizirajte rizik.
Kada organizacija ima sveobuhvatan popis resursa, moguća je analiza rizika u pogledu unutrašnjih ranjivosti i vanjskih prijetnji. Taj korak puno ovisi o kontekstu i jedinstven je za svaku organizaciju – pouzdana procjena rizika ovisi o stabilnom partnerstvu između timova za sigurnost, IT i podatke. Taj multifunkcionalni tim u analizi koristi alate za automatsko ocjenjivanje rizika i određivanje prioriteta među rizicima, na primjer, alate za određivanje prioriteta među rizicima integrirane u Microsoft Entra ID, Microsoft Defender XDR i Microsoft 365. Tehnologije za automatsko ocjenjivanje rizika i određivanje prioriteta među rizicima mogu sadržavati i stručni vodič za otklanjanje propusta, kao i kontekstualne informacije za učinkovito reagiranje na prijetnje.
Kada organizacija ima sveobuhvatan popis resursa, moguća je analiza rizika u pogledu unutrašnjih ranjivosti i vanjskih prijetnji. Taj korak puno ovisi o kontekstu i jedinstven je za svaku organizaciju – pouzdana procjena rizika ovisi o stabilnom partnerstvu između timova za sigurnost, IT i podatke. Taj multifunkcionalni tim u analizi koristi alate za automatsko ocjenjivanje rizika i određivanje prioriteta među rizicima, na primjer, alate za određivanje prioriteta među rizicima integrirane u Microsoft Entra ID, Microsoft Defender XDR i Microsoft 365. Tehnologije za automatsko ocjenjivanje rizika i određivanje prioriteta među rizicima mogu sadržavati i stručni vodič za otklanjanje propusta, kao i kontekstualne informacije za učinkovito reagiranje na prijetnje.
3. Odredite prioritet među rizicima i sigurnosnim potrebama s pomoću modeliranja poslovnog rizika.
Kada jasno razumiju krajolik rizika, tehnički timovi mogu raditi s poslovnim liderima na određivanju prioriteta među sigurnosnim intervencijama u pogledu poslovnih potreba. Razmotrite ulogu svakog resursa, njegov značaj za poslovanje i rizik po poslovanje ako se ugrozi i postavljajte pitanja u stilu: „Koliko su osjetljive ove informacije i kako bi njihova izloženost utjecala na poslovanje?” ili „Koliko su ovi sustavi značajni za misiju – kako bi zastoj utjecao na poslovanje?” Microsoft nudi alate kao pomoć u sveobuhvatnom uočavanju ranjivosti i određivanju prioriteta među njima u skladu s modeliranjem poslovnog rizika, kao što su Microsoftova razina sigurnosti, Microsoftova razina sukladnosti, Azure razina sigurnosti, Upravljanje vanjskim površinama za napad programa Microsoft Defender i Upravljanje ranjivošću za Microsoft Defender.
Kada jasno razumiju krajolik rizika, tehnički timovi mogu raditi s poslovnim liderima na određivanju prioriteta među sigurnosnim intervencijama u pogledu poslovnih potreba. Razmotrite ulogu svakog resursa, njegov značaj za poslovanje i rizik po poslovanje ako se ugrozi i postavljajte pitanja u stilu: „Koliko su osjetljive ove informacije i kako bi njihova izloženost utjecala na poslovanje?” ili „Koliko su ovi sustavi značajni za misiju – kako bi zastoj utjecao na poslovanje?” Microsoft nudi alate kao pomoć u sveobuhvatnom uočavanju ranjivosti i određivanju prioriteta među njima u skladu s modeliranjem poslovnog rizika, kao što su Microsoftova razina sigurnosti, Microsoftova razina sukladnosti, Azure razina sigurnosti, Upravljanje vanjskim površinama za napad programa Microsoft Defender i Upravljanje ranjivošću za Microsoft Defender.
4. Stvorite strategiju upravljanja stanjem.
Inventar resursa, analiza rizika i model poslovnog rizika čine osnovu upravljanja sveobuhvatnim stanjem. Vidljivost i uvid pomažu sigurnosnom timu da odluči kako najbolje raspodijeliti resurse, koje se mjere jačanja moraju primijeniti te kako da se optimizira balans između rizika i upotrebljivosti za svaki segment mreže.
Inventar resursa, analiza rizika i model poslovnog rizika čine osnovu upravljanja sveobuhvatnim stanjem. Vidljivost i uvid pomažu sigurnosnom timu da odluči kako najbolje raspodijeliti resurse, koje se mjere jačanja moraju primijeniti te kako da se optimizira balans između rizika i upotrebljivosti za svaki segment mreže.
Rješenja za upravljanje stanjem pružaju analizu vidljivosti i ranjivosti kao pomoć organizacijama da razumiju na što usmjeriti trud ka poboljšanju stanja. S tim uvidom mogu utvrđivati i prioritizirati važna područja u svojoj površini za napad.
Oslonite se na model „svi su nepouzdani” i higijenu kako biste ukrotili nevjerojatno raznovrsno i veoma povezano okruženje IoT-ja i OT-ja
Dva problema o kojima smo razgovarali – propusti u implementaciji oblaka i nagli porast uređaja povezanih na oblak – stvaraju plodno tlo za rizik u okruženjima IoT i OT uređaja. Pored prirodnog rizika proširene površine za napad koji su uveli IoT i OT uređaji, vodeći ljudi u području sigurnosti kažu mi da pokušavaju racionalizirati strategije konvergencije interneta stvari, koji je u začetku, i zastarjele operativne tehnologije. IoT jest u oblaku, ali ti uređaji često daju prioritet poslovnoj prikladnosti nauštrb osnovne sigurnosti, a OT je često zastarjela oprema kojom upravlja vanjski dobavljač i koja je napravljena bez moderne sigurnosti te je neplanski uvedena u IT mrežu organizacije.
IoT i OT uređaji pomažu organizacijama u modernizaciji radnog prostora, da se više oslanjaju na podatke i da smanje zahtjeve prema zaposlenicima kroz strateške promjene, kao što su upravljanje na daljinu i automatizacija. International Data Corporation (IDC) procjenjuje da će biti 41,6 milijardi povezanih IoT uređaja do 2025. godine, što je stopa rasta veća od stope tradicionalnih IT uređaja.
No ova prilika donosi i značajan rizik. U našem Cyber Signals izvještaju iz prosinca 2022. „Spajanje IT i operativne tehnologije”razmatra se rizik kritičnoj infrastrukturi koji te tehnologije nose.
Ovo su ključni nalazi:
1. Sedamdeset i pet posto najčešćih industrijskih kontrolera u OT mrežama klijenata ima veoma ozbiljne, nezakrpane ranjivosti.
2. Od 2020. do 2022. zabilježen je porast od 78 % u otkrivanju veoma ozbiljnih ranjivosti u industrijskoj opremi za kontrolu koju su proizveli popularni dobavljači.
3. Mnogi uređaji koji su javno vidljivi na internetu koriste nepodržane softvere. Na primjer, zastarjeli softver Boa još se uvijek naširoko koristi za IoT uređaje i pakete za razvojne programere (SDK).
IoT uređaji često su najslabija karika u digitalnoj imovini. Budući da se njima ne upravlja, ne ažuriraju se i ne krpe se na isti način kao tradicionalni IT uređaji, mogu poslužiti kao pogodan prolaz napadačima koji se žele infiltrirati u IT mrežu. Kada im se pristupi, IoT uređaji su podložni daljinskim izvršenjima kodova. Napadač može preuzeti kontrolu i iskoristi ranjivosti kako bi ubacio botnetove ili zlonamjerni softver u IoT uređaj. U tom trenutku, uređaj može poslužiti kao otvorena vrata ka cijeloj mreži.
Uređaji operativne tehnologije predstavljaju još razorniji rizik jer su mnogi ključni za rad organizacije. Nekada su bili van mreža ili fizički odvojeni od korporativne IT mreže, a sada se OT mreže sve više miješaju s IT i IoT sustavima. U našoj studiji iz studenoga 2021. provedenoj zajedno s institutom Ponemon Stanje računalne sigurnosti interneta stvari i operativne tehnologije u velikim poduzećimaotkrili smo da je više od pola OT mreža sada povezano s korporativnim IT (poslovnim) mrežama. Sličan udio poduzeća – 56 posto – ima uređaje povezane na internet na OT mreži, na primjer, radi pristupa na daljinu.
„Skoro svaki napad koji smo vidjeli prošle godine počeo je prvo s pristupom IT mreži i iskorišten je za pristup OT okruženju.”
David Atch, Microsoftovo obavještavanje o prijetnjama, direktor za istraživanje sigurnosti za IoT/OT
Mogućnost povezivanja operativne tehnologije izlaže organizacije riziku od velikih smetnji i zastoja u slučaju napada. OT je često srž poslovanja pa je samim time primamljiva meta za napadače koju mogu iskoristiti da izazovu znatnu štetu. Sami uređaji mogu biti lake mete jer često sadrže brownfield ili zastarjelu opremu koja nije sigurna zbog načina na koji je dizajnirana, napravljena je prije modernih sigurnosnih praksi i može imati protokole u vlasništvu proizvođača koji mogu promaknuti standardnim IT alatkama za nadzor. Napadači obično iskorištavaju te tehnologije otkrivanjem izloženih internetskih sustava, dobivanjem pristupa s pomoću vjerodajnica za prijavu zaposlenika ili iskorištavanjem pristupa datog vanjskim dobavljačima i ugovarateljima. ICS protokoli koji se ne nadgledaju jedna su od čestih ulaznih točaka kod napada na operativnu tehnologiju (Microsoftovo izvješće o digitalnoj zaštiti za 2022.).
Da bi se borili s jedinstvenim problemom upravljanja sigurnosti interneta stvari i operativne tehnologije širom mješovitog kontinuuma različitih uređaja povezanih na različite načine na IT mrežu, vodeći ljudi u području sigurnosti pridržavaju se ovih najboljih praksi:
1. Ostvarite sveobuhvatnu vidljivost uređaja.
Razumijevanje svih resursa unutar mreže, kako je sve međusobno povezano te poslovnog rizika i izloženosti na svakoj točki povezivanja predstavlja ključnu osnovu za učinkovito upravljanje internetom stvari i operativnom tehnologijom. Rješenje za otkrivanje i reagiranje na mreži (NDR) s poznavanjem interneta stvari i operativne tehnologije i SIEM-a, kao što je Microsoft Sentinel, također vam može omogućiti bolju vidljivost IoT/OT uređaja na vašoj mreži i nadgledanje za slučaj anomalnih ponašanja, kao što je komunikacija s nepoznatim hostovima. (Za više informacija o upravljanju izloženim ICS protokolima u operativnoj tehnologiji pogledajte „Jedinstveni sigurnosni rizik IOT uređaja” Microsoft Security).
Razumijevanje svih resursa unutar mreže, kako je sve međusobno povezano te poslovnog rizika i izloženosti na svakoj točki povezivanja predstavlja ključnu osnovu za učinkovito upravljanje internetom stvari i operativnom tehnologijom. Rješenje za otkrivanje i reagiranje na mreži (NDR) s poznavanjem interneta stvari i operativne tehnologije i SIEM-a, kao što je Microsoft Sentinel, također vam može omogućiti bolju vidljivost IoT/OT uređaja na vašoj mreži i nadgledanje za slučaj anomalnih ponašanja, kao što je komunikacija s nepoznatim hostovima. (Za više informacija o upravljanju izloženim ICS protokolima u operativnoj tehnologiji pogledajte „Jedinstveni sigurnosni rizik IOT uređaja” Microsoft Security).
2. Segmentirajte mreže i primijenite načela modela „svi su nepouzdani”.
Kada god je moguće, segmentirajte mreže kako biste spriječili bočna kretanja u slučaju napada. IoT uređaji i OT mreže moraju se izolirati od korporacijskih IT mreža s pomoću vatrozidova. Isto tako je važno i pretpostaviti da su vaši OT i IT spojeni i da napravite protokole modela „svi su nepouzdani” širom površine za napad. Segmentacija mreže je sve manje izvodljiva. U reguliranim organizacijama, kao što su, na primjer, zdravstvo, komunalne usluge i proizvodnja, povezanost na relaciji OT – IT ključna je za funkcioniranje poslovanja. Uzmimo za primjer mamografe ili pametni MR koji se povezuju na elektronske zdravstvene kartone (EHR), pametne proizvodne linije ili pročišćivače vode za koje je neophodno nadgledanje na daljinu. U tim je slučajevima model „svi su nepouzdani” ključan.
Kada god je moguće, segmentirajte mreže kako biste spriječili bočna kretanja u slučaju napada. IoT uređaji i OT mreže moraju se izolirati od korporacijskih IT mreža s pomoću vatrozidova. Isto tako je važno i pretpostaviti da su vaši OT i IT spojeni i da napravite protokole modela „svi su nepouzdani” širom površine za napad. Segmentacija mreže je sve manje izvodljiva. U reguliranim organizacijama, kao što su, na primjer, zdravstvo, komunalne usluge i proizvodnja, povezanost na relaciji OT – IT ključna je za funkcioniranje poslovanja. Uzmimo za primjer mamografe ili pametni MR koji se povezuju na elektronske zdravstvene kartone (EHR), pametne proizvodne linije ili pročišćivače vode za koje je neophodno nadgledanje na daljinu. U tim je slučajevima model „svi su nepouzdani” ključan.
3. Primijenite higijenu upravljanja sigurnošću interneta stvari i operativne tehnologije.
Sigurnosni timovi mogu otkloniti propuste osnovnim higijenskim praksama, kao na primjer:
Sigurnosni timovi mogu otkloniti propuste osnovnim higijenskim praksama, kao na primjer:
- uklanjanjem nepotrebnih internetskih veza i otvorenih priključaka, ograničavanjem ili odbijanjem pristupa na daljinu te upotrebom VPN usluga
- upravljanjem sigurnosti uređaja primjenom zakrpa i mijenjanjem zadanih lozinki i priključaka
- Provjerite da ICS protokoli nisu izravno izloženi internetu
Za akcijski vodič o postizanju te razine uvida i upravljanja pogledajte „Jedinstveni rizik IoT/OT uređaja”, Microsoft Security Insider.
Uvidi na temelju kojih je moguće djelovati
1. Koristite rješenje za otkrivanje mreže IoT/OT i odgovor (NDR) te sigurnosne informacije i upravljanje događajima (SIEM) / sigurnosnu organizaciju i odgovor (SOAR) za dobivanje dublje vidljivosti u IoT/OT uređaje na svojoj mreži, za nadzor uređaja radi otkrivanja neuobičajenih ili neovlaštenih ponašanja, kao što je komunikacija s nepoznatim glavnim računalima
2. Zaštitite inženjerske radne stanice praćenjem s pomoću rješenja prepoznavanja krajnjih točaka i odgovor (EDR)
3. Smanjite površinu za napad uklanjanjem nepotrebnih internetskih veza i otvorenih priključaka, ograničavanjem daljinskog pristupa blokadom priključaka, odbijanjem daljinskog pristupa i korištenjem VPN servisa
4. Provjerite nisu da ICS protokoli nisu izravno izloženi internetu
5. Segmentirajte mreže radi ograničavanja mogućnosti napadača da se premješta i ugrozi resurse nakon početnog upada. IoT uređaji i OT mreže moraju se izolirati od korporacijskih IT mreža pomoću vatrozidova
6. Osigurajte robusnost uređaja primjenom zakrpa, promjenom zadanih lozinki i priključaka
7. Pretpostavite da su vaši OT i IT konvergirani i napravite protokole modela „svi su nepouzdani” u vašoj površini za napad
8. Osigurajte da OT i IT budu organizacijski usklađeni promicanjem veće vidljivosti i integracije timova
9. Uvijek primjenjujte najbolje prakse za sigurnost interneta stvari/operativne tehnologije zasnovane na osnovnom obavještavanju o prijetnjama
Kako vodeći ljudi u području sigurnosti koriste priliku da unaprjeđuju svoja digitalna sredstva usprkos sve većim prijetnjama i pritiscima da postignu više s pomoću manjeg broja resursa, oblak se pojavljuje kao osnova moderne sigurnosne strategije. Kao što smo vidjeli, prednosti pristupa usredotočenog na oblak veće su od rizika, naročito za organizacije koje koriste najbolje prakse za upravljanje okruženjima oblaka robusnom strategijom za sigurnost u oblaku, upravljanje sveobuhvatnim stanjem i konkretne taktike za otklanjanje propusta na IoT/OT granici.
Pogledajte naše sljedeće izdanje za još analiza i uvida o sigurnosti. Hvala vam što čitate CISO Insider!
Za akcijski vodič o postizanju te razine uvida i upravljanja pogledajte „Jedinstveni rizik IoT/OT uređaja”, Microsoft Security Insider.
Za sva navedena istraživanja korporacije Microsoft korištene su nezavisne istraživačke tvrtke za stupanje u kontakt sa stručnjacima za sigurnost radi kvantitativnih i kvalitativnih studija, uz osiguranje zaštite privatnosti i analitičke strogosti. Citati i nalazi u ovom dokumentu predstavljaju rezultat studija iz istraživanja Microsofta ako nije navedeno drugačije.
Pratite Microsoft