A Microsoft Veszélyforrás-intelligencia podcastjában közvetlenül a szakértőktől kaphat információkat. A podcast meghallgatása.
CISO Insider: 3. szám
Üdvözöljük a CISO Insider sorozat harmadik számában! Rob Lefferts vagyok, a Microsoft Defender és a Sentinel mérnöki csapatának vezetője. Ezt a sorozatot körülbelül egy éve indítottuk útjára, hogy megosszuk az Önök társaival folytatott megbeszéléseinkből, saját kutatásainkból, valamint a kiberbiztonság frontvonalában végzett munkánkból származó tapasztalatainkat.
Az első két számunk az olyan növekvő fenyegetésekkel foglalkozott, mint a zsarolóvírusok, valamint azzal, hogy a biztonsági vezetők hogyan használják ki az automatizálási és készségfejlesztési lehetőségeket, hogy a továbbra is fennálló szakemberhiány közepette hatékonyan reagálhassanak ezekre a fenyegetésekre. Mivel az információbiztonsági vezetőkre a mai gazdasági bizonytalanságban még nagyobb nyomás nehezedik arra vonatkozóan, hogy hatékony működést biztosítsanak, sokan a felhőalapú megoldások és az integrált felügyelt biztonsági szolgáltatások segítségével igyekeznek optimalizálást végezni. Ebben a számában azokat az új biztonsági prioritásokat vizsgáljuk meg, amelyek azért merülnek fel, mert a szervezetek egyre inkább felhőközpontú modellre váltanak, és mindent magukkal visznek oda, ami a digitális eszközközpontjukban megtalálható, a helyszíni rendszerektől kezdve az IoT-eszközökig.
A nyilvános felhő három szempontból is előnyös: erős alapszintű biztonság, költséghatékonyság és skálázható számítástechnika; ami a szűkülő költségvetések idején kulcsfontosságú erőforrássá teszi. Ezzel a tripla előnnyel azonban az is együtt jár, hogy a nyilvános felhő, a magánfelhők és a helyszíni rendszerek közötti kapcsolódási pontokon felmerülő réseket is szem előtt kell tartani. Megvizsgáljuk, mit tesznek a biztonsági vezetők a biztonság kezelése érdekében a hálózati eszközök, a végpontok, az alkalmazások, a felhők és a felügyelt szolgáltatások közötti határterületen. Végül két olyan technológiával foglalkozunk, amelyek a biztonsági kihívások csúcspontját jelentik: az IoT és az OT. E két polarizált technológia konvergenciája – az egyik új keletű, a másik régi, és mindkettőt megfelelő beépített biztonság nélkül vezették be a hálózatba – egy támadható, porózus peremet hoz létre.
A 3. számban ezt a három felhőközpontú biztonsági prioritást vizsgáljuk meg:
A felhő biztonságos – de Ön vajon biztonságosan kezeli a felhőkörnyezetét?
A felhő bevezetése egyre gyorsabb ütemben halad, mivel a szervezetek a gazdasági korlátozásokra és a szakemberhiányra reagálva új hatékony megoldásokat keresnek. Az információbiztonsági vezetők megbíznak a nyilvános felhőszolgáltatások alapszintű biztonságában, de a felhő csak annyira biztonságos, amennyire az ügyfél kezelni képes a nyilvános felhő és a magáninfrastruktúra közötti interfészt. Megvizsgáljuk, hogy a biztonsági vezetők hogyan kezelik a problémát egy erős felhőbiztonsági stratégiával – például azzal, hogy olyan eszközökkel védik felhőalkalmazásaikat és számítási feladataikat, mint a felhőállapot-kezelés és a natív felhős alkalmazásvédelem (CNAPP).
Az átfogó biztonsági állapot a láthatósággal kezdődik, és a rangsorolt kockázatkezeléssel végződik.
A felhő egyre intenzívebb bevezetésével együtt jár a szolgáltatások, végpontok, alkalmazások és eszközök számának növekedése is. A kritikus felhőcsatlakozási pontok kezelésére vonatkozó stratégia mellett az információbiztonsági vezetők azt is felismerték, hogy nagyobb átláthatóságra és koordinációra van szükség az egyre bővülő digitális területükön – ez pedig az átfogó állapotkezelés szükségességét jelenti. Megvizsgáljuk, hogy a biztonsági vezetők hogyan terjesztik ki megközelítésüket a támadások megelőzéséről (ami még mindig a legjobb védekezés, amennyiben működik) a kockázatkezelésre olyan átfogó állapotkezelő eszközökkel, amelyek segítenek az eszközkészlet leltározásában és az üzleti kockázatok modellezésében – és természetesen az identitás- és hozzáférés-vezérlésben is.
Használja a Teljes felügyelet és a higiénia eszközeit, hogy kordában tartsa az IoT és az OT rendkívül változatos, hiperhálózatos környezetét.
A csatlakoztatott IoT- és OT-eszközök robbanásszerű növekedése folyamatos biztonsági kihívásokat jelent – különösen, mivel nehéz összeegyeztetni a felhőalapú, harmadik féltől származó eszközök és a hálózatba épített, utólagosan átalakított, régebbi berendezések keverékéből álló technológiákat. Az IoT-eszközök száma az előrejelzések szerint 2025-re globális szinten eléri a 41,6 milliárdot, ami megnövekedett támadási felületet teremt a támadók számára, akik ezeket az eszközöket használják kibertámadásaik belépési pontjaként. Ezek az eszközök általában a hálózat sebezhetőségi pontjaiként kerülnek célkeresztbe. Előfordulhat, hogy ezeket eseti jelleggel vezették be, és a biztonsági csapat egyértelmű iránymutatása nélkül csatlakoztatták az informatikai hálózathoz, vagy harmadik fél fejlesztette őket alapszintű biztonság nélkül, vagy a biztonsági csapat nem tudja megfelelően felügyelni őket olyan problémák miatt, mint a jogvédett protokollok és a rendelkezésre állási követelmények (OT). Ismerje meg, hogy sok informatikai vezető hogyan fejleszti az IoT-vel és az OT-vel kapcsolatos biztonsági stratégiáját, hogy megbirkózzon ezzel a hiányosságokkal teli peremterülettel.
A felhő biztonságos – de Ön vajon biztonságosan kezeli a felhőkörnyezetét?
A szakemberhiány és a szűkülő költségvetési források idején a felhő számos előnyt kínál: költséghatékonyságot, korlátlanul skálázható erőforrásokat, csúcstechnológiás eszközöket és megbízhatóbb adatvédelmet – és a legtöbb biztonsági vezető úgy érzi, hogy ezeket a helyszíni környezetben nem tudná megvalósítani. Míg korábban az információbiztonsági vezetők a felhőalapú erőforrásokat a kockázatoknak való nagyobb kitettség és a jobb költséghatékonyság közötti kompromisszumnak tekintették, a legtöbb biztonsági vezető, akivel ma beszélünk, a felhőt már az új normaként fogadja el. Megbíznak a felhőtechnológia erős alapszintű biztonságában: „Elvárom, hogy a felhőszolgáltatók rendet tegyenek a házuk táján az identitás- és hozzáférés-kezelés, a rendszerbiztonság és a fizikai biztonság tekintetében” – mondta az egyik információbiztonsági vezető.
Ám ahogy azt a legtöbb biztonsági vezető is tudja, a felhő alapszintű biztonsága nem garantálja az adatok biztonságát: a felhőbeli adatok védelme nagyban függ attól, hogy a felhőszolgáltatásokat hogyan valósítják meg a helyszíni rendszerek és a saját fejlesztésű technológia használata mellett. Kockázatot jelentenek a felhő és a hagyományos szervezeti határok, a felhő biztosítására használt irányelvek és technológiák közötti rések. Hibás konfigurációk is előfordulnak, így a szervezetek gyakran kiszolgáltatottá válnak, és a biztonsági csapatokra hárul a rések azonosításának és kiküszöbölésének feladata.
„A biztonsági incidensek nagy része a konfigurációs hibák miatt történik, mert valaki véletlenül félrekonfigurál valamit, vagy megváltoztat valamit, ami lehetővé teszi az adatok kiszivárgását.”
Közművek – Vízellátás, 1390 alkalmazott
2023-ra a felhőbiztonsági incidensek 75 százalékát az identitások, a hozzáférés és a jogosultságok nem megfelelő kezelése fogja okozni, szemben a 2020-as 50 százalékkal (A felhőbiztonság legnagyobb kockázatai a hibás konfiguráció és a sebezhetőségek: Jelentés | CSO Online). A kihívást nem maga a felhő biztonsága jelenti, hanem a hozzáférés biztosításához használt irányelvek és kontrollok. Ahogy egy pénzügyi szolgáltatásokért felelős információbiztonsági vezető fogalmaz: „A felhő biztonsága nagyon jó, ha helyesen alkalmazzák. Maga a felhő és annak összetevői biztonságosak. De aztán belépsz a konfigurációba: megfelelően írom a kódomat? Helyesen állítom be az összekötőimet a vállalaton belül?” Egy másik biztonsági vezető így foglalja össze a problémát: „Ami a szolgáltatásokat hozzáférhetővé teszi a fenyegető szereplők számára, az éppen a felhőszolgáltatások rossz konfigurációja.” Ahogy egyre több biztonsági vezető ismeri fel a felhő hibás konfigurációjának kockázatait, a felhőbiztonsággal kapcsolatos gondolkodásban a „Biztonságos-e a felhő?” kérdés helyett a „Biztonságosan használom-e a felhőt?” kérdés vetődik fel inkább.
Mit jelent a felhő biztonságos használata? Az általam megkérdezett vezetők közül sokan az alapoktól kezdve közelítik meg a felhőbiztonsági stratégiát, és a szervezetet kockázatoknak kitevő emberi hibákkal, például az identitással kapcsolatos incidensekkel és a helytelen konfigurálással foglalkoznak. Ez összhangban van a mi ajánlásainkkal is: az identitások biztonságossá tétele és a hozzáférés adaptív kezelése minden felhőbiztonsági stratégiában alapvető fontosságú.
Aki még mindig bizonytalan, azt talán ez meggyőzi: A McAfee jelentése szerint a kitett adatok 70 százaléka – 5,4 milliárd – a rosszul konfigurált szolgáltatások és portálok miatt került veszélybe. A hozzáférés identitásvezérléssel történő kezelése és az erős biztonsági higiénia megvalósítása nagyban hozzájárulhat a hiányosságok megszüntetéséhez. A McAfee ugyancsak azt jelentette, hogy a kitett adatok 70 százaléka – 5,4 milliárd – a rosszul konfigurált szolgáltatások és portálok miatt került veszélybe. A hozzáférés identitásvezérléssel történő kezelése és az erős biztonsági higiénia megvalósítása nagyban hozzájárulhat a hiányosságok megszüntetéséhez.
Egy robusztus felhőbiztonsági stratégia a következő ajánlott eljárásokat foglalja magában:
1. Alkalmazzon egy teljes körű natív felhős alkalmazásvédelmi platformos (CNAPP) stratégiát: A biztonság széttagolt eszközökkel történő kezelése vakfoltokat okozhat a védelemben, ami magasabb költségeket eredményezhet. A felhő általános támadási felületének csökkentése és a veszélyforrások elleni védelem automatizálása érdekében kritikus fontosságú egy olyan, mindenre kiterjedő platform, amely lehetővé teszi a biztonság beágyazását a kódtól a felhőig. A CNAPP-stratégia a következő ajánlott eljárásokat foglalja magában:
a. A DevOpsban a biztonságnak kezdettől fogva elsőbbséget kell élveznie. A biztonság háttérbe szorulhat a felhőalkalmazások fejlesztésével kapcsolatos rohanásban. A fejlesztőket arra ösztönzik, hogy gyorsan oldják meg az üzleti problémát, és előfordulhat, hogy nem rendelkeznek felhőbiztonsági készségekkel. Ennek eredményeképpen számos alkalmazás kerülhet forgalomba a megfelelő adatengedélyezési szabályok nélkül. Az API-k a hackerek elsődleges célpontjává váltak, mivel a szervezetek – a felhőalkalmazások fejlesztési üteme miatt – gyakran már nem is tudják nyomon követni őket. A Gartner növekvő problémaként említi az „API-k elburjánzását”, és azt jósolja, hogy 2025-re a vállalati API-k kevesebb mint felét fogják felügyelni (Gartner). Ezért rendkívül fontos a DevSecOps-stratégia minél gyorsabb bevezetése.
b. Erősítse meg a felhőbiztonsági helyzetét, és javítsa ki a hibás konfigurációkat. A felhőbiztonsági incidensek leggyakoribb oka a hibás konfiguráció – tekintse meg a Cloud Security Alliance által azonosított leggyakoribb biztonságicsoport-beállítási hibák toplistáját. Bár a tárolási erőforrások nyilvános elérhetősége a leggyakrabban említett aggodalom, az információbiztonsági vezetők más elhanyagolt területeket is megemlítenek, mint például a kikapcsolt felügyelet és naplózás, a túlzott jogosultságok, a nem védett biztonsági másolatok stb. A titkosítás fontos védelmet jelent a nem megfelelő kezelés ellen – és a zsarolóvírusok kockázatának csökkentése szempontjából is kritikus fontosságú. A felhőbiztonsági állapot kezelésére szolgáló eszközök egy további védelmi vonalat jelentenek azáltal, hogy a felhőalapú erőforrásokat figyelik a kitettségek és a hibás konfigurációk szempontjából, és így proaktív módon csökkenthető a támadási felület, mielőtt még incidens következne be.
c. Automatizálja az incidensek észlelését, elemzését és a rájuk adott választ. A hibás konfigurációk azonosítása és kijavítása fontos, de arról is gondoskodnunk kell, hogy rendelkezzünk olyan eszközökkel és folyamatokkal, amelyekkel azokat a támadásokat is felismerhetjük, amelyek átjutnak a védelmen. Ez az a terület, ahol a fenyegetések észlelésére és kezelésére szolgáló eszközök segíthetnek.
d. Használjon megfelelő hozzáférés-kezelést. A többtényezős hitelesítés, az egyszeri bejelentkezés, a szerepköralapú hozzáférés-vezérlés, a jogosultságkezelés és a tanúsítványok segítenek kezelni a felhőbiztonság két legnagyobb kockázatát: a felhasználót és a rosszul konfigurált digitális tulajdonságokat. A legkisebb hozzáférés a felhőinfrastruktúra jogosultságkezelésének (CIEM) ajánlott eljárása. Egyes vezetők az aktív biztonsági kontrollok bevezetése érdekében identitáshozzáférés- vagy jogosultságkezelő megoldásokat használnak. Egy pénzügyi szolgáltató vezetője a felhőelérési biztonsági közvetítőt (CASB) használja kulcsfontosságú háttértámogatásként a szervezet SaaS-szolgáltatásainak kezeléséhez, valamint a felhasználók és az adatok ellenőrzésének fenntartásához. A CASB közvetítőként működik a felhasználók és a felhőalkalmazások között, átláthatóságot biztosít, és szabályzatokon keresztül cégirányítási intézkedéseket kényszerít ki az SaaS-szolgáltatások kezelése, valamint a felhasználók és az adatok feletti ellenőrzés fenntartása érdekében. A CASB közvetítőként működik a felhasználók és a felhőalkalmazások között, átláthatóságot biztosít, és szabályzatokon keresztül cégirányítási intézkedéseket kényszerít ki.
Egy olyan natív felhős alkalmazásvédelmi platform, mint amilyet a Felhőhöz készült Microsoft Defender kínál, nemcsak láthatóságot biztosít a többfelhős erőforrásokra, hanem a környezet minden szintjén védelmet nyújt, miközben figyeli a fenyegetéseket, és a riasztásokat a SIEM-mel integrálható eseményeknek felelteti meg. Ez leegyszerűsíti a vizsgálatokat, és segít az SOC-csapatoknak, hogy kezelni tudják a több platformot is érintő riasztásokat.
Egy kis megelőzés – az identitásokat és a hibás konfigurációkat érintő hiányosságok megszüntetése – és a támadásokra való választ segítő robusztus eszközök együttesen nagyban hozzájárulnak a teljes felhőkörnyezet védelméhez, a vállalati hálózattól a felhőszolgáltatásokig.
Az átfogó biztonsági állapot a láthatósággal kezdődik, és a rangsorolt kockázatkezeléssel végződik.
A felhőközpontú informatikára való áttérés nemcsak a megvalósítási hiányosságokkal fenyegeti a szervezetet, hanem a hálózatba kapcsolt erőforrások – eszközök, alkalmazások, végpontok –, valamint a felhőalapú számítási feladatok egyre inkább elburjánzó sokaságával is. A biztonsági vezetők olyan technológiákkal kezelik a biztonsági állapotot ebben a szegély nélküli környezetben, amelyek átláthatóságot és rangsorolt választ biztosítanak. Ezek az eszközök segítenek a szervezeteknek a teljes támadási felületet lefedő eszközleltár feltérképezésében, amely kiterjed a szervezet hálózatán belüli és kívüli felügyelt és nem felügyelt eszközökre is. Az ilyen erőforrások segítségével az információbiztonsági vezetők képesek felmérni az egyes eszközök biztonsági helyzetét és az üzletmenetben betöltött szerepét, és így kialakítani egy rangsorolt kockázati modellt.
A biztonsági vezetőkkel folytatott beszélgetéseink során azt tapasztaltuk, hogy a szegélyalapú biztonságtól egyre inkább egy olyan, a biztonsági helyzetre épülő megközelítés felé történik elmozdulás, amely kiterjed a határok nélküli teljes ökoszisztémára.
Amint az egyik információbiztonsági vezető fogalmaz: „Számomra a biztonsági állapot egészen az identitásig terjed... Nem csak a régi, hagyományos módon tekintünk rá, amelyben a peremterület szerepel, hanem kiterjesztjük egészen a végpontig.” (Közművek – Vízellátás, 1390 alkalmazott). „Ma már az identitás az új peremterület” – jegyzi meg egy FinTech információbiztonsági vezetője, és ezt a kérdést teszi fel: „Vajon mit jelent az identitás ebben az új modellben, ahol már nincs is belső és külső terület?” (FinTech, 15 000 alkalmazott).
Tekintettel erre a porózus környezetre, az információbiztonsági vezetők tisztában vannak a biztonsági állapot átfogó kezelésének sürgősségével, de sokakban felmerül a kérdés, vajon rendelkeznek-e elegendő erőforrással és digitális fejlettséggel ahhoz, hogy ezt a szemléletet a gyakorlatban is megvalósítsák. Szerencsére az iparágban bevált (és a mai igényeknek megfelelően frissített) keretrendszerek és a biztonsági innováció együttes alkalmazásával a legtöbb szervezet számára elérhető közelségbe került a biztonsági állapot átfogó kezelése.
Szerezzen be olyan eszközöket a kibervédelmi infrastruktúrájába, amelyek lehetővé teszik az eszközkészlet leltározását. Ezután vizsgálja meg, hogy ezek közül melyek a kritikusak, melyek jelentik a legnagyobb kockázatot a szervezetre nézve, és határozza meg, hogy ezek az eszközök milyen potenciális sebezhetőségekkel rendelkeznek, és döntse el, hogy ez elfogadható-e: szükséges van-e javításra vagy elszigetelésre.
Ken Malcolmson, vezető biztonsági tanácsadó, Microsoft
Íme néhány ajánlott eljárás és eszköz, amelyeket a biztonsági vezetők használnak a nyílt, felhőközpontú környezetben a biztonsági állapot kezelésére:
1. Érjen el átfogó láthatóságot egy eszközleltárral.
A láthatóság az első lépés a biztonsági állapot holisztikus kezelésében. Az információbiztonsági vezetőkben felmerül a kérdés: „Először is, tudjuk-e egyáltalán, hogy mi mindennel rendelkezünk? Rendelkezünk-e láthatósággal, mielőtt a felügyelettel foglalkozhatnánk?” A kockázati eszközök leltára magában foglalja az olyan IT-eszközöket, mint a hálózatok és alkalmazások, az adatbázisok, a kiszolgálók, a felhő- és IoT-objektumok, valamint a digitális infrastruktúrán tárolt adatok és IP-eszközök. A legtöbb platform, például a Microsoft 365 vagy az Azure, tartalmaz beépített eszközleltár-eszközöket, amelyek segíthetnek a kezdésben.
A láthatóság az első lépés a biztonsági állapot holisztikus kezelésében. Az információbiztonsági vezetőkben felmerül a kérdés: „Először is, tudjuk-e egyáltalán, hogy mi mindennel rendelkezünk? Rendelkezünk-e láthatósággal, mielőtt a felügyelettel foglalkozhatnánk?” A kockázati eszközök leltára magában foglalja az olyan IT-eszközöket, mint a hálózatok és alkalmazások, az adatbázisok, a kiszolgálók, a felhő- és IoT-objektumok, valamint a digitális infrastruktúrán tárolt adatok és IP-eszközök. A legtöbb platform, például a Microsoft 365 vagy az Azure, tartalmaz beépített eszközleltár-eszközöket, amelyek segíthetnek a kezdésben.
2. Mérje fel a sebezhetőséget, és elemezze a kockázatot.
Ha a szervezet már rendelkezik egy átfogó eszközleltárral, lehetőség nyílik a kockázatok elemzésére mind a belső sebezhetőségek, mind a külső fenyegetések tekintetében. Ez a lépés nagyban függ a körülményektől, és minden egyes szervezet esetében más és más lehet – a megbízható kockázatértékelés alapja a biztonsági, az informatikai és az adatkezelési csapatok közötti szoros együttműködés. Ez a többfunkciós csapat az elemzés során automatizált kockázatpontozási és -rangsorolási eszközöket használ – például a Microsoft Entra ID, a Microsoft Defender XDR és a Microsoft 365 alkalmazásokba integrált kockázatrangsorolási eszközöket. Az automatizált kockázatpontozási és -rangsorolási technológiák szakértői útmutatást is tartalmazhatnak a hiányosságok orvoslásához, valamint környezetfüggő információkat a fenyegetésekre adandó hatékony válaszok érdekében.
Ha a szervezet már rendelkezik egy átfogó eszközleltárral, lehetőség nyílik a kockázatok elemzésére mind a belső sebezhetőségek, mind a külső fenyegetések tekintetében. Ez a lépés nagyban függ a körülményektől, és minden egyes szervezet esetében más és más lehet – a megbízható kockázatértékelés alapja a biztonsági, az informatikai és az adatkezelési csapatok közötti szoros együttműködés. Ez a többfunkciós csapat az elemzés során automatizált kockázatpontozási és -rangsorolási eszközöket használ – például a Microsoft Entra ID, a Microsoft Defender XDR és a Microsoft 365 alkalmazásokba integrált kockázatrangsorolási eszközöket. Az automatizált kockázatpontozási és -rangsorolási technológiák szakértői útmutatást is tartalmazhatnak a hiányosságok orvoslásához, valamint környezetfüggő információkat a fenyegetésekre adandó hatékony válaszok érdekében.
3. Rangsorolja a kockázatokat és a biztonsági igényeket üzleti kockázati modellezéssel.
A kockázati környezet egyértelmű ismeretében a technikai csapatok az üzleti vezetőkkel együttműködve rangsorolhatják a biztonsági beavatkozásokat az üzleti igények figyelembevételével. Mérlegelje az egyes eszközök szerepét, az üzleti értéküket, valamint azt, hogy milyen kockázatot jelentene az üzlet számára, ha feltörnék, és tegyen fel olyan kérdéseket, mint például: „Mennyire bizalmas ez az információ, és milyen hatással lenne az üzletre, ha kiszivárogna?”, vagy „Mennyire kritikusak ezek a rendszerek – milyen hatással lenne az üzletre az üzemkimaradásuk?”. A Microsoft olyan eszközöket kínál, amelyek támogatják a biztonsági rések átfogó azonosítását és rangsorolását az üzleti kockázat modellezése alapján, beleértve a Microsoft Biztonsági pontszám, a Microsoft Megfelelőségi pontszám, az Azure Biztonsági pontszám, a Microsoft Defender külső támadásifelület-kezelő és a Microsoft Defender biztonságirés-kezelés eszközöket.
A kockázati környezet egyértelmű ismeretében a technikai csapatok az üzleti vezetőkkel együttműködve rangsorolhatják a biztonsági beavatkozásokat az üzleti igények figyelembevételével. Mérlegelje az egyes eszközök szerepét, az üzleti értéküket, valamint azt, hogy milyen kockázatot jelentene az üzlet számára, ha feltörnék, és tegyen fel olyan kérdéseket, mint például: „Mennyire bizalmas ez az információ, és milyen hatással lenne az üzletre, ha kiszivárogna?”, vagy „Mennyire kritikusak ezek a rendszerek – milyen hatással lenne az üzletre az üzemkimaradásuk?”. A Microsoft olyan eszközöket kínál, amelyek támogatják a biztonsági rések átfogó azonosítását és rangsorolását az üzleti kockázat modellezése alapján, beleértve a Microsoft Biztonsági pontszám, a Microsoft Megfelelőségi pontszám, az Azure Biztonsági pontszám, a Microsoft Defender külső támadásifelület-kezelő és a Microsoft Defender biztonságirés-kezelés eszközöket.
4. Hozzon létre stratégiát a biztonsági állapot kezelésére.
A biztonsági állapot átfogó kezelésének alapját az eszközleltár, a kockázatelemzés és az üzleti kockázati modell képezi. Ez a láthatóság és betekintés segít a biztonsági csapatnak meghatározni, hogyan lehet a legjobban kiosztani az erőforrásokat, milyen védekezési intézkedéseket kell alkalmazni, és hogyan lehet optimalizálni a kockázat és a használhatóság közötti kompromisszumot a hálózat egyes szegmenseire vonatkozóan.
A biztonsági állapot átfogó kezelésének alapját az eszközleltár, a kockázatelemzés és az üzleti kockázati modell képezi. Ez a láthatóság és betekintés segít a biztonsági csapatnak meghatározni, hogyan lehet a legjobban kiosztani az erőforrásokat, milyen védekezési intézkedéseket kell alkalmazni, és hogyan lehet optimalizálni a kockázat és a használhatóság közötti kompromisszumot a hálózat egyes szegmenseire vonatkozóan.
A biztonsági állapot kezelésére szolgáló megoldások láthatóságot és sebezhetőségi elemzést biztosítanak, hogy a szervezetek jobban átlássák, mire kell összpontosítaniuk a biztonsági állapot javítására irányuló erőfeszítéseiket. Ennek a betekintésnek a segítségével azonosítani és rangsorolni tudják a támadási felület legfontosabb pontjait.
Használja a Teljes felügyelet és a higiénia eszközeit, hogy kordában tartsa az IoT és az OT rendkívül változatos, hiperhálózatos környezetét
Az általunk tárgyalt két kihívás – a felhő bevezetésénél jelentkező hiányosságok és a felhőhöz csatlakoztatott eszközök elszaporodása – a kockázatok áradatát eredményezi az IoT- és OT-eszközök környezetében. Az IoT- és OT-eszközök által okozott megnövekedett támadási felület miatt eleve fennálló kockázat mellett a biztonsági vezetők azt is elmondták nekem, hogy megpróbálják racionalizálni a kialakulóban lévő IoT-stratégia és az örökölt OT-stratégia találkozását. Az IoT ugyan natív felhős, de ezek az eszközök gyakran az üzleti célszerűséget helyezik előtérbe az alapvető biztonsággal szemben; az OT-t pedig jellemzően a gyártók által kezelt, korszerű biztonság nélkül kifejlesztett és a szervezet IT-hálózatába ad hoc módon beépített örökölt berendezések alkotják.
Az IoT- és OT-eszközök segítenek a szervezeteknek modernizálni a munkaterületeket, adatvezéreltebbé válni, és a távoli irányításhoz és automatizáláshoz hasonló stratégiai váltások révén csökkenteni a személyzetre nehezedő feladatokat. Az International Data Corporation (IDC) becslése szerint 2025-re 41,6 milliárd csatlakoztatott IoT-eszköz lesz, ami meghaladja a hagyományos IT-eszközök növekedési ütemét.
Ezzel a lehetőséggel azonban jelentős kockázat is jár. A 2022. decemberi, Az IT és az operatív technológia konvergenciája című Cyber Signals-jelentésünk azt vizsgálta, hogy ezek a technológiák milyen kockázatokat jelentenek a kritikus infrastruktúrára nézve.
A legfontosabb megállapítások a következők:
1. Az ügyfelek OT-hálózataiban leggyakrabban használt ipari vezérlők 75%-a javítatlan, súlyos sebezhetőségekkel rendelkezik.
2. 2020 és 2022 között 78%-kal nőtt a népszerű gyártók által gyártott ipari vezérlőberendezésekben található súlyos sebezhetőségek nyilvánosságra hozatala.
3. Az interneten nyilvánosan hozzáférhető eszközök nagy része nem támogatott szoftvert futtat. Az elavult Boa szoftvert például még mindig széles körben használják az IoT-eszközökben és a szoftverfejlesztői készletekben (SDK-kban).
Az IoT-eszközök gyakran a digitális eszközközpont leggyengébb láncszemét jelentik. Mivel ezeket nem úgy felügyelik, frissítik és javítják, mint a hagyományos IT-eszközöket, kényelmes kapuként szolgálhatnak az IT-hálózatba behatolni kívánó támadók számára. A hozzáférést követően az IoT-eszközök lehetővé tehetik a távoli kódvégrehajtást. Egy támadó megszerezheti az irányítást és kihasználhatja a biztonsági réseket, és botneteket vagy kártevőket telepíthet az IoT-eszközre. Ha ez megtörténik, az eszköz nyitott ajtóként szolgálhat az egész hálózathoz.
Az operatív technológiai eszközök még fenyegetőbb kockázatot jelentenek, mivel sok közülük kritikus fontosságú a szervezet működése szempontjából. A korábban offline vagy a vállalati IT-hálózattól fizikailag elszigetelt OT-hálózatok ma már egyre inkább összekapcsolódnak az IT- és IoT-rendszerekkel. A Ponemon Intézettel együtt 2021 novemberében készített, Az IoT és az OT kiberbiztonságának helyzete a vállalkozásokbancímű tanulmány szerint az OT-hálózatok több mint fele csatlakozik a vállalati IT- (üzleti) hálózatokhoz. A vállalatok hasonló hányada, 56 százaléka rendelkezik internetre csatlakoztatott eszközökkel az OT-hálózaton, például távoli hozzáférés céljából.
„Majdnem minden támadás, amelyet az elmúlt évben láttunk, egy olyan informatikai hálózathoz való kezdeti hozzáféréssel kezdődött, amelyet az OT-környezetbe szerveztek.”
David Atch, Microsoft Veszélyforrás-intelligencia, az IoT-/OT-biztonsági kutatás vezetője
Az OT csatlakoztatása a szervezeteket jelentős működési zavarok és leállások kockázatának teszi ki egy támadás esetén. Az OT gyakran alapvető fontosságú az üzleti tevékenység szempontjából, ami a támadók számára csábító célpontot jelent, amelyet kihasználva jelentős károkat okozhatnak. Maguk az eszközök is könnyű célpontok lehetnek, mivel gyakran olyan barnamezős vagy elavult berendezésekről van szó, amelyek kialakításuknál fogva még nem biztonságosak, a modern biztonsági gyakorlatokat megelőzően készültek, és olyan jogvédett protokollokkal rendelkezhetnek, amelyek a szabványos IT-felügyeleti eszközök számára nem láthatóak. A támadók általában úgy használják ki ezeket a technológiákat, hogy felfedezik az interneten keresztül elérhető rendszereket, hozzáférést pedig az alkalmazottak bejelentkezési hitelesítő adatait vagy a külső beszállítók és vállalkozók számára biztosított hozzáférést használva szereznek. A nem felügyelt ICS-protokollok az OT-specifikus támadások egyik gyakori belépési pontja (Microsoft Digitális védelmi jelentés 2022).
A biztonsági vezetők a következő ajánlott eljárásokat követik, hogy megbirkózzanak az IoT- és OT-biztonság kezelésével kapcsolatos egyedi kihívásokkal az informatikai hálózathoz különböző módon csatlakoztatott szerteágazó típusú készülékek mellett:
1. Valósítson meg átfogó eszközláthatóságot.
A hatékony IoT-/OT-felügyelet szempontjából kulcsfontosságú, hogy rálátásunk legyen a hálózaton belüli összes eszközre, az összeköttetések módjára, valamint az egyes csatlakozási pontok üzleti kockázatára és kitettségére. Egy IoT- és OT-tudatos hálózatészlelési és reagálási (NDR) megoldás és egy SIEM, mint például a Microsoft Sentinel, szintén segíthet abban, hogy szélesebb körű betekintést nyerhessen a hálózatban lévő IoT- és OT-eszközökbe, és figyelemmel kísérhesse azokat az olyan rendellenes viselkedésformák tekintetében, mint például az ismeretlen gazdagépekkel való kommunikáció. (A kitett ICS-protokollok OT-ben történő kezeléséről további információkat talál a Microsoft Biztonság Az IOT-eszközök egyedi biztonsági kockázata című cikkében).
A hatékony IoT-/OT-felügyelet szempontjából kulcsfontosságú, hogy rálátásunk legyen a hálózaton belüli összes eszközre, az összeköttetések módjára, valamint az egyes csatlakozási pontok üzleti kockázatára és kitettségére. Egy IoT- és OT-tudatos hálózatészlelési és reagálási (NDR) megoldás és egy SIEM, mint például a Microsoft Sentinel, szintén segíthet abban, hogy szélesebb körű betekintést nyerhessen a hálózatban lévő IoT- és OT-eszközökbe, és figyelemmel kísérhesse azokat az olyan rendellenes viselkedésformák tekintetében, mint például az ismeretlen gazdagépekkel való kommunikáció. (A kitett ICS-protokollok OT-ben történő kezeléséről további információkat talál a Microsoft Biztonság Az IOT-eszközök egyedi biztonsági kockázata című cikkében).
2. Szegmentálja a hálózatokat, és alkalmazza a Teljes felügyelet elveit.
Ahol csak lehetséges, szegmentálja a hálózatokat, hogy támadás esetén megakadályozhassa az oldalirányú mozgást. Az IoT-eszközöket és az OT-hálózatokat tűzfalakon keresztül el kell különíteni a vállalati informatikai hálózatoktól, vagy légrésesnek kell lenniük. Ezzel együtt az is fontos, hogy feltételezzük, hogy az OT és az IT konvergál, és a támadási felületen teljes felügyeleti protokollokat kell kiépíteni. A hálózat szegmentálása egyre kevésbé megvalósítható. Az olyan szabályozott szervezetekben, mint például az egészségügy, a közművek és a gyártás, az OT-IT összekapcsolhatósága kulcsfontosságú az üzleti működés szempontjából – vegyük például a mammográfiás gépeket vagy az intelligens MRI-ket, amelyek az elektronikus egészségügyi nyilvántartó rendszerekhez (EHR) csatlakoznak, vagy az intelligens gyártósorokat és a távoli monitorozást igénylő víztisztítást. Az ilyen esetekben a Teljes felügyelet kritikus fontosságú.
Ahol csak lehetséges, szegmentálja a hálózatokat, hogy támadás esetén megakadályozhassa az oldalirányú mozgást. Az IoT-eszközöket és az OT-hálózatokat tűzfalakon keresztül el kell különíteni a vállalati informatikai hálózatoktól, vagy légrésesnek kell lenniük. Ezzel együtt az is fontos, hogy feltételezzük, hogy az OT és az IT konvergál, és a támadási felületen teljes felügyeleti protokollokat kell kiépíteni. A hálózat szegmentálása egyre kevésbé megvalósítható. Az olyan szabályozott szervezetekben, mint például az egészségügy, a közművek és a gyártás, az OT-IT összekapcsolhatósága kulcsfontosságú az üzleti működés szempontjából – vegyük például a mammográfiás gépeket vagy az intelligens MRI-ket, amelyek az elektronikus egészségügyi nyilvántartó rendszerekhez (EHR) csatlakoznak, vagy az intelligens gyártósorokat és a távoli monitorozást igénylő víztisztítást. Az ilyen esetekben a Teljes felügyelet kritikus fontosságú.
3. Alkalmazzon IoT-/OT-biztonsági felügyeleti higiéniát.
A biztonsági csapatok az alábbi alapvető higiéniai gyakorlatokkal megszüntethetik a réseket:
A biztonsági csapatok az alábbi alapvető higiéniai gyakorlatokkal megszüntethetik a réseket:
- A szükségtelen internetkapcsolatok és nyitott portok megszüntetése, a távoli hozzáférés korlátozása vagy megtagadása, valamint VPN-szolgáltatások használata
- Az eszközbiztonság felügyelete javítások alkalmazásával, valamint az alapértelmezett jelszavak és portok megváltoztatásával
- Annak biztosítása, hogy az ICS-protokollok ne legyenek közvetlenül hozzáférhetők az interneten
Az ilyen szintű betekintés és irányítás elérésére vonatkozó gyakorlati útmutatásért lásd: Az IoT-/OT-eszközök speciális kockázata, Microsoft Security Insider.
Gyakorlatban hasznosítható elemzések
1. A hálózaton lévő IoT-/OT-eszközök jobb láthatósága érdekében és az eszközök rendellenes vagy jogosulatlan viselkedésének (például ismeretlen gazdagépekkel folytatott kommunikáció) figyelésére használjon az IoT/OT észlelésére képes hálózatészlelési és -reagálási (NDR-) megoldást, valamint egy, a biztonsági információk és események kezelésére szolgáló (SIEM-), illetve egy biztonsági vezénylésre és reagálásra alkalmas (SOAR-) megoldást
2. A mérnöki állomások védelméről végponti észlelési és reagálási (EDR-) megoldásokkal gondoskodhat
3. A szükségtelen internetkapcsolatok és nyitott portok kiiktatásával, a távoli hozzáférési portok letiltása útján történő korlátozásával, a távoli hozzáférés megtagadásával és VPN-szolgáltatások használatával csökkentheti a támadási felületet
4. Gondoskodjon arról, hogy az ICS-protokollokhoz ne lehessen közvetlenül hozzáférni az interneten keresztül
5. A hálózatok szegmentálásával korlátozhatja a támadók oldalirányú mozgására és az eszközöknek a kezdeti behatolás utáni feltörésére vonatkozó képességét. Az IoT-eszközöket és az OT-hálózatokat tűzfalakon keresztül el kell különíteni a vállalati informatikai hálózatoktól
6. Javítások telepítésével, az alapértelmezett jelszavak és portok megváltoztatásával gondoskodhat az eszközök ellenálló képességéről
7. Feltételezze, hogy az OT és az IT konvergál, és építsen ki Teljes felügyeletet a támadási felületen
8. Biztosítsa a szervezeti összehangolást az OT és az IT között a nagyobb láthatóság és a csapatintegráció támogatásával
9. Mindig kövesse az alapvető fenyegetésinformációkon alapuló ajánlott IoT-/OT-biztonsági eljárásokat
Ma, amikor a biztonsági vezetőknek egyre nagyobb mértékben jelentkező fenyegetések mellett és egyre kevesebb erőforrás felhasználásával még több feladatot kell ellátniuk, megragadják a lehetőséget a digitális birtokuk racionalizálására, és ehhez a felhő válik a modern biztonsági stratégia alapjává. Mint láttuk, a felhőközpontú megközelítés előnyei lényegesen túlsúlyban vannak a kockázatokkal szemben – különösen azon szervezetek számára, amelyek felhasználják az ajánlott eljárásokat a felhőkörnyezetük kezeléséhez egy robusztus felhőbiztonsági stratégia, a biztonsági helyzet átfogó kezelése, valamint az IoT-/OT-szegélyben fellelhető rések megszüntetésére irányuló konkrét taktikák révén.
A következő számunkban további biztonsági elemzésekkel és információkkal várjuk. Köszönjük, hogy elolvasta a CISO Insidert!
Az ilyen szintű betekintés és irányítás elérésére vonatkozó gyakorlati útmutatásért lásd: Az IoT-/OT-eszközök speciális kockázata, Microsoft Security Insider.
Az idézett Microsoft-kutatások mindegyikében független kutatócégek keresték meg a biztonsági szakembereket mind a kvantitatív, mind a kvalitatív kutatásokhoz, biztosítva az adatvédelmi szabályok érvényesülését és az elemzés hitelességét. Az ebben a dokumentumban szereplő idézetek és megállapítások – hacsak másként nem jelöljük – a Microsoft kutatási tanulmányainak eredményei.
A Microsoft követése