Iegūstiet ieskatus tieši no ekspertiem Microsoft draudu informācijas raidierakstā. Klausieties tūlīt.
CISO Insider: 3. izdevums
Laipni lūdzam mūsu CISO Insider sērijas trešajā izdevumā! Es esmu Robs Leferts (Rob Lefferts) un vadu Microsoft Defender un Sentinel inženieru komandu. Mēs sākām šo sēriju aptuveni pirms gada, lai dalītos ieskatos no mūsu diskusijām ar saviem kolēģiem, kā arī no mūsu pašu pētījumiem un pieredzes, strādājot kiberdrošības priekšlīnijās.
Mūsu pirmo divu izdevumu tēmas bija tādu apdraudējumu kā izspiedējprogrammatūra pieaugums un veids, kā drošības nozares vadošie speciālisti izmanto automatizāciju un kvalifikācijas uzlabošanas iespējas, lai palīdzētu efektīvi reaģēt uz šiem apdraudējumiem laikā, kad pastāvīgi vērojams kvalificētu darbinieku trūkums. Kamēr CISO izjūt arvien pieaugošāku spiedienu efektīvi strādāt mūsdienu ekonomiskās nepastāvības laikā, daudzi izvēlas optimizēt mākonī izvietoto risinājumu lietošanu un integrētos pārvaldītos drošības pakalpojumus. Šajā izdevumā mēs apskatām pieaugošās drošības prioritātes laikā, kad organizācijas pāriet uz izteiktāku mākoņa modeli, pārnesot visu savu digitālā īpašuma saturu no lokālajām sistēmām uz IoT ierīcēm.
Publiskais mākonis piedāvā visām pusēm izdevīgu, spēcīgu un finansiāli izdevīgu pamata drošību, kā arī mērogojamu datošanu, padarot to par galveno resursu laikā, kad tiek samazināti budžeti. Taču šeit jāņem vērā nepilnības, kas parādās saiknē starp publisko mākoni un privātajiem mākoņiem un lokālajām sistēmām. Mēs skaidrojam, ko dara drošības nozares vadošie speciālisti, lai pārvaldītu drošību robežlīnijās starp tīkla ierīcēm, galapunktiem, programmām, mākoņiem un pārvaldītiem pakalpojumiem. Visbeidzot mēs aplūkojam divas tehnoloģijas, IoT un OT, kas atspoguļo šī drošības uzdevuma virsotni. Šo divu polarizēto tehnoloģiju — vienas topošās, bet otras mantotās (turklāt abas tiek ieviestas tīklā bez atbilstošas iebūvētās drošības) —konverģence rada porainu malu, kas ir neaizsargāta pret uzbrukumiem.
3. izdevums aplūko šīs trīs mākoņa drošības prioritātes:
Mākonis ir drošs, bet vai jūs droši pārvaldāt savu mākoņa vidi?
Mākoņa apgūšana ir paātrinājusies, jo organizācijas meklē jaunas efektīvas metodes, lai reaģētu uz ekonomiskajiem ierobežojumiem un kvalificētu speciālistu trūkumu. CISO uzticas publisko mākoņu pakalpojumiem to pamata drošības dēļ, taču mākonis ir tikai tik drošs, cik klienta spējas pārvaldīt interfeisu starp publisko mākoni un privāto infrastruktūru. Mēs apskatām veidu, kā drošības nozares vadošie speciālisti samazina šīs nepilnības, izmantojot spēcīgu mākoņa drošības stratēģiju, piemēram, aizsargājot savas mākoņa lietojumprogrammas un darba slodzes ar tādiem rīkiem kā mākoņa stāvokļa pārvaldība un mākoņa lietojumprogrammu aizsardzības platforma (CNAPP).
Visaptverošs drošības stāvoklis sākas ar redzamību un beidzas ar riska pārvaldības prioritāšu noteikšanu.
Paātrinoties mākoņu apgūšanai, izplatās arī pakalpojumi, galapunkti, programmas un ierīces. Papildus kritisko mākoņa savienojumu punktu pārvaldības stratēģijai CISO atzīst arī vajadzību pēc lielākas redzamības un koordinācijas starp paplašināmajiem digitālajiem nospiedumiem — vajadzība pēc visaptverošas stāvokļa pārvaldības. Mēs izpētām, kā drošības nozares vadošie speciālisti paplašina savu pieeju no uzbrukumu novēršanas (joprojām labākā aizsardzība, ja tā darbojas) līdz riska pārvaldībai, izmantojot visaptverošās stāvokļa pārvaldības rīkus, kas palīdz veikt resursu inventarizāciju un modelēt biznesa risku, kā arī identitāti un piekļuves vadību.
Paļaujieties uz nulles uzticamību un higiēnu, lai pārvaldītu šo ārkārtīgi daudzveidīgo IoT un OT hipertīklu vidi.
Eksponenciālā izaugsme IoT un OT ierīcēs turpina radīt drošības uzdevumus, it īpaši ņemot vērā grūtības apvienot tehnoloģijas, kas ir mākonī nodrošinātu rīku, trešās puses rīku un mantoto iekārtu sajaukums, kas ir modernizēts tīklošanai. Tiek prognozēts, ka līdz 2025. gadam globālo IoT ierīču skaits sasniegs 41,6 miljardus, radot paplašinātu uzbrukumu tvēruma zonu uzbrucējiem, kuri šādas ierīces izmanto kā ieejas punktus kiberuzbrukumiem. Šīs ierīces parasti ir uzbrukumu mērķi, jo tās ir tīkla ievainojamības punkti. Iespējams, tās ir pievienotas IT tīklam neplānoti un bez skaidriem norādījumiem no drošības komandas; tās ir izstrādājusi trešā puse bez pamata drošības vai neatbilstoši pārvaldījusi drošības komanda tādu uzdevumu dēļ kā īpašumtiesību protokoli un pieejamības prasības (OT). Uzziniet, kā daudzi IT nozares vadošie speciālisti attīsta savu IoT/OT drošības stratēģiju, lai tiktu galā ar šīm nepilnībām.
Mākonis ir drošs, bet vai jūs droši pārvaldāt savu mākoņa vidi?
Laikā, kad trūkst kvalificētu speciālistu un notiek budžetu samazināšana, mākonis piedāvā daudzus ieguvumus — ekonomiskumu, nebeidzami mērogojamus resursus, modernus rīkus un uzticamāku datu aizsardzību par to, ko pēc daudzu drošības nozares vadošo speciālistu domām var sasniegt lokāli. Lai gan CISO mēdza uzskatīt mākoņa resursus par kompromisu starp lielāku riskantumu un lielāku rentabilitāti, vairums drošības nozares vadošo speciālistu, ar kuriem runājam šodien, ir pieņēmuši mākoni kā jauno realitāti. Viņi uzticas mākoņtehnoloģiju spēcīgajai pamata drošībai: “Es pieņemu, ka mākoņpakalpojumu sniedzēji ir paveikuši visu iespējamo, lai nodrošinātu savu identitāšu un piekļuves pārvaldību, sistēmas drošību un fizisko drošību,” saka kāds CISO.
Taču daudzi drošības nozares vadošie speciālisti apzinās, ka pamata drošība negarantē datu drošību — datu aizsardzība mākonī lielā mērā ir atkarīga no tā, kā mākoņpakalpojumi tiek ieviesti līdzās lokālajām sistēmām un uzņēmuma tehnoloģijām. Riski rodas nepilnībās starp mākoni un tradicionālajām organizācijas robežām, politikām un tehnoloģijām, kas tiek izmantotas mākoņa aizsardzībai. Rodas nepareizas konfigurācijas, kas bieži padara organizācijas neaizsargātas un atkarīgas no drošības komandām, kuru uzdevums ir noteikt un novērst šīs nepilnības.
“Liels skaits pārkāpumu rodas nepareizas konfigurācijas dēļ, kāds nejauši kaut ko nepareizi konfigurē vai maina, tādējādi pieļaujot datu noplūdes.”
Utilities – Water, 1390 darbinieku
Līdz 2023. gadam 75 procenti mākoņa drošības pārkāpumu cēloņu būs neatbilstoša identitāšu, piekļuves un atļauju pārvaldība. 2020. gadā tie bija 50 procenti. (Nepareiza konfigurācija un ievainojamības lielākie riski mākoņa drošībai: Ziņojums | CSO Online). Izaicinājums slēpjas nevis paša mākoņa drošībā, bet politikās un vadīklās, kas tiek izmantotas piekļuves nodrošināšanai. Kā norāda finanšu pakalpojumu CISO: “Mākoņa drošība ir ļoti laba, ja to pareizi izvieto. Pats mākonis un tā komponenti ir droši. Taču konfigurējot rodas jautājums: vai es pareizi rakstu savu kodu? Vai es pareizi iestatu savienotājus visā uzņēmumā?” Kāds cits drošības nozares vadošais speciālists apraksta uzdevumu šādi: “Nepareiza mākoņpakalpojumu konfigurācija atver pakalpojumus draudu izpildītājiem.” Daudzi drošības nozares vadošie speciālisti arvien vairāk apzinās nepareizas mākoņa konfigurācijas riskus, tāpēc saruna ir pārgājusi no jautājuma “Vai mākonis ir drošs?” uz jautājumu “Vai es droši izmantoju mākoni?”
Ko nozīmē droši izmantot mākoni? Daudzi no speciālistiem, ar kuriem runāju, izstrādā mākoņa drošības stratēģiju no pašiem pamatiem, novēršot cilvēku radītas kļūdas, kas pakļauj organizāciju riskam, piemēram, identitātes pārkāpumiem un nepareizām konfigurācijām. Tas saskan arī ar mūsu ieteikumiem — identitāšu nodrošināšana un adaptīva to piekļuves pārvaldība ir īpaši būtiska jebkurā mākoņa drošības stratēģijā.
Tiem, kas vēl nav īsti pārliecināti, varbūt palīdzēs šis fakts: McAfee ziņoja, ka 70 procenti atklāto ierakstu — 5,4 miljardi — tika apdraudēti nepareizi konfigurētu pakalpojumu un portālu dēļ. Lai novērstu šīs nepilnības, var ļoti palīdzēt piekļuves pārvaldība, izmantojot identitāšu vadību, un spēcīgas drošības higiēnas ieviešana. McAfee arī ziņoja, ka 70 procenti atklāto ierakstu — 5,4 miljardi — tika apdraudēti nepareizi konfigurētu pakalpojumu un portālu dēļ. Lai novērstu šīs nepilnības, var ļoti palīdzēt piekļuves pārvaldība, izmantojot identitāšu vadību, un spēcīgas drošības higiēnas ieviešana.
Spēcīga mākoņa drošības stratēģija ietver šādu paraugpraksi:
1. Visaptverošas mākoņa lietojumprogrammu aizsardzības platformas (CNAPP) stratēģijas ieviešana: Drošības pārvaldība ar fragmentētiem rīkiem var radīt aklos punktus aizsardzībā un lielākas izmaksas. Vienota platforma, kas ļauj iegult drošību no koda mākonī, ir būtiski svarīga, lai samazinātu kopējo uzbrukumu tvērumu un automatizētu pretdraudu aizsardzību. CNAPP stratēģija ietver šādu labāko praksi:
a. Drošības prioritāšu noteikšana no paša sākuma, izmantojot DevOps. Drošība var tikt atlikta, steidzoties izstrādāt mākoņprogrammas. Izstrādātājiem ir uzdevums ātri novērst biznesa problēmu, un viņiem var nebūt mākoņa drošībai nepieciešamo prasmju. Tā rezultātā programmas var izplatīties bez atbilstošām datu autorizācijas kārtulām. API ir kļuvuši par svarīgu uzbrucēju mērķi, jo organizācijas bieži nespēj tiem izsekot, ņemot vērā mākoņprogrammu izstrādes ātrumu. Gartner nosaka “API izplešanos” kā pieaugošu problēmu, prognozējot, ka līdz 2025. gadam mazāk nekā puse uzņēmumu API būs pārvaldīti (Gartner). Tāpēc ir būtiski svarīgi pēc iespējas ātrāk ieviest DevSecOps stratēģiju.
b. Mākoņa drošības stāvokļa stiprināšana un nepareizu konfigurāciju labošana. Nepareizas konfigurācijas ir biežākais mākoņa pārkāpumu iemesls — skatiet Cloud Security Alliance biežākās drošības grupu iestatītās nepareizās konfigurācijas. Lai gan visbiežāk mēs dzirdam par bailēm atstāt krātuves resursus atvērtus publikai, CISO piemin arī citas nolaidības: atspējota pārraudzība un reģistrēšana, pārmērīgas atļaujas, neaizsargāti dublējumi u.c. Šifrēšana ir svarīga aizsardzība pret nepareizu pārvaldību, kā arī būtiski svarīga izspiedējprogrammatūras riska mazināšanā. Mākoņa drošības stāvokļa pārvaldības rīki piedāvā vēl vienu aizsardzības līniju, pārraugot mākoņa resursus un meklējot riskantumu un nepareizas konfigurācijas, pirms notiek pārkāpums, lai jūs varētu proaktīvi samazināt uzbrukumu tvērumu.
c. Noteikšanas, atbildes reakcijas un incidentu analīzes automatizēšana. Nepareizu konfigurāciju noteikšana un labošana ir laba, taču ir arī jāgādā, lai mums būtu ieviesti rīki un procesi, lai noteiktu uzbrukumus, kas ir pārvarējuši aizsardzību. Šādā gadījumā var palīdzēt apdraudējumu noteikšanas un atbildes reakcijas pārvaldības rīki.
d. Pareizas piekļuves pārvaldības nodrošināšana. Daudzfaktoru autentifikācija, vienotā pierakstīšanās, lomu piekļuves vadība, atļauju pārvaldība un sertifikācijas palīdz pārvaldīt divus lielākos mākoņa drošības riskus: lietotāju un nepareizi konfigurētus digitālos īpašumus. Mazākā piekļuve ir mākoņa infrastruktūras pilnvaru pārvaldības ( cloud infrastructure entitlement management — CIEM) paraugprakse. Daži vadošie speciālisti paļaujas uz identitāšu piekļuves pārvaldības vai pilnvaru pārvaldības risinājumu, lai izvietotu aktīvas drošības vadīklas. Viens finanšu pakalpojumu vadošais speciālists izmanto mākoņa piekļuves drošības starpnieku (CASB) kā “galveno atbalstu”, lai pārvaldītu organizācijas programmatūras pakalpojumus un saglabātu kontroli pār lietotājiem un datiem. CASB darbojas kā starpnieks starp lietotājiem un mākoņprogrammām, nodrošinot redzamību un ieviešot pārvaldības darbības, izmantojot politikas. atbalstu”, lai pārvaldītu savus programmatūras pakalpojumus un saglabātu kontroli pār lietotājiem un datiem. CASB darbojas kā starpnieks starp lietotājiem un mākoņprogrammām, nodrošinot redzamību un ieviešot pārvaldības darbības, izmantojot politikas.
Mākoņa lietojumprogrammu aizsardzības platforma, piemēram, tā, ko piedāvā Microsoft Defender for Cloud , ne tikai nodrošina redzamību vairāku mākoņu resursos, bet arī sniedz aizsardzību visos vides līmeņos, pārraugot apdraudējumus un saistot brīdinājumus ar incidentiem, kas tiek integrēti drošības informācijas un notikumu pārvaldībā (SIEM). Šādi tiek racionalizēta izmeklēšana un nodrošināta palīdzība SOC komandām, lai tās varētu sekot līdzi brīdinājumiem starp platformām.
Neliela aizsardzība — identitāšu un nepareizu konfigurāciju nepilnību novēršana — apvienojumā ar spēcīgiem rīkiem reaģēšanai uz uzbrukumiem sekmīgi palīdz aizsargāt visu mākoņa vidi, sākot ar korporatīvo tīklu un beidzot ar mākoņpakalpojumiem.
Visaptverošs drošības stāvoklis sākas ar redzamību un beidzas ar riska pārvaldības prioritāšu noteikšanu.
Pāreja uz mākoņa IT ne tikai pakļauj organizāciju ieviešanas nepilnībām, bet arī tīkla resursu kopas — ierīču, programmu, galapunktu — izplatīšanai, kā arī atvērtām mākoņa darbplūsmām. Drošības nozares vadošie speciālisti pārvalda savu stāvokli šajā vidē bez perimetra, izmantojot tehnoloģijas, kas nodrošina redzamību un prioritāras atbildes reakcijas. Šie rīki palīdz organizācijām kartēt resursu inventāru, kas apklāj visu uzbrukumu tvērumu, aptverot pārvaldītās un nepārvaldītās ierīces gan organizācijas tīklā, gan ārpus tā. Izmantojot šos resursus, CISO var novērtēt katra resursa drošības stāvokli, kā arī tā lomu uzņēmumā, lai izveidotu prioritāru riska modeli.
Mūsu sarunās ar drošības nozares vadošajiem speciālistiem vērojama pāreja no perimetrā balstītas drošības uz drošības stāvoklī balstītas pieejas, kas ietver bezrobežu ekosistēmu.
Viens CISO to raksturoja šādi: “Manuprāt, stāvoklis pārceļas lejā pie identitātes…. Mēs to neuzskatām par veco, tradicionālo stāvokli, kur atrodas perimetrs, bet gan pārceļam to līdz pašai apakšai pie galapunkta.” (Utilities-Water, 1390 darbinieku). “Identitāte ir kļuvusi par jauno perimetru,” komentē FinTech CISO, jautājot: “Ko nozīmē identitāte šajā jaunajā modelī, kur nav ārpuses, ne iekšpuses?” (FinTech, 15 000 darbinieku).
Ņemot vērā šo poraino vidi, CISO saprot visaptverošas stāvokļa pārvaldības neatliekamību, taču daudzi ir neziņā, vai viņiem pietiks resursu un digitālās gatavības, lai īstenotu šo vīziju praksē. Par laimi, izmantojot nozarē apstiprinātas ietvarprogrammas (atjauninātas mūsdienu vajadzībām) kopā ar drošības inovācijām, vairums organizāciju spēj ieviest visaptverošu stāvokļa pārvaldību.
Papildiniet savu kiberinfrastruktūru ar rīkiem, kas ļauj veikt resursu inventarizāciju. Pēc tam izvērtējiet, kuri no tiem ir būtiski svarīgi, kuri pakļauj organizāciju vislielākajam riskam, un izprotiet šo ierīču potenciālās ievainojamības, kā arī izlemiet, vai tas ir pieņemami — vai tām labāk ieviest ielāpu vai izolēt.
Kens Malkolmsons (Ken Malcolmson), galvenais drošības padomnieks, Microsoft
Tālāk minēta paraugprakse un labākie rīki, kurus drošības nozares vadošie speciālisti izmanto, lai pārvaldītu savu stāvokli atvērtā tipa mākoņa vidē:
1. Sasniedziet visaptverošu redzamību, izmantojot resursu inventarizāciju.
Redzamība ir pirmais solis ceļā uz visaptverošu stāvokļa pārvaldību. CISO jautā: “Vai mēs maz zinām visu, kas mums ir, ko varētu izmantot kā pirmo soli? Vai mums vispār ir redzamība, pirms mēs pievēršamies pārvaldībai?” Riska resursu inventarizācija ietver IT resursus, piemēram, tīklus un programmas, datu bāzes, serverus, mākoņa īpašumus, IoT īpašumus, kā arī šajā digitālajā infrastruktūrā glabātos datus un IP resursus. Vairums platformu, piemēram, Microsoft 365 vai Azure, ietver iebūvētus resursu inventarizācijas rīkus, kas var palīdzēt jums sākt darbu.
Redzamība ir pirmais solis ceļā uz visaptverošu stāvokļa pārvaldību. CISO jautā: “Vai mēs maz zinām visu, kas mums ir, ko varētu izmantot kā pirmo soli? Vai mums vispār ir redzamība, pirms mēs pievēršamies pārvaldībai?” Riska resursu inventarizācija ietver IT resursus, piemēram, tīklus un programmas, datu bāzes, serverus, mākoņa īpašumus, IoT īpašumus, kā arī šajā digitālajā infrastruktūrā glabātos datus un IP resursus. Vairums platformu, piemēram, Microsoft 365 vai Azure, ietver iebūvētus resursu inventarizācijas rīkus, kas var palīdzēt jums sākt darbu.
2. Novērtējiet ievainojamību un analizējiet risku.
Kad organizācija ir veikusi visaptverošu resursu inventarizāciju, ir iespējams analizēt risku, ņemot vērā gan iekšējās ievainojamības, gan ārējos apdraudējumus. Šīs darbības pamatā svarīgākais ir konteksts, un tas ir unikāls katrai organizācijai — uzticams riska novērtējums ir atkarīgs no ciešas sadarbības starp drošības, IT un datu komandām. Šī savstarpēji funkcionālā komanda savā analīzē gūst labumu no automatizētas riska novērtēšanas un prioritātes noteikšanas rīkiem, piemēram, riska prioritātes noteikšanas rīkiem, kas ir integrēti pakalpojumā Microsoft Entra ID, Microsoft Defender XDR un Microsoft 365. Automatizētas riska novērtēšanas un prioritātes noteikšanas tehnoloģijas var arī ietvert ekspertu vadību, lai koriģētu nepilnības, kā arī konteksta informāciju efektīvai atbildes reakcijai uz apdraudējumu.
Kad organizācija ir veikusi visaptverošu resursu inventarizāciju, ir iespējams analizēt risku, ņemot vērā gan iekšējās ievainojamības, gan ārējos apdraudējumus. Šīs darbības pamatā svarīgākais ir konteksts, un tas ir unikāls katrai organizācijai — uzticams riska novērtējums ir atkarīgs no ciešas sadarbības starp drošības, IT un datu komandām. Šī savstarpēji funkcionālā komanda savā analīzē gūst labumu no automatizētas riska novērtēšanas un prioritātes noteikšanas rīkiem, piemēram, riska prioritātes noteikšanas rīkiem, kas ir integrēti pakalpojumā Microsoft Entra ID, Microsoft Defender XDR un Microsoft 365. Automatizētas riska novērtēšanas un prioritātes noteikšanas tehnoloģijas var arī ietvert ekspertu vadību, lai koriģētu nepilnības, kā arī konteksta informāciju efektīvai atbildes reakcijai uz apdraudējumu.
3. Nosakiet riska un drošības prioritātes, izmantojot biznesa riska modelēšanu.
Ja tehniskajām komandām ir skaidra izpratne par riska ainavu, tās var sadarboties ar biznesa līderiem, lai kā prioritāti izvēlētos drošības pasākumus atbilstoši uzņēmuma vajadzībām. Apsveriet katra resursa lomu, tā vērtību uzņēmumā un risku, kādam tiek pakļauts uzņēmums, ja šis resurss ir apdraudēts, noskaidrojot atbildes uz jautājumiem, piemēram: “Cik sensitīva ir šī informācija un kā tās atklāšana ietekmētu uzņēmumu?” vai “Cik nozīmīgas ir šīs sistēmas darba paveikšanai — kā to dīkstāve ietekmētu uzņēmumu?” Microsoft piedāvā rīkus, lai atbalstītu visaptverošu identifikāciju un ievainojamību prioritātes noteikšanu saskaņā ar biznesa riska modelēšanu, tostarp tādus rīkus kā Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Microsoft Defender ārēju uzbrukumu tvēruma pārvaldība un Microsoft Defender ievainojamības pārvaldība.
Ja tehniskajām komandām ir skaidra izpratne par riska ainavu, tās var sadarboties ar biznesa līderiem, lai kā prioritāti izvēlētos drošības pasākumus atbilstoši uzņēmuma vajadzībām. Apsveriet katra resursa lomu, tā vērtību uzņēmumā un risku, kādam tiek pakļauts uzņēmums, ja šis resurss ir apdraudēts, noskaidrojot atbildes uz jautājumiem, piemēram: “Cik sensitīva ir šī informācija un kā tās atklāšana ietekmētu uzņēmumu?” vai “Cik nozīmīgas ir šīs sistēmas darba paveikšanai — kā to dīkstāve ietekmētu uzņēmumu?” Microsoft piedāvā rīkus, lai atbalstītu visaptverošu identifikāciju un ievainojamību prioritātes noteikšanu saskaņā ar biznesa riska modelēšanu, tostarp tādus rīkus kā Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Microsoft Defender ārēju uzbrukumu tvēruma pārvaldība un Microsoft Defender ievainojamības pārvaldība.
4. Izveidojiet stāvokļa pārvaldības stratēģiju.
Visaptverošas stāvokļa pārvaldības pamatā ir resursu inventarizācija, riska analīze un biznesa riska modeļa forma. Redzamība un ieskats palīdz drošības komandai noteikt, kā labāk sadalīt resursus, kādi stingrāki pasākumi būtu jāievieš un kā optimāli izmantot kompromisu starp risku un lietojamību katrā tīkla segmentā.
Visaptverošas stāvokļa pārvaldības pamatā ir resursu inventarizācija, riska analīze un biznesa riska modeļa forma. Redzamība un ieskats palīdz drošības komandai noteikt, kā labāk sadalīt resursus, kādi stingrāki pasākumi būtu jāievieš un kā optimāli izmantot kompromisu starp risku un lietojamību katrā tīkla segmentā.
Stāvokļa pārvaldības risinājumi nodrošina redzamību un ievainojamību analīzi, lai palīdzētu organizācijām izprast, kurās vietās nepieciešami stāvokļa uzlabojumi. Izmantojot šo ieskatu, tās var identificēt un noteikt svarīgāko vietu prioritāti uzbrukumu tvērumā.
Paļaujieties uz nulles uzticamību un higiēnu, lai pārvaldītu šo ārkārtīgi daudzveidīgo IoT un OT hipertīklu vidi
Divi iepriekš aprakstītie uzdevumi — mākoņa ieviešanas nepilnība un ar mākoni savienotu ierīču izplatīšana — rada risku IoT un OT ierīču vidēs. Papildus paplašināta uzbrukumu tvēruma zonas saistītajam riskam, ko izraisa IoT un OT ierīces, drošības nozares vadošie speciālisti atzīst, ka mēģina racionalizēt topošo IoT un mantoto OT stratēģiju konverģenci. Lai gan IoT darbību nodrošina mākonis, šo ierīču prioritāte bieži vien ir uzņēmējdarbības lietderība, nevis pamata drošība; OT parasti ir piegādātāju pārvaldīts mantotais aprīkojums, kas izstrādāts bez modernas aizsardzības un neplānoti ieviests organizācijas IT tīklā.
IoT un OT ierīces palīdz organizācijām modernizēt darbvietas, pieņemt vairāk uz datiem balstītu lēmumu un atvieglot personāla prasības, izmantojot stratēģiskas izmaiņas, piemēram, attālo pārvaldību un automatizāciju. International Data Corporation (IDC) lēš, ka līdz 2025. gadam būs 41,6 miljards savienotu IoT ierīču — šis izaugsmes ātrums pārsniedz tradicionālo IT ierīču izaugsmes ātrumu.
Taču ar šo iespēju saistās ievērojams risks. Mūsu 2022. gada decembra Kibersignālu ziņojums The Convergence of IT and Operational Technology (IT un operatīvās tehnoloģijas konverģence) aplūko kritiski svarīgas infrastruktūras riskus, kurus rada šādas tehnoloģijas.
Galvenie atklājumi ir šādi:
1. 75% visbiežāk sastopamo industriālo kontrolleru klientu OT tīklos ir neielāpoti, ļoti nopietni ievainojamības trūkumi.
2. No 2020. līdz 2022. gadam bija vērojams 78% pieaugums ļoti nopietnu ievainojamības trūkumu atklāšanā industriālajās vadības iekārtās, ko ražo populāri piegādātāji.
3. Daudzās internetā publiski redzamās ierīcēs ir instalēta neatbalstīta programmatūra. Piemēram, novecojusī programmatūra Boa joprojām tiek plaši izmantota IoT ierīcēs un programmatūras izstrādes komplektos (software development kits — SDK).
IoT ierīces bieži atspoguļo vājāko digitālā īpašuma posmu. Tā kā tās nepārvalda, neatjaunina un neielāpo tāpat kā tradicionālās IT ierīces, tās var kalpot par ērtu ieejas punktu uzbrucējiem, kuri meklē iespēju infiltrēties IT tīklā. Tiklīdz ir izveidota piekļuve IoT ierīcēm, tās ir neaizsargātas pret attālām kodu izpildēm. Uzbrucējs var pārņemt kontroli un izmantot ievainojamības, lai IoT ierīcē implantētu botu tīklus vai ļaunprogrammatūru. Tad ierīce var kalpot kā atvērtas durvis uz visu tīklu.
Operatīvās tehnoloģijas ierīces rada vēl nopietnāku risku, jo daudzas no tām ir būtiski svarīgas organizācijas darbībai. OT tīkli, kuri kādreiz bija bezsaistes stāvoklī vai fiziski izolēti no uzņēmuma IT tīkla, tagad arvien vairāk tiek integrēti ar IT un IoT sistēmām. Mūsu 2021. gada novembra pētījums, kas tika veikts sadarbībā ar Ponemon Institute, The State of IoT/OT Cybersecurity in the Enterprise (IoT/OT kiberdrošības stāvoklis uzņēmumos) atklāja, ka vairāk nekā puse no OT tīkliem tagad ir savienoti ar korporatīvajiem IT (biznesa) tīkliem. Līdzīgam skaitam uzņēmumu — 56 procentiem — OT tīklā ir ar internetu savienotas ierīces tādiem scenārijiem kā attālā piekļuve.
“Gandrīz visi uzbrukumi, ko esam novērojuši pēdējā gada laikā, sākās ar sākotnēju piekļuvi IT tīklam, kas guva labumu OT vidē.”
Deivids Ečs (David Atch), Microsoft draudu informācija, IoT/OT drošības pētījumu vadītājs
Savienojamība ar OT pakļauj organizācijas ievērojamu pārtraukumu un dīkstāves riskam uzbrukuma gadījumā. OT bieži ir uzņēmuma pamats, kas uzbrucējiem ir vilinošs mērķis, ko izmantot, lai radītu ievērojamus bojājumus. Pašas ierīces var būt viegli mērķi, jo tās bieži ietver novecojušu vai mantotu aprīkojumu, kas nav drošs pēc būtības, ir vecāks par mūsdienu drošības praksi un kuram var būt īpašumtiesību protokoli, kurus neredz standarta IT pārraudzības rīki. Uzbrucēji parasti izmanto šīs tehnoloģijas, atklājot neaizsargātas, internetā pieejamas sistēmas, gūstot piekļuvi, izmantojot darbinieku pieteikšanās akreditācijas datus, vai izmantojot trešās puses piegādātājiem un līgumstrādniekiem piešķirto piekļuvi. Nepārraudzīti ICS protokoli ir viens no biežākajiem ieejas punktiem uzbrukumos, kas vērsti pret OT (Microsoft digitālās aizsardzības pārskats, 2022. gads).
Lai paveiktu unikālo IoT un OT drošības uzdevumu vidē, kurā atrodas ar IT tīklu dažādos veidos savienotas dažādas ierīces, drošības nozares vadošie speciālisti ievēro šādu paraugpraksi:
1. Visaptverošas ierīču redzamības iegūšana.
Efektīvas IoT/OT pārvaldības pamatā ir izpratne par visiem tīklā esošajiem resursiem, par to, kā viss ir savstarpēji saistīts, un uzņēmējdarbības risku un eksponētību, ar ko saskaras katrs savienojuma punkts. Microsoft Sentinel ir tīkla noteikšanas un reaģēšanas (network detection and response — NDR) un drošības informācijas un notikumu pārvaldības (SIEM) risinājums, kas ņem vērā IoT un OT. Tas var palīdzēt nodrošināt labāku IoT/OT ierīču redzamību jūsu tīklā un pārraudzīt tās, lai noteiktu anomālu uzvedību, piemēram, saziņu ar nepazīstamiem viesotājiem. (Papildinformāciju par riskantu ICS protokolu pārraudzību operatīvajās tehnoloģijās skatiet rakstā “The Unique Security Risk of IOT Devices” (IOT ierīču unikālais drošības risks), Microsoft drošība).
Efektīvas IoT/OT pārvaldības pamatā ir izpratne par visiem tīklā esošajiem resursiem, par to, kā viss ir savstarpēji saistīts, un uzņēmējdarbības risku un eksponētību, ar ko saskaras katrs savienojuma punkts. Microsoft Sentinel ir tīkla noteikšanas un reaģēšanas (network detection and response — NDR) un drošības informācijas un notikumu pārvaldības (SIEM) risinājums, kas ņem vērā IoT un OT. Tas var palīdzēt nodrošināt labāku IoT/OT ierīču redzamību jūsu tīklā un pārraudzīt tās, lai noteiktu anomālu uzvedību, piemēram, saziņu ar nepazīstamiem viesotājiem. (Papildinformāciju par riskantu ICS protokolu pārraudzību operatīvajās tehnoloģijās skatiet rakstā “The Unique Security Risk of IOT Devices” (IOT ierīču unikālais drošības risks), Microsoft drošība).
2. Tīklu segmentēšana un nulles uzticamības principu ieviešana.
Kad vien iespējams, segmentējiet tīklus, lai novērstu laterālo kustību uzbrukuma gadījumā. Lietiskā interneta un operatīvo tehnoloģiju tīkli ir fiziski jāatvieno vai jāizolē no uzņēmuma IT tīkliem, izmantojot ugunsmūrus. Tomēr ir svarīgi arī pieņemt, ka jūsu OT un IT ir konverģēti, un izveidot nulles uzticamības protokolus uzbrukumu tvērumam. Pārsvarā tīklu segmentēšana nav praktiska. Regulētām organizācijām, kas darbojas veselības aprūpes, labiekārtošanas un ražošanas jomā, OT un IT savienojamība ir uzņēmuma funkcijas pamatā. Piemēram, mamogrammu iekārtas vai viedie MRI, kas ir savienoti ar elektroniskajām veselības stāvokļa kartēm, viedās ražošanas līnijas vai ūdens attīrīšana, kam nepieciešama attālā pārraudzība. Šādos gadījumos nulles uzticamība i būtiski svarīga.
Kad vien iespējams, segmentējiet tīklus, lai novērstu laterālo kustību uzbrukuma gadījumā. Lietiskā interneta un operatīvo tehnoloģiju tīkli ir fiziski jāatvieno vai jāizolē no uzņēmuma IT tīkliem, izmantojot ugunsmūrus. Tomēr ir svarīgi arī pieņemt, ka jūsu OT un IT ir konverģēti, un izveidot nulles uzticamības protokolus uzbrukumu tvērumam. Pārsvarā tīklu segmentēšana nav praktiska. Regulētām organizācijām, kas darbojas veselības aprūpes, labiekārtošanas un ražošanas jomā, OT un IT savienojamība ir uzņēmuma funkcijas pamatā. Piemēram, mamogrammu iekārtas vai viedie MRI, kas ir savienoti ar elektroniskajām veselības stāvokļa kartēm, viedās ražošanas līnijas vai ūdens attīrīšana, kam nepieciešama attālā pārraudzība. Šādos gadījumos nulles uzticamība i būtiski svarīga.
3. IoT/OT drošības pārvaldības higiēnas ieviešana.
Drošības komandas var novērst nepilnības, izmantojot pamata higiēnas praksi, piemēram:
Drošības komandas var novērst nepilnības, izmantojot pamata higiēnas praksi, piemēram:
- Atslēdzot nevajadzīgus interneta savienojumus un atvērtus portus, ierobežojot vai liedzot attālo piekļuvi un izmantojot VPN pakalpojumus
- Pārvaldot ierīču drošību, piemērojot ielāpus un mainot noklusējuma paroles un portus
- Nodrošinot, lai ICS protokoli netiktu tieši atklāti internetā
Lai iegūtu izmantojamas vadlīnijas par to, kā sasniegt šāda līmeņa ieskatus un pārvaldību, skatiet rakstu “The Unique Risk of IoT/OT Devices” (IoT/OT ierīču unikālais risks), Microsoft Security Insider.
Izmantojami ieskati
1. Izmantojiet lietiskā interneta/operatīvo tehnoloģiju tīkla noteikšanas un reaģēšanas (NDR) risinājumu un drošības informācijas un notikumu pārvaldības (SIEM)/drošības orķestrācijas un reaģēšanas (SOAR) risinājumu, lai iegūtu lielāku IoT/OT ierīču redzamību tīklā, pārraudzītu, vai ierīcēs nenotiek anormālas vai nesankcionētas darbības, piemēram, saziņa ar nepazīstamiem resursdatoriem.
2. Aizsargājiet tehniskās stacijas, pārraugot ar galapunktu atklāšanas un reaģēšanas (endpoint detection and response — EDR) risinājumiem.
3. Samaziniet uzbrukumu tvērumu, atslēdzot nevajadzīgus interneta savienojumus un atvērtus portus, ierobežojot attālo piekļuvi, bloķējot portus, liedzot attālo piekļuvi un izmantojot VPN pakalpojumus.
4. Nodrošiniet, lai ICS protokoli netiktu tieši atklāti internetā.
5. Segmentējiet tīklus, lai pēc sākotnējās uzlaušanas ierobežotu uzbrucēju spēju pārvietoties laterāli un apdraudēt līdzekļus. Lietiskā interneta un operatīvo tehnoloģiju tīkli ir jāizolē no uzņēmuma IT tīkliem, izmantojot ugunsmūrus.
6. Pārliecinieties, vai ierīces ir stabilas, lietojot ielāpus, mainot noklusējuma paroles un portus.
7. Pieņemiet, ka jūsu OT un IT ir konverģēti, un izveidojiet nulles uzticamības protokolus savam uzbrukumu tvērumam.
8. Nodrošiniet OT un IT vienotību visā organizācijā, veicinot lielāku redzamību un komandu integrāciju.
9. Vienmēr ievērojiet IoT/OT drošības paraugpraksi, pamatojoties uz pamata draudu informāciju.
Kamēr drošības nozares vadošie speciālisti izmanto iespēju racionalizēt savu digitālo īpašumu laikā, kad pieaug apdraudējumi un spiediens paveikt vairāk ar mazāk resursiem, mākonis kļūst par mūsdienu drošības stratēģijas pamatu. Kā esam pārliecinājušies, mākoņa pieejas ieguvumu ir daudz vairāk nekā risku, it īpaši organizācijām, kuras izmanto labāko praksi, lai pārvaldītu savas mākoņa vides, izmantojot spēcīgu mākoņa drošības stratēģiju, visaptverošu stāvokļa pārvaldību un konkrētu taktiku, lai novērstu IoT/OT nepilnības.
Vairāk drošības analīžu un ieskatu meklējiet mūsu nākamajā izdevumā. Paldies, ka lasījāt CISO Insider!
Lai iegūtu izmantojamas vadlīnijas par to, kā sasniegt šāda līmeņa ieskatus un pārvaldību, skatiet rakstu “The Unique Risk of IoT/OT Devices” (IoT/OT ierīču unikālais risks), Microsoft Security Insider.
Visos citētajos Microsoft pētījumos ir izmantoti neatkarīgi pētniecības uzņēmumi, lai sazinātos ar drošības profesionāļiem gan kvantitatīvajos, gan kvalitatīvajos pētījumos, nodrošinot privātuma aizsardzību un analītisku precizitāti. Šajā dokumentā iekļautie citāti un secinājumi, ja vien nav norādīts citādi, ir Microsoft pētījumu rezultāts.
Sekot korporācijai Microsoft