CISO Insider: Problema 3
Benvenuto al nostro terzo problema della serie CISO Insider. Sono Rob Lefferts, responsabile del team di sviluppo di Microsoft Defender e Sentinel. Abbiamo iniziato questa serie circa un anno fa per condividere le informazioni ottenute dalle nostre conversazioni con alcuni colleghi, nonché dalla nostra ricerca ed esperienza in prima linea nell'ambito della cybersecurity.
I nostri primi due problemi hanno preso in considerazione l'escalation di minacce come i ransomware e il modo in cui i leader della sicurezza stanno sfruttando l'automazione e le opportunità di acquisizione di nuove competenze per rispondere con efficacia a queste minacce in un contesto caratterizzato dalla carenza di talenti. L'attuale incertezza economica sta esercitando una pressione ancora maggiore sui CISO, molti dei quali stanno cercando di ottimizzare l'uso di soluzioni basate sul cloud e servizi di sicurezza gestita integrati per una maggiore efficienza. In questo problema, verranno esaminate le priorità della sicurezza emergenti man mano che le organizzazioni passano a un modello sempre più basato sul cloud, trasferendo tutto il loro patrimonio digitale dai sistemi locali ai dispositivi IoT.
Il cloud pubblico offre una solida sicurezza di base, efficienza in termini di costi e risorse di calcolo scalabili; ecco perché è una risorsa fondamentale in un periodo di tagli ai budget. Ma questo triplo vantaggio implica la necessità di fare attenzione alle lacune che nascono nel nesso tra il cloud pubblico e i cloud privati e i sistemi locali. Vediamo cosa stanno facendo i leader della sicurezza per gestire la sicurezza negli spazi liminali tra dispositivi connessi, endpoint, app, cloud e servizi gestiti. Infine, prendiamo in esame due tecnologie che rappresentano l'apice di questa sfida per la sicurezza: IoT e OT. La convergenza di queste due tecnologie antitetiche (una emergente e l'altra legacy, entrambe introdotte nella rete senza un'adeguata sicurezza integrata) crea un confine poroso vulnerabile agli attacchi.
Il Problema 3 analizza queste tre priorità della sicurezza basata sul cloud:
Il cloud è sicuro; ma tu stai gestendo il tuo ambiente cloud in modo sicuro?
Una postura di sicurezza completa inizia con la visibilità e finisce con la gestione dei rischi classificati in ordine di priorità.
L'adozione del cloud accelerata va di pari passo con una proliferazione di servizi, endpoint, app e dispositivi. Oltre a una strategia di gestione dei punti di connessione cloud critici, i CISO stanno riconoscendo la necessità di una maggiore visibilità e un maggiore coordinamento nel loro footprint digitale in crescita, la necessità di una gestione della postura completa. Vediamo come i leader della sicurezza stanno ampliando il loro approccio, passando dalla prevenzione degli attacchi (tuttora la miglior difesa, finché funziona) alla gestione dei rischi tramite strumenti di gestione della postura completa che consentono di effettuare un inventario degli asset e di modellare il rischio aziendale e, naturalmente, il controllo di identità e accessi.
Affidati all'approccio Zero Trust e all'igiene informatica per domare l'ambiente estremamente variegato e iper-connesso di IoT e OT.
La crescita esponenziale di dispositivi IoT e OT connessi continua a presentare sfide per la sicurezza, soprattutto data la difficoltà di riconciliare tecnologie che sono un mix di strumenti di terze parti nativi del cloud e apparecchiature legacy aggiornate per la rete. In base alle proiezioni, il numero di dispositivi IoT globali dovrebbe raggiungere 41,6 miliardi entro il 2025, creando una superficie di attacco estesa per gli utenti malintenzionati che sfruttano questi dispositivi come punti di ingresso per i cyberattacchi. Questi dispositivi tendono a essere colpiti in quanto punti di vulnerabilità in una rete. Potrebbero essere introdotti appositamente e connessi alla rete IT senza chiare indicazioni da parte del team addetto alla sicurezza; potrebbero essere sviluppati senza soluzioni di sicurezza di base da parte di terzi; oppure potrebbero essere gestiti in modo inappropriato dal team della sicurezza a causa di difficoltà come i protocolli proprietari e i requisiti di disponibilità (OT). Scopri come tanti leader IT stanno migliorando la loro strategia di sicurezza IoT/OT per superare tutte queste lacune e difficoltà.
Il cloud è sicuro; ma tu stai gestendo il tuo ambiente cloud in modo sicuro?
In un periodo di carenza di talenti e restrizioni sui budget, il cloud offre numerosi vantaggi: efficienza in termini di costi, risorse scalabili senza limiti e una protezione dei dati più affidabile di quella che, secondo i leader della sicurezza, si potrebbe ottenere con soluzioni locali. In passato i CISO vedevano le risorse cloud come un compromesso tra una maggiore esposizione ai rischi e un'efficienza in termini di costi più elevata, ma la maggior parte dei leader della sicurezza intervistati oggi ha adottato il cloud considerandolo la nuova normalità. Hanno fiducia nella solida sicurezza di base della tecnologia cloud: "Mi aspetto che i provider di servizi cloud sistemino le cose in termini di gestione delle identità e degli accessi, sicurezza dei sistemi e sicurezza fisica," dice un CISO.
Ma come la maggior parte dei leader della sicurezza riconosce, la sicurezza di base del cloud non garantisce che i dati siano al sicuro: la protezione dei dati nel cloud dipende molto da come i servizi cloud vengono implementati insieme ai sistemi locali e alle tecnologie locali. Il rischio aumenta nelle lacune tra il cloud e i limiti aziendali tradizionali, i criteri e le tecnologie impiegati per proteggere il cloud. Si verificano errori di configurazione, che spesso lasciano le organizzazioni esposte e dipendenti dai team della sicurezza per individuare e colmare le lacune.
"Tantissime violazioni sono dovute a una configurazione errata, qualcuno che inavvertitamente commette errori di configurazione o cambia qualcosa causando perdite di dati."
Entro il 2023, il 75% delle violazioni di sicurezza del cloud sarà provocato dalla gestione inadeguata di identità, accessi e privilegi, rispetto al 50% del 2020 (I maggiori rischi dovuti a configurazione errata e vulnerabilità nella sicurezza del cloud: Report | CSO Online). La difficoltà non risiede nella sicurezza del cloud in sé, ma nei criteri e nei controlli utilizzati per proteggere l'accesso. Come sostiene un CISO del settore dei servizi finanziari: "La sicurezza del cloud è eccellente se implementata correttamente. Il cloud stesso e i relativi componenti sono sicuri. Ma quando si passa alla configurazione ci si chiede: sto scrivendo correttamente il codice? Sto configurando correttamente i connettori a livello aziendale?" Un altro leader della sicurezza riassume questa difficoltà: "La configurazione errata di quei servizi cloud è ciò che rende i servizi vulnerabili agli attori di minacce." Man mano che sempre più leader della sicurezza diventano consapevoli dei rischi di una configurazione errata del cloud, il fulcro della questione della sicurezza del cloud è cambiato: ora non ci si chiede più se il cloud è sicuro, ma se viene usato in modo sicuro.
Cosa significa usare il cloud in modo sicuro? Molti dei leader intervistati gestiscono la strategia di sicurezza del cloud da zero, affrontando gli errori umani che espongono l'organizzazione a rischi come violazioni di identità e configurazioni errate. Questo approccio è in linea anche con i nostri consigli:proteggere le identità e gestirne in modo adeguato l'accesso è fondamentale per qualsiasi strategia di sicurezza del cloud.
Per chi ha ancora dei dubbi, forse questo può essere utile: McAfee ha riportato che il 70% dei record esposti (5,4 miliardi) è stato compromesso a causa di portali e servizi configurati in modo errato. La gestione dell'accesso tramite controlli delle identità e l'implementazione di una solida igiene informatica possono contribuire notevolmente a colmare le lacune. McAfee ha analogamente riportato che il 70% dei record esposti (5,4 miliardi) è stato compromesso a causa di portali e servizi configurati in modo errato. La gestione dell'accesso tramite controlli delle identità e l'implementazione di una solida igiene informatica possono contribuire notevolmente a colmare le lacune.
Una strategia di sicurezza del cloud avanzata include queste procedure consigliate:
1. Implementare una strategia basata sulla piattaforma di protezione delle applicazioni native del cloud (CNAPP) completa: una gestione della sicurezza con strumenti frammentati può causare punti ciechi nella protezione e costi più elevati. Disporre di una piattaforma unica che consenta di integrare la sicurezza dal codice al cloud è fondamentale per ridurre la superficie di attacco cloud complessiva e automatizzare la protezione dalle minacce. La strategia basata su CNAPP include le procedure consigliate seguenti:
Una piattaforma di protezione per le applicazioni native del cloud come quella offerta in Microsoft Defender per il cloud non solo offre visibilità in risorse multicloud, ma fornisce anche una protezione a tutti i livelli dell'ambiente monitorando le minacce e correlando gli avvisi sugli incidenti che integrano la soluzione SIEM. Questo semplifica le analisi e aiuta i team SOC a tenere sotto controllo gli avvisi multipiattaforma.
Un pizzico di prevenzione (colmando le lacune relative a identità e configurazioni errate) insieme a strumenti avanzati per la risposta agli attacchi contribuiscono notevolmente alla protezione dell'intero ambiente cloud, dalla rete aziendale ai servizi cloud.
Una postura di sicurezza completa inizia con la visibilità e finisce con la gestione dei rischi classificati in ordine di priorità.
Il passaggio a un IT basato sul cloud non solo espone l'organizzazione a lacune a livello di implementazione, ma anche alla proliferazione di una serie di risorse collegate (dispositivi, app, endpoint), oltre a carichi di lavoro cloud esposti. I leader della sicurezza stanno gestendo la loro postura in questo ambiente senza perimetro con tecnologie che forniscono visibilità e risposta con priorità. Questi strumenti permettono alle organizzazioni di mappare un inventario di risorse che copre l'intera superficie di attacco, includendo dispositivi gestiti e non gestiti all'interno e all'esterno della rete aziendale. Usando queste risorse, i CISO sono in grado di valutare la postura di sicurezza di ogni risorsa e il suo ruolo nell'azienda per sviluppare un modello di rischio basato sulla priorità.
Nelle nostre conversazioni con i leader della sicurezza, stiamo notando un'evoluzione dalla sicurezza basata sul perimetro a un approccio basato sulla postura di sicurezza che abbraccia un ecosistema senza limiti.
Un CISO ha detto: "Per me, la postura ha ceduto il passo all'identità... Non bisogna considerare più la vecchia postura tradizionale basata sul perimetro, ma si tratta di spostare l'attenzione sull'endpoint." (Utilità – Sistemi idrici, 1390 dipendenti). "L'identità è diventata il nuovo perimetro," commenta un CISO di FinTech, chiedendo: "Qual è il ruolo dell'identità in questo nuovo modello in cui non vi è un confine tra interno ed esterno?" (FinTech, 15.000 dipendenti).
Considerato questo ambiente poroso, i CISO sono consapevoli dell'urgenza di una gestione della postura completa, ma molti si chiedono se hanno le risorse e la maturità digitale per mettere in pratica questa visione. Fortunatamente, attraverso una combinazione di framework comprovati (aggiornati in base alle esigenze di oggi) e innovazione della sicurezza, la gestione della postura completa è alla portata della maggior parte delle organizzazioni.
Implementa nella tua infrastruttura informatica gli strumenti che ti consentono di creare un inventario delle risorse. Poi, vedi quali risorse sono critiche, quali comportano rischi maggiori per l'organizzazione e identifica le potenziali vulnerabilità di questi dispositivi, per poi decidere se sono accettabili (chiedendoti se è necessario un aggiornamento o isolamento).
Di seguito sono elencati alcuni strumenti e procedure consigliate che i leader della sicurezza stanno usando per gestire la postura in un ambiente aperto basato sul cloud:
La visibilità è il primo passo nella gestione della postura olistica. I CISO si chiedono: "Sappiamo davvero qual è il primo passo da compiere? Abbiamo davvero visibilità prima di occuparci della gestione?". Un inventario di risorse di rischio include risorse IT come reti e applicazioni, database, server, proprietà cloud, proprietà IoT, oltre ai dati e alle risorse IT archiviati in questa infrastruttura digitale. La maggior parte delle piattaforme, come Microsoft 365 o Azure, include strumenti di inventario delle risorse integrati che aiutano a muovere i primi passi.
Quando un'organizzazione ha un inventario delle risorse completo, è possibile analizzare i rischi in relazione alle vulnerabilità interne e alle minacce esterne. Questo passaggio si basa molto sul contesto ed è specifico per ogni organizzazione; una valutazione dei rischi attendibile dipende da una solida collaborazione tra i team della sicurezza, dell'IT e dei dati. Per l'analisi, questo team interfunzionale sfrutta strumenti di prioritizzazione e valutazione dei rischi automatizzate; ad esempio, gli strumenti di prioritizzazione dei rischi integrati in Microsoft Entra ID, Microsoft Defender XDR e Microsoft 365. Le tecnologie di prioritizzazione e valutazione dei rischi automatizzate possono anche incorporare indicazioni degli esperti per colmare le lacune e informazioni di contesto per una risposta efficace alle minacce.
Con un quadro chiaro dei rischi, i team tecnici possono collaborare con i dirigenti aziendali per classificare in ordine di priorità gli interventi di sicurezza in relazione alle esigenze aziendali. Considera il ruolo di ogni risorsa, il suo valore per l'attività, e il rischio per l'azienda qualora venisse compromessa, ponendoti domande come: "Quanto sono sensibili queste informazioni e che impatto avrebbe sull'azienda la loro esposizione?" oppure "Quanto sono mission-critical questi sistemi e quale sarebbe l'impatto di un tempo di inattività sull'azienda?" Microsoft offre strumenti che supportano un'identificazione e una prioritizzazione complete delle vulnerabilità in base alla modellazione dei rischi aziendali, tra cui Microsoft Secure Score, Punteggio di conformità di Microsoft, Punteggio di sicurezza di Azure, Gestione della superficie di attacco esterna di Microsoft Defender e Gestione delle vulnerabilità di Microsoft Defender.
Un inventario delle risorse, l'analisi dei rischi e il modello di rischi aziendali sono la base della gestione della postura completa. Questa visibilità e questi dati analitici consentono al team della sicurezza di determinare come allocare al meglio le risorse, quali misure di rinforzo devono essere applicate e come ottimizzare il rapporto tra rischio e usabilità per ogni segmento della rete.
Le soluzioni di gestione della postura offrono visibilità e analisi delle vulnerabilità per aiutare le organizzazioni a capire dove concentrare gli sforzi per il miglioramento della postura. Con queste informazioni, possono identificare e classificare in ordine di priorità le aree importanti nella loro superficie di attacco.
Affidati all'approccio Zero Trust e all'igiene informatica per domare l'ambiente estremamente variegato e iper-connesso di IoT e OT
Le due difficoltà di cui abbiamo parlato (le lacune di implementazione del cloud e la proliferazione di dispositivi connessi al cloud) stanno creando la tempesta perfetta per i rischi negli ambienti di dispositivi IoT e OT. Oltre al rischio intrinseco di una superficie di attacco estesa introdotta dai dispositivi IoT e OT, i team della sicurezza affermano che stanno provando a razionalizzare la convergenza di strategie IoT emergenti e OT legacy. L'IoT può essere nativo del cloud, ma questi dispositivi spesso danno la priorità agli interessi aziendali anziché alla sicurezza di base; l'OT tende a essere costituito da vecchie apparecchiature gestite dai fornitori sviluppate senza soluzioni di sicurezza moderne e introdotte appositamente nella rete IT dell'organizzazione.
I dispositivi IoT e OT stanno aiutando le organizzazioni a modernizzare le aree di lavoro, ad affidarsi di più ai dati e ad alleggerire il carico di lavoro del personale attraverso nuove strategie come la gestione remota e l'automazione. L'International Data Corporation (IDC) stima che ci saranno 41,6 miliardi di dispositivi IoT connessi entro il 2025, con un tasso di crescita superiore a quello dei dispositivi IT tradizionali.
Ma da questa opportunità provengono rischi significativi. Nel nostro report di dicembre 2022 Cyber Signals, La convergenza di IT e tecnologia operativa, erano indicati i rischi dell'infrastruttura critica dovuti a queste tecnologie.
Ecco alcuni dei risultati principali:
1. Il 75% dei controller industriali più comuni nelle reti OT del cliente presenta vulnerabilità di gravità elevata senza patch.
2. Dal 2020 al 2022, c'è stato un aumento del 78% nella divulgazione di vulnerabilità di gravità elevata nelle apparecchiature di controllo industriali prodotte da noti fornitori.
3. Molti dispositivi pubblicamente visibili su Internet eseguono software non supportati. Ad esempio, il software non aggiornato Boa è ancora largamente usato nei dispositivi IoT e nei Software Development Kit (SDK).
I dispositivi IoT spesso rappresentano l'anello più debole nel patrimonio digitale. Non essendo gestiti o aggiornati come i dispositivi IT tradizionali, possono essere sfruttati come comodo punto di ingresso dagli utenti malintenzionati che cercano di infiltrarsi nella rete IT. Dopo l'accesso, i dispositivi IoT sono vulnerabili all'esecuzione di codici remoti. Un utente malintenzionato può assumere il controllo e sfruttare le vulnerabilità per impiantare botnet o malware in un dispositivo IoT. A quel punto, il dispositivo può fungere da porta aperta sull'intera rete.
I dispositivi OT (tecnologia operativa) causano un rischio ancora più grave, con conseguenze critiche per il funzionamento dell'organizzazione. Storicamente offline o isolati fisicamente dalla rete IT aziendale, le reti OT sono sempre più legate ai sistemi IT e IoT. Il nostro studio di novembre 2021 condotto con il Ponemon Institute, The State of IoT/OT Cybersecurity in the Enterprise, ha evidenziato che più della metà delle reti OT ora è connessa a reti IT aziendali. Una proporzione simile di società (il 56%) ha dispositivi connessi a Internet nella propria rete OT per scenari come l'accesso remoto.
La connettività OT espone le organizzazioni al rischio di gravi interruzioni e tempi di inattività in caso di un attacco. L'OT spesso è alla base dell'azienda, fornendo agli utenti malintenzionati un target attraente che possono sfruttare per causare danni considerevoli. I dispositivi stessi possono essere facili bersagli, perché spesso si tratta di apparecchiature dismesse o datate che non sono sicure da progettazione, precedenti alle pratiche di sicurezza moderne, e possono disporre di protocolli proprietari che eludono la visibilità degli strumenti di monitoraggio IT standard. Gli utenti malintenzionati tendono a sfruttare queste tecnologie scoprendo sistemi con accesso a Internet esposti, ottenendo l'accesso tramite le credenziali dei dipendenti o sfruttando l'accesso dato ai fornitori e ai collaboratori di terze parti. I protocolli ICS non monitorati sono un punto di ingresso comune per gli attacchi specifici per l'OT (Report sulla difesa digitale Microsoft 2022).
Per affrontare la sfida unica della gestione della sicurezza IoT e OT in questo continuum di dispositivi diversi connessi in modi diversi alla rete IT, i leader della sicurezza stanno seguendo queste procedure consigliate:
Conoscere tutte le risorse presenti in una rete, come tutto è interconnesso e l'esposizione e i rischi aziendali relativi a ogni punto di connessione è fondamentale per una gestione di IoT/OT efficace. Una soluzione di rilevamento e reazione dalla rete (NDR) basata su IoT/OT e una soluzione SIEM come Microsoft Sentinel possono offrire una maggiore visibilità nei dispositivi IoT/OT nella rete e consentire di monitorarli per individuare eventuali comportamenti anomali come la comunicazione con host sconosciuti. Per altre informazioni sulla gestione di protocolli ICS esposti in OT, consulta "Il rischio unico per la sicurezza dei dispositivi IoT", Microsoft Security.
Ove possibile, è consigliabile segmentare le reti per scoraggiare il movimento laterale in caso di un attacco. I dispositivi IoT e le reti OT devono essere isolati dalla rete IT aziendale tramite firewall. Pertanto, è importante anche supporre una convergenza tra OT e IT e creare protocolli Zero Trust nella superficie di attacco. La segmentazione della rete è sempre meno fattibile. Per organizzazioni regolamentate come quelle del settore sanitario, delle utilità e della produzione, ad esempio, la connettività OT-IT è il nucleo della funzione aziendale; si pensi, ad esempio, ai mammografi o alle RM intelligenti che si connettono ai sistemi CCE (cartella clinica elettronica) o alle linee di produzione o ai sistemi di depurazione delle acque intelligenti che richiedono un monitoraggio remoto. In questi casi, Zero Trust è fondamentale.
I team della sicurezza possono colmare le lacune attraverso alcune pratiche di igiene di base come quelle riportate di seguito:
- Eliminare porte aperte e connessioni Internet superflue, limitare o negare l'accesso remoto e usare servizi VPN
- Gestire la sicurezza dei dispositivi applicando patch e cambiando le password predefinite e le porte
- Assicurarsi che i protocolli ICS non siano direttamente esposti a Internet
Per indicazioni pratiche su come raggiungere questo livello di dati analitici e gestione, consulta "Il rischio unico dei dispositivi IoT/OT", Microsoft Security Insider.
Informazioni di utilità pratica
1. Utilizza una soluzione di rilevamento e reazione dalla rete (NDR) basata su IoT e OT e una soluzione di informazioni di sicurezza e gestione degli eventi (SIEM)/orchestrazione della sicurezza e risposta (SOAR) per ottenere una maggiore visibilità nei dispositivi IoT/OT nella rete, monitorare i dispositivi e rilevare eventuali comportamenti anomali o non autorizzati, come la comunicazione con host sconosciuti
2. Proteggi le stazioni di controllo monitorandole con soluzioni di rilevamento e reazione dagli endpoint (EDR)
3. Riduci la superficie di attacco eliminando porte aperte e connessioni Internet superflue, limitando l'accesso remoto bloccando le porte, negando l'accesso remoto e usando servizi VPN
4. Assicurati che i protocolli ICS non siano direttamente esposti a Internet.
5. Segmenta le reti per ridurre le possibilità che un utente malintenzionato riesca a spostarsi lateralmente e compromettere le risorse dopo l'intrusione iniziale. I dispositivi IoT e le reti OT devono essere isolati dalle reti IT aziendali tramite firewall
6. Assicurati che i dispositivi siano protetti applicando patch, cambiando le password predefinite e le porte
7. Supponi una convergenza tra OT e IT e crea protocolli Zero Trust nella superficie di attacco
8. Garantisci l'allineamento organizzativo tra OT e IT promuovendo una maggiore visibilità e integrazione dei team
9. Segui sempre le pratiche di sicurezza IoT/OT basate sull'intelligence sulle minacce fondamentale
Man mano che i leader della sicurezza colgono l'opportunità di semplificare il loro patrimonio digitale in un contesto di pressione e minacce crescenti allo scopo di fare di più con meno risorse, il cloud si sta affermando come la base della strategia di sicurezza moderna. Come abbiamo visto, i vantaggi di un approccio basato sul cloud prevalgono notevolmente rispetto ai rischi, soprattutto per le organizzazioni che attuano le procedure consigliate per gestire i propri ambienti cloud con una solida strategia di sicurezza del cloud, una gestione della postura completa e tattiche specifiche per colmare le lacune a livello di IoT/OT.
Per indicazioni pratiche su come raggiungere questo livello di dati analitici e gestione, consulta "Il rischio unico dei dispositivi IoT/OT", Microsoft Security Insider.
Tutte le ricerche Microsoft citate si avvalgono di società di ricerca indipendenti per contattare professionisti della sicurezza per studi quantitativi e qualitativi, garantendo rispetto della privacy e rigore analitico. Le citazioni e i risultati inclusi in questo documento, se non diversamente specificato, sono tratti da studi di ricerca Microsoft.
Segui Microsoft Security