Få innsikt rett fra ekspertene på Microsoft Threat Intelligence Podcast. Lytt nå.
CISO Insider: utgave 3
Velkommen til tredje utgave i CISO Insider-serien. Jeg er Rob Lefferts og jeg leder de tekniske teamene i Microsoft Defender og Sentinel. Vi lanserte denne serien for omtrent et år siden for å dele innsikt fra diskusjonene med andre eksperter og fra vår egen forskning og erfaring fra arbeidet på frontlinjen innen cybersikkerhet.
I de første to utgavene diskuterte vi økningen i trusler, blant annet løsepengevirus, og hvordan sikkerhetsledere bruker automatisering og muligheter for kompetanseheving til å svare på disse truslene på en effektiv måte når det samtidig er mangel på eksperter. Informasjonssikkerhetsledere er under stadig større press om å drive effektivt i dagens usikre økonomi, og mange prøver derfor å optimalisere ved hjelp av skybaserte løsninger og integrerte tjenester for administrert sikkerhet. I denne utgaven ser vi på nye sikkerhetsprioriteringer som oppstår når organisasjoner går over til skybaserte modeller og flytter alt i den digitale eiendommen fra lokale systemer til IoT-enheter.
Den offentlige skyen gir fordelen av både sterk, grunnleggende sikkerhet, kostnadseffektivitet og skalerbar databehandling, noe som gjør det til en viktig ressurs i en periode med innstramming av budsjettene. Men i tillegg til disse tre fordelene er det viktig å ikke glemme hullene som oppstår i samspillet mellom den offentlig skyen og de private skyene og lokale systemer. Vi ser på hva sikkerhetsledere gjør for å administrere sikkerheten i terskelområdene mellom nettverksenheter, endepunkter, apper, skyer og administrerte tjenester. Til slutt ser vi på to teknologier som representerer høydepunktet av denne sikkerhetsutfordringen: IoT og OT. Sammenfallet av disse to polariserte teknologiene – én ny og den andre eldre, og begge introdusert til nettverket uten tilstrekkelig innebygd sikkerhet – skaper en porøs kant som er sårbar for angrep.
Utgave 3 ser på disse tre skybaserte sikkerhetsprioriteringene:
Skyen er sikker, men administrerer du skymiljøet på en sikker måte?
Skyinnføring har skutt fart etter hvert som organisasjoner prøver å effektvisere både på grunn av økonomiske begrensinger og mangel på eksperter. Informasjonssikkerhetsledere har tillit til den offentlige skyen på grunn av den grunnleggende sikkerheten, men skyen er ikke sikrere enn kundens evne til å håndtere grensesnittet mellom den offentlige skyen og privat infrastruktur. Vi ser på hvordan sikkerhetsledere tetter hullet med en sterk skysikkerhetsstrategi – for eksempel ved å sikre skyappene og arbeidsbelastningene med verktøy som administrasjon av status for skysikkerhet og plattformen for skybasert programbeskyttelse (CNAPP – cloud-native application protection platform).
En omfattende sikkerhetsstatus starter med synlighet og ender med prioritert risikostyring.
Med fremskyndet skyinnføring følger en økning av tjenester, endepunkter, apper og enheter. I tillegg til en strategi for administrasjon av skykoblingspunkter ser informasjonssikkerhetsledere et behov før større synlighet og koordinering på tvers av det voksende digitale fotavtrykket – behov for en omfattende administrasjon av sikkerhetsstatus. Vi ser på hvordan sikkerhetsledere utvider tilnærmingen fra å forhindre angrep (fortsatt det beste forsvaret så lenge det fungerer) til å administrere risiko ved bruk av verktøy for omfattende administrasjon av sikkerhetsstatus, som hjelper med å lage innholdsliste over ressurser og modellere forretningsrisiko – og selvfølgelig identitets- og tilgangskontroll.
Støtt deg på nulltillit og hygiene for å temme det svært mangfoldige, nettverksrike miljøet til IoT og OT.
Den eksponentielle veksten i tilkoblede IoT- og OT-enheter fortsetter å skape sikkerhetsutfordringer, særlig fordi det er vanskelig å forene teknologier som er en blanding av skybaserte tredjepartsverktøy og eldre utstyr som er ettermontert for nettverkstilkobling. Antallet globale IoT-enheter forventes å nå 41,6 milliarder innen 2025. Dette betyr en stadig voksende angrepsoverflate for angripere som bruker slike enheter som inngangspunkter for cyberangrep. Disse enhetene blir gjerne utpekt som svake punkter i et nettverk. De kan ha blitt lagt til på adhoc-grunnlag og koblet til IT-nettverket uten tydelige instrukser fra sikkerhetsteamet, utviklet av en tredjepart uten grunnleggende sikkerhet eller utilstrekkelig administrert av sikkerhetsteamet på grunn av utfordringer som rettighetsbeskyttelse og tilgjengelighetskrav (OT). Finn ut hvor mange IT-ledere som nå utvikler IoT/OT-strategien til å navigere dette hullbefengte landskapet.
Skyen er sikker, men administrerer du skymiljøet på en sikker måte?
Med mangel på eksperter og innstramming av budsjetter kan skyen gi mange fordeler – kostnadseffektivitet, uendelig skalerbare ressurser, de nyeste verktøyene og mer pålitelig databeskyttelse enn de fleste sikkerhetsledere føler at de kan oppnå lokalt. Informasjonssikkerhetsledere har tradisjonelt sett skyressurser som et kompromiss mellom større risikoeksponering og større kostnadseffektivitet, men de fleste sikkerhetsledere vi snakker med i dag, ser på skyen som den nye standarden. De stoler på den sterke, grunnleggende sikkerheten i skyteknologi: «Jeg venter at skytjenesteleverandører har ting på stell når det gjelder identitets- og tilgangsstyring, systemsikkerhet og fysisk sikkerhet,» sier én informasjonssikkerhetsleder.
Men som de fleste sikkerhetsledere er klar over, garanterer ikke grunnleggende skysikkerhet at dataene er sikre. Beskyttelsen av dataene i skyen er i stor grad avhengig av hvordan skytjenestene er innført sammen med lokale systemer og lokal teknologi. Risiko oppstår i hullene mellom skyen og den tradisjonelle organisasjonsgrensen, policyene samt teknologien som brukes til å sikre skyen. Feilkonfigurasjoner forekommer, noe som ofte gjør organisasjoner utsatt og avhengig av sikkerhetsteam som kan identifisere og tette hullene.
«Et stort antall brudd skjer på grunn av feilkonfigurasjon, at noen uforvarende feilkonfigurerer noe eller endrer noe som åpner for datalekkasje.»
Offentlige tjenester – vann, 1390 ansatte
Innen 2023 vil 75 prosent av sikkerhetsbrudd i skyen være forårsaket av utilstrekkelig administrasjon av identiteter, tilgang og privilegier. Dette er en økning fra 50 prosent i 2020 (Feilkonfigurasjon og sårbarheter er de største risikoene innen skysikkerhet: Rapport | CSO Online). Utfordringen ligger ikke i selve skysikkerheten, men i policyene og kontrollene som brukes til å sikre tilgang. Som en informasjonssikkerhetsleder innen finansielle tjenester sier: «Skysikkerheten er veldig god hvis den rulles ut på riktig måte. Skyen selv og komponentene i den er sikre. Men så kommer man til konfigurasjonen: skriver jeg koden riktig? Setter jeg opp koblingene på tvers av virksomheten riktig?» En annen sikkerhetsleder oppsummerer utfordringen: «Feilkonfigurasjonen av disse skytjenestene er det som åpner opp tjenestene for trusselaktører.» Etter hvert som flere sikkerhetsledere blir oppmerksomme på risikoen med feilkonfigurasjon i skyen, har samtalen om skysikkerhet endret seg fra «Er skyen sikker?» til «Bruker jeg skyen på en sikker måte?»
Hva vil det si å bruke skyen på en sikker måte? Mange av lederne jeg snakker med, tilnærmer seg skysikkerheten fra bunnen og opp ved å ta tak i de menneskelige feilene som utsetter organisasjonen for risiko, blant annet identitetsbrudd og feilkonfigurasjon. Dette stemmer overens med våre anbefalinger også: Sikring av identiteter og tilpasset tilgangsadministrasjon er fundamentalt for enhver skysikkerhetsstrategi.
For dem som fortsatt er usikre, vil kanskje dette hjelpe: McAfee rapporterte at 70 prosent av eksponerte opptegnelser – 5,4 milliarder – ble kompromittert på grunn av feilkonfigurerte tjenester og portaler. Administrasjon av tilgang gjennom identitetskontroll og bruk av god sikkerhetshygiene kan bidra sterkt til å tette hullene. McAfee rapporterte likeledes at 70 prosent av eksponerte opptegnelser – 5,4 milliarder – ble kompromittert på grunn av feilkonfigurerte tjenester og portaler. Administrasjon av tilgang gjennom identitetskontroll og bruk av god sikkerhetshygiene kan bidra sterkt til å tette hullene.
En solid skysikkerhetsstrategi omfatter disse anbefalte fremgangsmåtene:
1. Ta i bruk en ende-til-ende-strategi for skybasert programbeskyttelse (CNAPP – cloud-native application protection platform): Administrasjon av sikkerhet med fragmenterte verktøy kan forårsake svake punkter i beskyttelsen og høyere kostnader. En alt-i-ett-plattform som gjør det mulig å bygge inn sikkerheten fra kode til sky, er avgjørende for å redusere den generelle angrepsoverflaten i skyen og automatisere trusselbeskyttelse. CNAPP-strategien omfatter følgende anbefalte fremgangsmåter:
a. Prioriter sikkerheten fra begynnelsen av i DevOps. Sikkerheten kan falle av i svingen i hastverket med å utvikle skyapper. Utviklere har motiver til å løse et forretningsproblem raskt og mangler kanskje kompetanse i skysikkerhet. Som resultat kan antallet apper øke uten de riktige reglene for datagodkjenning. API-er har blitt et yndet mål for hackere siden organisasjoner ofte ikke klarer å holde oversikten over dem på grunn av den raske utviklingen av skyapper. Gartner identifiserer «API-spredning» som et voksende problem og forutsier at under halvparten av virksomheters API-er vil være administrerte i 2025 (Gartner). Det er derfor avgjørende å iverksette en DevSecOps-strategi så snart som mulig.
b. Styrk status for skysikkerhet og rett opp feilkonfigurasjoner. Feilkonfigurasjoner er den vanligste årsaken til sikkerhetsbrudd i skyen. Se de vanligste feilkonfigurasjonen av sikkerhetsgruppeinnstillinger i følge Cloud Security Alliance . Den vanligste frykten vi hører om, er at lagringsressurser blir åpne for publikum, men informasjonssikkerhetsledere nevner også andre forsømte områder: deaktivert overvåking og logging, for mange tillatelser, ubeskyttede sikkerhetskopier osv. Kryptering er et viktig vern mot feilkonfigurasjon og viktig for å redusere faren for løsepengevirus. Verktøy for administrasjon av status for skysikkerhet kan tilby en annen forsvarslinje ved å overvåke eksponering og feilkonfigurasjon av skyressurser før det skjer et brudd, slik at angrepsoverflaten kan reduseres på en proaktiv måte.
c. Automatiser oppdagelse, svar og analyse av hendelser. Det er flott å identifisere og rette på feilkonfigurasjoner, men vi må også sørge for å ha verktøy og prosesser på plass for å oppdage angrep som kommer seg forbi forsvarsverkene. Det er her administrasjonsverktøy for trusseloppdagelse og -svar kan hjelpe.
d. Sørg for riktig tilgangsstyring. Flerfaktorautentisering, enkel pålogging, rollebasert tilgangskontroll, tillatelsesstyring og sertifiseringer kan bidra til å håndtere de to største risikoene for skysikkerheten: brukeren og feilkonfigurerte digital eiendom. Den anbefalte fremgangsmåten for administrasjon av rettigheter i skybaserte infrastrukturer er så lite tilgang som mulig. Enkelte ledere er avhengig av løsninger for identitets- og tilgangsstyring eller rettighetsadministrasjon for å få aktive kontroller på plass. Én leder innen finansielle tjenester benytter seg av et sikkerhetsprogram for skytilgang (CASB – cloud access security broker) som «sikkerhetsventil» for å administrere organisasjonens SaaS-tjenester og opprettholde kontroll over brukere og data. Sikkerhetsprogrammet for skytilgang opptrer som et mellomledd mellom brukere og skyapper, noe som gir synlighet og tvinger frem styringshandlinger gjennom policyer. Sikkerhetsprogrammet for skytilgang opptrer som et mellomledd mellom brukere og skyapper, noe som gir synlighet og tvinger frem styringshandlinger gjennom policyer.
En skybasert programbeskyttelse som den som tilbys i Microsoft Defender for Cloud tilbyr ikke bare synlighet på tvers av ressurser i flere skyer, men også beskyttelse i alle lag av miljøet samtidig som trusler overvåkes og varsler settes i relasjon til hendelser, som integreres med administrasjonen av sikkerhetsinformasjon og -hendelser. Dette effektiviserer etterforskningen og hjelper sikkerhetsteamene med å holde kontroll på varsler på tvers av plattformer.
Litt forebygging, for eksempel å lukke identitetshull og feilkonfigurasjon, kombinert med solide verktøy til angrepssvar, går langt på vei til å sikre hele skymiljøet, fra bedriftsnettverket til skytjenester.
En omfattende sikkerhetsstatus starter med synlighet og ender med prioritert risikostyring.
Endringen til skybasert IT utsetter ikke bare organisasjonen for implementeringsgap, men også til en raskt voksende samling tilkoblede ressurser – enheter, apper, endepunkter – i tillegg til eksponerte skyarbeidsbelastninger. Sikkerhetsledere administrerer statusen i dette miljøet uten perimeter med teknologi som gir synlighet og prioriterte svar. Disse verktøyene hjelper organisasjoner med å tilordne en ressursbeholdning som dekker hele angrepsoverflaten og uadministrerte enheter både i og utenfor organisasjonens nettverk. Ved hjelp av disse ressursene kan informasjonssikkerhetsledere vurdere sikkerhetsstatusen til hver ressurs og rollen den har i bedriften, for å utvikle en prioritert risikomodell.
I samtalen med sikkerhetsledere ser vi en utvikling fra perimeterbasert sikkerhet mot en sikkerhetsstatusbasert tilnærming egnet til et økosystem uten grenser.
Som én informasjonssikkerhetsleder sier: «For meg handler sikkerhetsstatusen om identitet ... Vi ser ikke på det bare som den gamle, tradisjonelle statusen hvor perimeteren er, men tar den helt ned til endepunktet.» (Offentlige tjenester – vann, 1390 ansatte). «Identitet har blitt den nye perimeteren,» kommenterer en informasjonssikkerhetsleder i finansteknologi og spør: «Hva betyr identitet i denne nye modellen hvor det ikke finnes noen utenfor og innenfor?» (Finansteknologi, 15 000 ansatte).
Med et så porøst miljø forstår informasjonssikkerhetsledere at det haster med omfattende administrasjon av sikkerhetsstatus, men mange stiller spørsmål ved om de har ressursene og de digitale evnene til å realisere denne visjonen. Heldigvis er omfattende administrasjon av sikkerhetsstatus innenfor rekkevidde for de fleste organisasjoner, gjennom en kombinasjon av bransjetestede grunnlag (oppdaterte til dagens behov) og nyskapning innen sikkerhet.
Du må skaffe deg verktøy i cyberinfrastrukturen som gir deg en innholdsliste over ressursene. Deretter må du se på hvilke av disse som er viktigst, hvilke som er størst risiko for organisasjonen, forstå hva som er mulige sårbarheter i disse enhetene, og bestemme om dette er akseptabelt – må jeg sikkerhetsoppdatere eller isolere.
Ken Malcolmson, administrerende sikkerhetsrådgiver, Microsoft
Her er noen anbefalte fremgangsmåter og verktøy som sikkerhetsledere bruker til å administrere sikkerhetsstatusen i et åpent, skybasert miljø:
1. Oppnå omfattende synlighet med en innholdsliste over ressursene.
Synlighet er det første trinnet i helhetlig administrasjon av sikkerhetsstatus. Informasjonssikkerhetsledere spør: «Til å begynne med vet vi engang om alt vi har der ute? Har vi engang synlighet før vi kommer til administrasjon?» En innholdsliste over risikoressurser inkluderer IT-ressurser som nettverker og programmer, databaser, servere, skyegenskaper, IoT-egenskaper samt data- og IP-ressurser som er lagret på denne digitale infrastrukturen. De fleste plattformer, for eksempel Microsoft 365 og Azure, har innebygde verktøy som kan hjelpe deg i gang.
Synlighet er det første trinnet i helhetlig administrasjon av sikkerhetsstatus. Informasjonssikkerhetsledere spør: «Til å begynne med vet vi engang om alt vi har der ute? Har vi engang synlighet før vi kommer til administrasjon?» En innholdsliste over risikoressurser inkluderer IT-ressurser som nettverker og programmer, databaser, servere, skyegenskaper, IoT-egenskaper samt data- og IP-ressurser som er lagret på denne digitale infrastrukturen. De fleste plattformer, for eksempel Microsoft 365 og Azure, har innebygde verktøy som kan hjelpe deg i gang.
2. Vurder sårbarhet, og analyser risiko.
Når en organisasjon har en omfattende innholdsliste over ressursene, er det mulig å analysere risiko både når det gjelder interne sårbarheter og eksterne trusler. Dette trinnet er svært avhengig av kontekst og er forskjellig for hver organisasjon. En pålitelig risikovurdering avhenger av et sterkt partnerskap mellom sikkerhet, IT og datateam. Dette tverrfunksjonelle teamet utnytter automatisk risikovurdering og prioriteringsverktøy i analysen – for eksempel risikoprioriteringsverktøyene som er integrert i Microsoft Entra ID, Microsoft Defender XDR og Microsoft 365. Automatisert risikovurderings- og prioriteringsteknologi kan også omfatte ekspertveiledning for utbedring av hullene og kontekstuell informasjon for effektive trusselsvar.
Når en organisasjon har en omfattende innholdsliste over ressursene, er det mulig å analysere risiko både når det gjelder interne sårbarheter og eksterne trusler. Dette trinnet er svært avhengig av kontekst og er forskjellig for hver organisasjon. En pålitelig risikovurdering avhenger av et sterkt partnerskap mellom sikkerhet, IT og datateam. Dette tverrfunksjonelle teamet utnytter automatisk risikovurdering og prioriteringsverktøy i analysen – for eksempel risikoprioriteringsverktøyene som er integrert i Microsoft Entra ID, Microsoft Defender XDR og Microsoft 365. Automatisert risikovurderings- og prioriteringsteknologi kan også omfatte ekspertveiledning for utbedring av hullene og kontekstuell informasjon for effektive trusselsvar.
3. Prioriter risiko- og sikkerhetsbehov med modellering av forretningsrisiko.
Med en klar forståelse av risikolandskapet kan tekniske team jobbe med forretningsledere om å prioritere sikkerhetsinngrep med hensyn til forretningsbehov. Tenk på rollen til hver ressurs, verdien den har for forretningen, og risikoen til forretningen hvis den kompromitteres, og still spørsmål som for eksempel: «Hvor sensitiv er denne informasjonen, og hva vil innvirkningen være på forretningen hvis den eksponeres?» eller «Hvor viktige er disse systemene for driften, og hva ville nedetid bety for forretningen?» Microsoft tilbyr verktøy som støtter en omfattende identifisering og prioritering av sårbarheter i henhold til modellering av forretningsrisiko, blant annet Microsoft Sikkerhetsvurdering, Microsoft-samsvarspoeng, Azure Sikkerhetsvurdering, Microsoft Defender-administrasjon for ekstern angrepsoverflate og Microsoft Defender Vulnerability Management.
Med en klar forståelse av risikolandskapet kan tekniske team jobbe med forretningsledere om å prioritere sikkerhetsinngrep med hensyn til forretningsbehov. Tenk på rollen til hver ressurs, verdien den har for forretningen, og risikoen til forretningen hvis den kompromitteres, og still spørsmål som for eksempel: «Hvor sensitiv er denne informasjonen, og hva vil innvirkningen være på forretningen hvis den eksponeres?» eller «Hvor viktige er disse systemene for driften, og hva ville nedetid bety for forretningen?» Microsoft tilbyr verktøy som støtter en omfattende identifisering og prioritering av sårbarheter i henhold til modellering av forretningsrisiko, blant annet Microsoft Sikkerhetsvurdering, Microsoft-samsvarspoeng, Azure Sikkerhetsvurdering, Microsoft Defender-administrasjon for ekstern angrepsoverflate og Microsoft Defender Vulnerability Management.
4. Opprett en strategi for administrasjon av sikkerhetsstatus.
En inventarliste over ressurser, risikoanalyse og modell for forretningsrisiko danner grunnlegge for omfattende administrasjon av sikkerhetsstatus. Denne synligheten og innsikten hjelper sikkerhetsteamet med å avgjøre hvordan de kan tildele ressurser på best mulig måte, hvilke styrkende tiltak som er nødvendige, og hvordan å optimalisere balansen mellom risiko og brukbarhet for hvert segment i nettverket.
En inventarliste over ressurser, risikoanalyse og modell for forretningsrisiko danner grunnlegge for omfattende administrasjon av sikkerhetsstatus. Denne synligheten og innsikten hjelper sikkerhetsteamet med å avgjøre hvordan de kan tildele ressurser på best mulig måte, hvilke styrkende tiltak som er nødvendige, og hvordan å optimalisere balansen mellom risiko og brukbarhet for hvert segment i nettverket.
Løsninger for administrasjon av sikkerhetsstatus tilbyr synlighet og sårbarhetsanalyse som kan hjelpe organisasjoner med å forstå hvor de skal rette tiltak for å forbedre sikkerhetsstatusen. Med denne innsikten kan de identifisere og prioritere viktige områder i angrepsoverflaten.
Støtt deg på nulltillit og hygiene for å temme det svært mangfoldige, nettverksrike miljøet til IoT og OT
De to utfordringene vi har vært innom – skyimplementeringsgapet og økningen av skytilkoblede enheter –skaper en perfekt risikostorm i IoT- og OT-enhetsmiljøer. I tillegg til den iboende risikoen ved en utvidet angrepsoverflate som følge av IoT- og OT-enheter, forteller sikkerhetsledere meg at de prøver å rasjonalisere sammenfallet av strategier for gryende IoT og eldre OT. IoT er kanskje opprinnelig skybasert, men disse enhetene prioriterer ofte det som gagner forretningen over grunnleggende sikkerhet. OT er gjerne eldre utstyr som administreres av leverandører, og som er utviklet uten moderne sikkerhet og innlemmet i organisasjonens IT-nettverk på en adhoc-basis.
IoT- og OT-enheter hjelper organisasjoner med å modernisere arbeidsplasser, bli mer datadrevne og lette byrden for de ansatte gjennom strategiske endringer som fjernstyring og automatisering. The International Data Corporation (IDC) anslår at det finnes 41,6 milliarder tilkoblede IoT-enheter innen 2025. Det er en vekstrate som overgår raten for tradisjonelle IT-enheter.
Men med denne muligheten kommer betydelig risiko. I Cyber Signals-rapporten i desember 2022, Sammenfallet av IT og driftsteknologi, så vi på risikoen for viktig infrastruktur fra denne teknologien.
Noen viktige funn:
1. 75 % av de vanligste industrielle kontrollerne i OT-nettverk hos kunder har alvorlige sårbarheter som ikke er blitt sikkerhetsoppdatert.
2. Fa 2020 til 2022 var det 78 % økning i avsløringer av alvorlige sårbarheter i industrielt kontrollutstyr produsert av populære leverandører.
3. Mange enheter som er synlige på Internett, kjører programvare som ikke støttes. Den utdaterte programvaren Boa er for eksempel fortsatt mye brukt i IoT-enheter og SDK-er (software development kit).
IoT-enheter utgjør ofte det svakeste leddet i den digitale eiendommen. Siden de ikke administreres, oppdateres eller sikkerhetsoppdateres på samme måte som tradisjonelle IT-enheter, kan de tjene som en beleilig inngangsport for angripere som ønsker å infiltrere IT-nettverket. Når noen har fått tilgang til en IoT-enhet, er den sårbar for fjernkjøring av kode. En angriper kan få kontroll og utnytte sårbarheter for å innplante botnett eller skadelig programvare i en IoT-enhet. Enheten kan deretter tjene som en åpen dør til hele nettverket.
Driftsteknologiske enheter, som ofte er avgjørende for driften i organisasjonen, utgjør en enda farligere risiko. OT-nettverk som tidligere pleide å være frakoblet eller isolert fra bedriftens IT-nettverk, blir stadig oftere blandet med IT- og IoT-systemer. I undersøkelsen vår fra november 2021 med Ponemon Institute, Tilstanden til IoT/OT-cybersikkerhet i virksomheter, ble det konstatert at over halvparten av OT-nettverk nå er koblet til bedriftens IT-nettverk. En lignende andel selskaper – 56 prosent – har Internett-tilkoblede enheter på OT-nettverket for ting som fjerntilgang.
«Nesten alle angrep vi har sett det siste året, begynte med innledningsvis tilgang til et IT-nettverk som ble benyttet av OT-nettverket.»
David Atch, Microsoft trusselinformasjon, sjef for IoT/OT-sikkerhetsforskning
OT-tilkobling utsetter organisasjonen for en risiko for større forstyrrelser og nedetid hvis det skulle komme et angrep. OT er ofte bedriftens kjerne og gir angripere et fristende mål som de kan utnytte for å gjøre betydelig skade. Enhetene selv kan være lette mål, siden de ofte omfatter industrielt eller eldre utstyr som ikke er utformet med tanke på sikkerhet, som er eldre enn moderne sikkerhetspraksis, og som kan ha rettighetsbeskyttelse som omgår synlighet av standard IT-overvåkingsverktøy. Angripere utnytter gjerne denne teknologien ved å finne utsatte Internett-tilkoblede systemer, og får tilgang ved hjelp av ansattes påloggingsinformasjon eller utnytter tilgang gitt til tredjepartsleverandører og entreprenører. Industrielle kontrollsystemer som ikke er overvåket, er et vanlig inngangspunkt for OT-spesifikke angrep (Microsoft-rapport om digitalt forsvar 2022).
Sikkerhetsledere bruker følgende anbefalte fremgangsmåter for å håndtere den særegne utfordringen med å administrere IoT- og OT-sikkerhet på tvers av denne blandingen av enheter koblet på forskjellige måter til IT-nettverket:
1. Oppnå omfattende enhetssynlighet.
Et viktig grunnlag for effektiv administrasjon av IoT/OT er å forstå alle ressursene du har i et nettverk, hvordan alt henger sammen, og forretningsrisikoen og sårbarheten til hvert koblingspunkt. En IoT- og OT-bevisst løsning for oppdagelse og svar (NDR – network detection and response) og administrasjon av sikkerhetsinformasjon og -hendelser (SIEM), for eksempel Microsoft Sentinel, kan også gi deg bedre synlighet i IoT/OT-enheter på nettverket med overvåkning av uvanlige virkemåter, for eksempel kommunikasjon med ukjente verter. (Hvis du vil ha mer informasjon om administrasjon av industrielle kontrollsystemer i OT, kan du se «Den unike sikkerhetsrisikoen til IoT-enheter,» Microsoft Sikkerhet).
Et viktig grunnlag for effektiv administrasjon av IoT/OT er å forstå alle ressursene du har i et nettverk, hvordan alt henger sammen, og forretningsrisikoen og sårbarheten til hvert koblingspunkt. En IoT- og OT-bevisst løsning for oppdagelse og svar (NDR – network detection and response) og administrasjon av sikkerhetsinformasjon og -hendelser (SIEM), for eksempel Microsoft Sentinel, kan også gi deg bedre synlighet i IoT/OT-enheter på nettverket med overvåkning av uvanlige virkemåter, for eksempel kommunikasjon med ukjente verter. (Hvis du vil ha mer informasjon om administrasjon av industrielle kontrollsystemer i OT, kan du se «Den unike sikkerhetsrisikoen til IoT-enheter,» Microsoft Sikkerhet).
2. Segmenter nettverk og ta i bruk nulltillitsprinsipper.
Segmenter nettverk der det er mulig, for å hemme lateral bevegelse i tilfelle et angrep. IoT-enheter og OT-nettverk burde være atskilt eller isolert fra bedriftens IT-nettverk via brannmurer. Når det er sagt, er det også viktig å anta at OT og IT løper sammen, og bygge nulltillitsprotokoller på tvers av flere angrepsoverflater. Nettverkssegmentering er i økende grad umulig. For regulerte organisasjoner som helsetjenester, offentlige tjenester og produksjon er for eksempel OT/IT-tilkobling kjernen i forretningsprosessen – for eksempel mammografimaskiner eller smarte MR-maskiner som kobles til elektroniske helsejournaler, eller smarte samlebånd eller vannrenseanlegg som krever fjernovervåking. I disse tilfellene er det avgjørende med nulltillit.
Segmenter nettverk der det er mulig, for å hemme lateral bevegelse i tilfelle et angrep. IoT-enheter og OT-nettverk burde være atskilt eller isolert fra bedriftens IT-nettverk via brannmurer. Når det er sagt, er det også viktig å anta at OT og IT løper sammen, og bygge nulltillitsprotokoller på tvers av flere angrepsoverflater. Nettverkssegmentering er i økende grad umulig. For regulerte organisasjoner som helsetjenester, offentlige tjenester og produksjon er for eksempel OT/IT-tilkobling kjernen i forretningsprosessen – for eksempel mammografimaskiner eller smarte MR-maskiner som kobles til elektroniske helsejournaler, eller smarte samlebånd eller vannrenseanlegg som krever fjernovervåking. I disse tilfellene er det avgjørende med nulltillit.
3. Bruk administrasjon av sikkerhetshygiene for IoT/OT.
Sikkerhetsteam kan tette hullene gjennom enkelte grunnleggende hygienepraksiser, for eksempel:
Sikkerhetsteam kan tette hullene gjennom enkelte grunnleggende hygienepraksiser, for eksempel:
- Fjerne unødvendige Internett-tilkoblinger og åpne porter, begrense eller nekte ekstern tilgang og bruke VPN-tjenester
- Administrere enhetssikkerhet ved å bruke sikkerhetsoppdateringer og endre standardpassord og porter
- Sørge for at industrielle kontrollsystemer ikke er direkte koblet til Internett
Hvis du vil ha handlingsrettet veiledning om hvordan du oppnår denne graden av innsikt og administrasjon, kan du se «Den unike sikkerhetsrisikoen til IoT-/OT-enheter,» Microsoft Security Insider.
Handlingsrettet innsikt
1. Bruk en IoT- og OT-bevisst løsning for oppdagelse og svar og en løsning for administrasjon av sikkerhetsinformasjon og -hendelser (SIEM – security information and event management) / sikkerhetsiverksetting og -svar (SOAR – security orchestration and response) for bedre synlighet i IoT/OT-enheter på nettverket, og overvåk enheter for uvanlige eller uautoriserte virkemåter, for eksempel kommunikasjon med ukjente verter
2. Beskytt tekniske stasjoner med overvåking med løsninger for endepunktsoppdagelse og -svar (EDR – endpoint detection and response)
3. Reduser angrepsoverflaten ved å fjerne unødvendige Internett-tilkoblinger og åpne porter, begrens ekstern tilgang ved å blokkere porter, nekte ekstern tilgang og bruk av VPN-tjenester
4. Sørg for at industrielle kontrollsystemer ikke er direkte koblet til Internett
5. Segmenter nettverk for å begrense angriperens evne til å trenge dypere inn og kompromittere ressursene etter første inntrenging. IoT-enheter og OT-nettverk burde være isolert fra bedriftens IT-nettverk via brannmurer
6. Forsikre deg om at enhetene er robuste, ved å sikkerhetsoppdatere dem og endre standardpassord og -porter
7. Anta at OT og IT løper sammen, og bygg inn nulltillitsprotokoller i angrepsoverflaten
8. Sørg for samkjøring mellom OT og IT i organisasjonen ved å oppmuntre til større synlighet og integrering av team
9. Følg alltid anbefalte fremgangsmåter for IoT/OT-sikkerhet basert på grunnleggende trusselinformasjon
Etter hvert som økningen i trusler og press om å yte mer med færre ressurser får sikkerhetsledere til å benytte seg av sjansen til å effektivisere den digitale eiendommen, fremgår skyen som grunnlaget til den moderne sikkerhetsstrategien. Som vi har sett, er det langt flere fordeler enn ulemper ved en skybasert tilnærming – særlig for organisasjoner som bruker anbefalte fremgangsmåter til å administrere skymiljøet med en solid skysikkerhetsstrategi, omfattende administrasjon av sikkerhetsstatus og egne taktikker for å tette igjen hullene på IoT/OT-kanten.
Se den neste utgaven for mer sikkerhetsanalyse og -innsikt. Takk for at du leser CISO Insider!
Hvis du vil ha handlingsrettet veiledning om hvordan du oppnår denne graden av innsikt og administrasjon, kan du se «Den unike sikkerhetsrisikoen til IoT-/OT-enheter,» Microsoft Security Insider.
All Microsoft-forskning det er henvist til, bruker uavhengige forskningsfirmaer til å kontakte sikkerhetseksperter for både kvantitative og kvalitative undersøkelser som sørger for personvernet og høy analytisk standard. Sitater og resultater inkludert i dette dokumentet er, med mindre annet er spesifisert, et resultat av forskningsundersøkelser for Microsoft.
Følg Microsoft