Krijg inzichten rechtstreeks van de experts in de Microsoft Bedreigingsinformatie-podcast. Luister nu.
CISO Insider: Probleem 3
Welkom bij onze derde uitgave in de serie CISO Insider. Ik ben Rob Lefferts en ik leid de engineeringteams van Microsoft Defender en Sentinel. We zijn deze serie ongeveer een jaar geleden gestart om inzichten te delen uit onze gesprekken met een aantal van je collega's en uit ons eigen onderzoek en onze ervaring met het werken in de frontlinie van cyberbeveiliging.
Onze eerste twee nummers gingen over escalerende bedreigingen zoals ransomware en hoe leiders in beveiliging gebruikmaken van automatisering en bijscholingsmogelijkheden om effectief op deze bedreigingen te reageren, ondanks een aanhoudend tekort aan talent. Nu CISO's nog meer onder druk staan om op een efficiënte manier te werken in de huidige economische onzekerheid, zijn veel van hen op zoek naar optimalisatie met behulp van oplossingen in de cloud en geïntegreerde beheerde beveiligingsservices. In deze editie kijken we naar opkomende beveiligingsprioriteiten nu organisaties steeds meer overschakelen op cloudgerichte modellen, waarbij alles in hun digitale estate wordt meegenomen, van on-premises systemen tot IoT-apparaten.
De openbare cloud biedt de voordelen van sterke basisbeveiliging, kostenefficiëntie en schaalbare computing, waardoor het een belangrijke bron is in een tijd van krimpende budgetten. Maar met dit driedubbele voordeel komt ook de noodzaak om 'op de hiaten te letten' die ontstaan in de verbinding tussen de openbare cloud en privéclouds en on-premises systemen. We kijken naar wat leiders op het gebied van beveiliging doen om de beveiliging te beheren in de grensgebieden tussen netwerkapparaten, eindpunten, apps, clouds en beheerde services. Tot slot kijken we naar twee technologieën die het toppunt van deze beveiligingsuitdaging vormen: IoT en OT. Het samenkomen van deze twee gepolariseerde technologieën, de ene nog in opkomst en de andere al verouderd, die beide zijn geïntroduceerd in het netwerk zonder adequate ingebouwde beveiliging, creëert een zwakke rand die kwetsbaar is voor aanvallen.
Editie 3 gaat in op deze drie cloudgerichte beveiligingsprioriteiten:
De cloud is veilig, maar beheer jij je cloudomgeving ook veilig?
Het gebruik van de cloud is in een stroomversnelling geraakt doordat organisaties op zoek zijn naar nieuwe vormen van efficiëntie als reactie op zowel economische beperkingen als een tekort aan talent. CISO's vertrouwen de openbare-cloudservices voor hun basisbeveiliging, maar de cloud is slechts zo veilig als het vermogen van de klant om de interface tussen de openbare cloud en de privé-infrastructuur te beheren. We bekijken hoe beveiligingsleiders de kloof dichten met een sterke cloudbeveiligingsstrategie, bijvoorbeeld door hun cloud-apps en workloads te beveiligen met tools als postuurbeheer en het platform voor beveiliging van cloud-eigen applicaties (CNAPP).
Een uitgebreid beveiligingsbeleid begint met zichtbaarheid en eindigt met geprioriteerd risicobeheer.
De versnelde invoering van de cloud gaat gepaard met een wildgroei aan services, eindpunten, apps en apparaten. Naast een strategie voor het beheer van de kritieke verbindingspunten met de cloud, erkennen CISO's de behoefte aan meer zichtbaarheid en coördinatie in hun groeiende digitale voetafdruk, een behoefte aan uitgebreid postuurbeheer. We bekijken hoe beveiligingsleiders hun aanpak uitbreiden van het voorkomen van aanvallen (nog steeds de beste verdediging, zolang het maar effectief is) naar risicobeheer via uitgebreide hulpprogramma's voor het beheer van postuur die helpen bij het inventariseren van assets en het modelleren van bedrijfsrisico's, en natuurlijk identiteits- en toegangscontrole.
Vertrouw op Zero Trust en hygiëne om de zeer diverse omgeving met een hypernetwerk van IoT & OT te temmen.
De exponentiële groei van verbonden IoT- en OT-apparaten blijft beveiligingsuitdagingen opleveren, vooral gezien de moeilijkheid om technologieën te combineren die een mix zijn van cloudeigen externe hulpprogramma's en oudere apparatuur die is aangepast voor netwerken. Het aantal wereldwijde IoT-apparaten bedraagt in 2025 naar verwachting 41,6 miljard, waardoor er een grotere kwetsbaarheid voor aanvallen ontstaat voor aanvallers die dergelijke apparaten gebruiken als toegangspoort voor cyberaanvallen. Deze apparaten zijn vaak het doelwit van kwetsbare punten in een netwerk. Ze kunnen: ad hoc zijn geïntroduceerd en verbonden met het IT-netwerk zonder duidelijke richtlijnen van het beveiligingsteam, zijn ontwikkeld zonder basisbeveiliging door een derde partij of onvoldoende worden beheerd door het beveiligingsteam vanwege uitdagingen zoals bedrijfseigen protocollen en beschikbaarheidsvereisten (OT). Ontdek hoe veel IT-leiders hun IoT-/OT-beveiligingsstrategie momenteel aan het ontwikkelen zijn om door deze door hiaten geplaagde rand te navigeren.
De cloud is veilig, maar beheer jij je cloudomgeving ook veilig?
In een tijd van tekorten aan talent en krimpende budgetten biedt de cloud veel voordelen, zoals kostenefficiëntie, oneindig schaalbare bronnen, geavanceerde hulpprogramma's en betrouwbaardere gegevensbescherming dan de meeste beveiligingsleiders denken op locatie te kunnen bereiken. Terwijl CISO's cloudresources in het verleden zagen als een afweging tussen grotere blootstelling aan risico's en grotere kostenefficiëntie, hebben de meeste beveiligingsleiders die we tegenwoordig spreken de cloud omarmd als het nieuwe normaal. Ze vertrouwen op de sterke basisbeveiliging van cloudtechnologie: "Ik verwacht dat aanbieders van clouddiensten alles op orde hebben als het gaat om hun identiteits- en toegangsbeheer, hun systeembeveiliging en hun fysieke beveiliging", zegt een CISO.
Maar zoals de meeste beveiligingsleiders erkennen, garandeert de basisbeveiliging van de cloud niet dat je gegevens veilig zijn, aangezien de bescherming van je gegevens in de cloud sterk afhangt van hoe cloudservices worden geïmplementeerd naast systemen op locatie en eigen technologie. Risico's ontstaan door de hiaten tussen de cloud en de traditionele organisatorische grenzen, het beleid en de technologieën die worden gebruikt om de cloud te beveiligen. Misconfiguraties komen voor, waardoor organisaties vaak worden blootgesteld en afhankelijk zijn van beveiligingsteams om de hiaten te identificeren en te dichten.
"Een groot aantal inbreuken komt door misconfiguratie, iemand die per ongeluk iets verkeerd configureert of iets verandert waardoor de gegevens kunnen uitlekken."
Nutsbedrijven - water, 1.390 werknemers
In 2023 zal 75 procent van de inbreuken op de cloudbeveiliging worden veroorzaakt door inadequaat beheer van identiteiten, toegang en bevoegdheden, tegenover 50 procent in 2020 (misconfiguratie en kwetsbaarheden grootste risico's bij cloudbeveiliging: Rapport | CSO Online). De uitdaging zit niet in de beveiliging van de cloud zelf, maar in het beleid en de controles die worden gebruikt om toegang te beveiligen. Zoals een CISO uit de financiële dienstverlening het zegt: "Cloudbeveiliging is heel goed als het op de juiste manier wordt geïmplementeerd. De cloud zelf en de onderdelen ervan zijn veilig. Maar dan komt de configuratie om de hoek kijken: schrijf ik mijn code wel goed? Stel ik mijn connectors in het hele bedrijf op de juiste manier in?" Een andere beveiligingsleider vat de uitdaging samen: "Het verkeerd configureren van die cloudservices is wat de services openstelt voor bedreigingsactoren." Nu meer beveiligingsleiders zich bewust worden van de risico's van verkeerde cloudconfiguratie, is het gesprek over cloudbeveiliging verschoven van "Is de cloud veilig?" naar "Gebruik ik de cloud op een veilige manier?"
Wat betekent het om de cloud veilig te gebruiken? Veel van de leiders met wie ik praat, benaderen de cloudbeveiligingsstrategie vanaf de basis en pakken de menselijke fouten aan die de organisatie blootstellen aan risico's, zoals identiteitslekken en misconfiguraties. Dit ligt in de lijn van onze aanbevelingen:het beveiligen van identiteiten en het adaptief beheren van hun toegang zijn absoluut fundamenteel voor elke cloudbeveiligingsstrategie.
Voor iedereen die nog twijfelt, misschien helpt dit: McAfee rapporteerde dat 70 procent van de blootgestelde records (5,4 miljard) in verkeerde handen was gevallen door verkeerd geconfigureerde services en portals. Het beheren van toegang door middel van identiteitscontroles en het implementeren van een sterke beveiligingshygiëne kan al enorm helpen om de hiaten te dichten. McAfee rapporteerde ook dat 70 procent van de blootgestelde records (5,4 miljard) in verkeerde handen was gevallen door verkeerd geconfigureerde services en portals. Het beheren van toegang door middel van identiteitscontroles en het implementeren van een sterke beveiligingshygiëne kan al enorm helpen om de hiaten te dichten.
Een betrouwbare beveiligingsstrategie voor de cloud omvat deze best practices:
1. Implementeer een end-to-end strategie voor een platform voor beveiliging van cloud-eigen applicaties (CNAPP): Beveiliging beheren met gefragmenteerde hulpprogramma's kan leiden tot blinde vlekken in de bescherming en tot hogere kosten. Het hebben van een alles-in-één platform waarmee je beveiliging van code tot cloud kunt inbouwen is cruciaal om de volledige kwetsbaarheid voor aanvallen van de cloud te verkleinen en bescherming tegen bedreigingen te automatiseren. De CNAPP-strategie omvat de volgende best practices:
a. Geef beveiliging vanaf het begin prioriteit in DevOps. Beveiliging kan op de achtergrond raken in de haast om cloud-apps te ontwikkelen. Ontwikkelaars hebben een incentive om een bedrijfsprobleem snel op te lossen en missen mogelijk vaardigheden op het gebied van cloudbeveiliging. Het gevolg is dat apps zich kunnen verspreiden zonder de juiste autorisatieregels voor gegevens. API's zijn een belangrijk doelwit geworden voor hackers, omdat organisaties ze vaak niet in de gaten kunnen houden gezien de snelheid waarmee cloud-apps worden ontwikkeld. Gartner identificeert 'verspreiding van API' als een groeiend probleem en voorspelt dat in 2025 minder dan de helft van de API's van bedrijven zal worden beheerd (Gartner). Het is daarom cruciaal om zo snel mogelijk een DevSecOps-strategie te implementeren.
b. Versterk de beveiliging van de cloud en los misconfiguraties op. Misconfiguraties zijn de meest voorkomende oorzaak van inbreuken in de cloud. Bekijk de top van Cloud Security Alliance van de meest voorkomende misconfiguraties in de beveiliging. Hoewel het openlaten van opslagresources voor het publiek de meest gehoorde angst is, noemen CISO's ook andere gebieden van verwaarlozing: uitgeschakelde controle en logboekregistratie, buitensporige machtigingen, onbeveiligde back-ups, etc. Versleuteling is een belangrijke bescherming tegen misbeheer en cruciaal voor het verminderen van het risico op ransomware. Hulpprogramma's voor het beheer van cloudbeveiligingspostuur bieden een extra verdedigingslinie door cloudresources te controleren op blootstellingen en misconfiguraties voordat er een inbreuk plaatsvindt, zodat je de kwetsbaarheid voor aanvallen op een proactieve manier kunt verkleinen.
c. Detectie, reactie en analyse van incidenten automatiseren. Het identificeren en repareren van misconfiguraties is geweldig, maar we moeten er ook voor zorgen dat we over de hulpprogramma's en processen beschikken om aanvallen te detecteren die voorbij de verdediging komen. Dit is waar hulpprogramma's voor bedreigingsdetectie en reactiebeheer kunnen helpen.
d. Voer toegangsbeheer op de juiste manier uit. Meervoudige verificatie, eenmalige aanmelding, op rollen gebaseerd toegangsbeheer, machtigingsbeheer en certificeringen helpen bij het beheren van de twee grootste risico's voor cloudbeveiliging: de gebruiker en verkeerd geconfigureerde digitale sites. Minimale toegang is een best practice voor het rechtenbeheer voor cloudinfrastructuur (CIEM). Sommige leiders vertrouwen op een oplossing voor identiteits- en toegangsbeheer of rechtenbeheer om actieve beveiligingscontroles in te stellen. Een leider in de financiële dienstverlening vertrouwt op de beveiligingsbroker voor cloudtoegang (CASB) als een 'belangrijk vangnet' om de SaaS-services van de organisatie te beheren en controle te houden over hun gebruikers en gegevens. De CASB fungeert als tussenpersoon tussen gebruikers en cloud-apps, biedt inzicht en dwingt beheeracties af door middel van beleidsregels. De CASB fungeert als tussenpersoon tussen gebruikers en cloud-apps, biedt inzicht en dwingt beheeracties af door middel van beleidsregels.
Een platform voor beveiliging van cloud-eigen applicaties zoals dat wordt aangeboden in Microsoft Defender voor Cloud biedt niet alleen zichtbaarheid in resources met meerdere clouds, maar biedt ook bescherming op alle lagen van de omgeving terwijl het controleert op bedreigingen en waarschuwingen koppelt aan incidenten die integreren met je SIEM. Dit stroomlijnt onderzoeken en helpt je SOC-teams om waarschuwingen over verschillende platforms voor te blijven.
Een klein beetje preventie, het dichten van gaten in identiteit en misconfiguratie, in combinatie met betrouwbare hulpprogramma's voor reacties op aanvallen zijn enorm belangrijk voor het beveiligen van de volledige cloudomgeving, van het bedrijfsnetwerk tot cloudservices.
Een uitgebreid beveiligingsbeleid begint met zichtbaarheid en eindigt met geprioriteerd risicobeheer.
De verschuiving naar cloudgerichte IT stelt de organisatie niet alleen bloot aan hiaten in de implementatie, maar ook aan een groeiend aantal assets in het netwerk, zoals apparaten, apps, eindpunten, en aan workloads in de cloud. Beveiligingsleiders beheren hun postuur in deze grenzeloze omgeving met technologieën die zichtbaarheid en geprioriteerde reacties bieden. Deze hulpprogramma's helpen organisaties bij het in kaart brengen van een inventaris van assets die de volledige kwetsbaarheid voor aanvallen bestrijkt, met zowel beheerde als onbeheerde apparaten binnen en buiten het netwerk van de organisatie. Met behulp van deze resources kunnen CISO's de beveiligingsstatus van elke asset en de rol ervan in het bedrijf beoordelen om een geprioriteerd risicomodel op te zetten.
In onze gesprekken met beveiligingsleiders zien we een ontwikkeling van beveiliging op basis van een perimeter naar een aanpak op basis van een beveiligingspostuur die een grenzeloos ecosysteem omarmt.
Zoals een CISO het zegt: "Voor mij komt de postuur neer op de identiteit... We bekijken het niet alleen als de oude traditionele postuur waar de perimeter is, maar verplaatsen dat helemaal naar het eindpunt." (Nutsbedrijven - water, 1.390 werknemers). "Identiteit is de nieuwe perimeter geworden," zegt een FinTech CISO, die zich het volgende afvraagt: "Wat betekent identiteit in dit nieuwe model waarin er geen buiten en binnen is?" (FinTech, 15.000 werknemers).
Gezien deze kwetsbare omgeving begrijpen CISO's de urgentie van uitgebreid postuurbeheer, maar velen vragen zich af of ze de resources en digitale volwassenheid hebben om deze visie tot uitvoer te brengen. Gelukkig ligt uitgebreid postuurbeheer voor de meeste organisaties binnen handbereik door een combinatie van in de sector bewezen frameworks (bijgewerkt voor de huidige behoeften) en beveiligingsinnovatie.
Zorg voor hulpprogramma's in je cyberinfrastructuur waarmee je een inventaris van assets kunt maken. Bekijk daarna welke daarvan het belangrijkst zijn, welke het grootste risico vormen voor de organisatie en begrijp wat de potentiële kwetsbaarheden van deze apparaten zijn en beslis of dit acceptabel is: moet ik het patchen of isoleren?
Ken Malcolmson, Executive Security Advisor, Microsoft
Hier zijn enkele best practices en hulpprogramma's die beveiligingsleiders gebruiken om hun postuur in een open, cloudgerichte omgeving te beheren:
1. Uuitgebreide zichtbaarheid verkrijgen met een inventaris van assets.
Zichtbaarheid is de eerste stap in holistisch postuurbeheer. CISO's vragen zich af: "Weten we eigenlijk wel alles wat we hebben om een eerste stap te zetten? Hebben we wel zichtbaarheid voordat we ons met het beheer bezig kunnen houden?" Een inventaris van risicovolle assets omvat IT-assets zoals netwerken en toepassingen, databases, servers, cloudeigenschappen, IoT-eigenschappen, maar ook de gegevens- en IP-assets die op deze digitale infrastructuur zijn opgeslagen. De meeste platforms, zoals Microsoft 365 of Azure, hebben ingebouwde hulpprogramma's voor het inventariseren van assets die je op weg kunnen helpen.
Zichtbaarheid is de eerste stap in holistisch postuurbeheer. CISO's vragen zich af: "Weten we eigenlijk wel alles wat we hebben om een eerste stap te zetten? Hebben we wel zichtbaarheid voordat we ons met het beheer bezig kunnen houden?" Een inventaris van risicovolle assets omvat IT-assets zoals netwerken en toepassingen, databases, servers, cloudeigenschappen, IoT-eigenschappen, maar ook de gegevens- en IP-assets die op deze digitale infrastructuur zijn opgeslagen. De meeste platforms, zoals Microsoft 365 of Azure, hebben ingebouwde hulpprogramma's voor het inventariseren van assets die je op weg kunnen helpen.
2. Kwetsbaarheid beoordelen en risico analyseren.
Zodra een organisatie eenmaal een uitgebreide inventaris van assets heeft, is het mogelijk om risico's te analyseren met betrekking tot zowel interne kwetsbaarheden als externe bedreigingen. Deze stap is sterk afhankelijk van de context en is uniek voor elke organisatie. Een betrouwbare risicobeoordeling is namelijk afhankelijk van een sterke samenwerking tussen de beveiligings-, IT- en gegevensteams. Dit multifunctionele team maakt gebruik van hulpprogramma's voor het geautomatiseerd scoren en prioriteren van risico's in hun analyse, bijvoorbeeld de hulpprogramma's die zijn geïntegreerd in Microsoft Entra ID, Microsoft Defender XDR en Microsoft 365. Technologieën voor het geautomatiseerd scoren en prioriteren van risico's kunnen ook deskundige begeleiding bevatten voor het herstellen van de hiaten, evenals contextuele informatie voor een effectieve reactie op bedreigingen.
Zodra een organisatie eenmaal een uitgebreide inventaris van assets heeft, is het mogelijk om risico's te analyseren met betrekking tot zowel interne kwetsbaarheden als externe bedreigingen. Deze stap is sterk afhankelijk van de context en is uniek voor elke organisatie. Een betrouwbare risicobeoordeling is namelijk afhankelijk van een sterke samenwerking tussen de beveiligings-, IT- en gegevensteams. Dit multifunctionele team maakt gebruik van hulpprogramma's voor het geautomatiseerd scoren en prioriteren van risico's in hun analyse, bijvoorbeeld de hulpprogramma's die zijn geïntegreerd in Microsoft Entra ID, Microsoft Defender XDR en Microsoft 365. Technologieën voor het geautomatiseerd scoren en prioriteren van risico's kunnen ook deskundige begeleiding bevatten voor het herstellen van de hiaten, evenals contextuele informatie voor een effectieve reactie op bedreigingen.
3. Risico- en beveiligingsbehoeften prioriteren met de modellering van bedrijfsrisico's.
Met een duidelijk begrip van het risicolandschap kunnen technische teams samenwerken met bedrijfsleiders om beveiligingsinterventies te prioriteren met betrekking tot de bedrijfsbehoeften. Denk na over de rol van elke asset, de waarde ervan voor het bedrijf en het risico voor het bedrijf als het in verkeerde handen valt, door vragen te stellen als: "Hoe gevoelig is deze informatie en wat voor gevolgen zou blootstelling ervan hebben voor het bedrijf?" of "Hoe bedrijfskritisch zijn deze systemen en wat zou de impact zijn van downtime op het bedrijf?" Microsoft biedt hulpprogramma's ter ondersteuning van een uitgebreide identificatie en prioritering van kwetsbaarheden volgens de modellering van bedrijfsrisico's, waaronder Microsoft Secure Score, Microsoft-compliancescore, Azure Secure Score, Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen en Microsoft Defender Vulnerability Management.
Met een duidelijk begrip van het risicolandschap kunnen technische teams samenwerken met bedrijfsleiders om beveiligingsinterventies te prioriteren met betrekking tot de bedrijfsbehoeften. Denk na over de rol van elke asset, de waarde ervan voor het bedrijf en het risico voor het bedrijf als het in verkeerde handen valt, door vragen te stellen als: "Hoe gevoelig is deze informatie en wat voor gevolgen zou blootstelling ervan hebben voor het bedrijf?" of "Hoe bedrijfskritisch zijn deze systemen en wat zou de impact zijn van downtime op het bedrijf?" Microsoft biedt hulpprogramma's ter ondersteuning van een uitgebreide identificatie en prioritering van kwetsbaarheden volgens de modellering van bedrijfsrisico's, waaronder Microsoft Secure Score, Microsoft-compliancescore, Azure Secure Score, Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen en Microsoft Defender Vulnerability Management.
4. Een strategie voor postuurbeheer opzetten.
Een inventarisatie van assets, een risicoanalyse en een model voor bedrijfsrisico's vormen de basis voor uitgebreid postuurbeheer. Deze zichtbaarheid en inzichten helpen het beveiligingsteam om te bepalen hoe resources het beste kunnen worden toegewezen, welke beveiligingsmaatregelen moeten worden toegepast en hoe de afweging tussen risico en bruikbaarheid voor elk segment van het netwerk kan worden geoptimaliseerd.
Een inventarisatie van assets, een risicoanalyse en een model voor bedrijfsrisico's vormen de basis voor uitgebreid postuurbeheer. Deze zichtbaarheid en inzichten helpen het beveiligingsteam om te bepalen hoe resources het beste kunnen worden toegewezen, welke beveiligingsmaatregelen moeten worden toegepast en hoe de afweging tussen risico en bruikbaarheid voor elk segment van het netwerk kan worden geoptimaliseerd.
Oplossingen voor postuurbeheer bieden de zichtbaarheid en kwetsbaarheidsanalyse om organisaties te helpen begrijpen waar ze hun inspanningen voor het verbeteren van hun postuur op moeten richten. Met dit inzicht kunnen ze belangrijke gebieden in hun kwetsbaarheid voor aanvallen identificeren en prioriteren.
Vertrouw op Zero Trust en hygiëne om de zeer diverse omgeving met een hypernetwerk van IoT en OT te temmen
De twee uitdagingen die we hebben besproken, de kloof tussen cloudimplementaties en de wildgroei aan apparaten die met de cloud zijn verbonden, creëren een perfecte storm van risico's in IoT- en OT-omgevingen. Naast het inherente risico van een grotere kwetsbaarheid voor aanvallen door IoT- en OT-apparaten, vertellen beveiligingsleiders me dat ze de convergentie van opkomende IoT- en verouderde OT-strategieën proberen te rationaliseren. IoT mag dan wel cloudeigen zijn, maar deze apparaten geven vaak voorrang aan zakelijke doelmatigheid boven fundamentele beveiliging. OT is meestal door leveranciers beheerde verouderde apparatuur die is ontwikkeld zonder moderne beveiliging en ad hoc is geïntroduceerd in het IT-netwerk van de organisatie.
IoT- en OT-apparaten helpen organisaties om werkplekken te moderniseren, meer op gegevens te vertrouwen en de vereisten die ze aan het personeel stellen te verlichten door middel van strategische verschuivingen zoals beheer op afstand en automatisering. De International Data Corporation (IDC) schat dat er in 2025 41,6 miljard verbonden IoT-apparaten zullen zijn, een groei die groter is dan die van traditionele IT-apparaten.
Maar deze kans gaat gepaard met aanzienlijke risico's. In ons Cyber Signals-rapport van december 2022, The Convergence of IT and Operational Technology, werd gekeken naar de risico's voor kritieke infrastructuur die deze technologieën met zich meebrengen.
De belangrijkste bevindingen zijn de volgende:
1. 75% van de meest voorkomende industriële controllers in OT-netwerken van klanten hebben niet-gepatchte kwetsbaarheden met een hoog ernstniveau.
2. Van 2020 tot 2022 was er een toename van 78% in bekendmakingen van kwetsbaarheden met een hoog ernstniveau in industriële besturingsapparatuur geproduceerd door populaire leveranciers.
3. Op veel apparaten die publiekelijk zichtbaar zijn op het internet draait software die niet wordt ondersteund. De verouderde software Boa wordt bijvoorbeeld nog steeds veel gebruikt in IoT-apparaten en SDK's (Software Development Kit).
IoT-apparaten vormen vaak de zwakste schakel in digitale omgevingen. Omdat ze niet op dezelfde manier worden beheerd, bijgewerkt of gepatcht als traditionele IT-apparaten, kunnen ze fungeren als een gemakkelijke toegangspoort voor aanvallers die het IT-netwerk willen infiltreren. Zodra de toegang tot IoT-apparaten is verkregen, zijn ze kwetsbaar voor uitvoering van code op afstand. Een aanvaller kan controle krijgen en kwetsbaarheden misbruiken om botnets of malware in een IoT-apparaat te implanteren. Op dat moment kan het apparaat dienen als een brug naar het hele netwerk.
Apparaten voor operationele technologie vormen een nog groter risico, omdat veel ervan cruciaal zijn voor het reilen en zeilen van de organisatie. OT-netwerken zijn traditioneel gezien offline of fysiek geïsoleerd van het IT-netwerk van het bedrijf en worden steeds meer vermengd met IT- en IoT-systemen. Uit ons onderzoek van november 2021, dat we samen met het Ponemon Institute hebben uitgevoerd, The State of IoT/OT Cybersecurity in the Enterprise, blijkt dat meer dan de helft van de OT-netwerken tegenwoordig verbonden is met IT-netwerken van bedrijven. Een vergelijkbaar percentage bedrijven (56 procent) heeft met internet verbonden apparaten op hun OT-netwerk voor scenario's als toegang op afstand.
"Bijna elke aanval die we het afgelopen jaar hebben gezien, begon met initiële toegang tot een IT-netwerk dat werd gebruikt in de OT-omgeving."
David Atch, Microsoft Threat Intelligence, Head of IoT/OT Security Research
Door OT-connectiviteit lopen organisaties het risico op grote verstoringen en downtime in het geval van een aanval. OT is vaak essentieel voor het bedrijf en biedt aanvallers een aantrekkelijk doelwit dat ze kunnen misbruiken om aanzienlijke schade aan te richten. De apparaten zelf kunnen een eenvoudig doelwit zijn, omdat het vaak gaat om verouderde apparatuur die qua ontwerp niet veilig is, dateert van voor de moderne beveiligingsmethoden en eigen protocollen kan hebben die onzichtbaar zijn voor standaard hulpprogramma's voor IT-controle. Aanvallers maken vaak misbruik van deze technologieën door systemen op het internet te ontdekken die risico's lopen, toegang te krijgen via aanmeldingsgegevens van medewerkers of misbruik te maken van de toegang die is verleend aan externe leveranciers en aannemers. Onbewaakte ICS-protocollen zijn een veelvoorkomend toegangspunt voor specifieke aanvallen op OT (Microsoft Digital Defense Report 2022).
Om de unieke uitdaging aan te gaan van het beheren van IoT- en OT-beveiliging in dit gemengde continuüm van verschillende apparaten die op verschillende manieren zijn verbonden met het IT-netwerk, volgen beveiligingsleiders deze best practices:
1. Uitgebreide zichtbaarheid van apparaten verkrijgen.
Inzicht in alle assets die je in een netwerk hebt, hoe alles met elkaar verbonden is en de bedrijfsrisico's en blootstelling die bij elk verbindingspunt komen kijken, is een essentiële basis voor effectief IoT-/OT-beheer. Een oplossing voor netwerkdetectie- en reactie (NDR) die zich bewust is van IoT en OT, en een SIEM zoals Microsoft Sentinel kunnen je ook helpen een beter overzicht te krijgen van IoT-/OT-apparaten op je netwerk en ze te bewaken op afwijkend gedrag, zoals communicatie met onbekende hosts. (Voor meer informatie over het beheren van ICS-protocollen die risico lopen in OT, zie 'The Unique Security Risk of IOT Devices', Microsoft Security).
Inzicht in alle assets die je in een netwerk hebt, hoe alles met elkaar verbonden is en de bedrijfsrisico's en blootstelling die bij elk verbindingspunt komen kijken, is een essentiële basis voor effectief IoT-/OT-beheer. Een oplossing voor netwerkdetectie- en reactie (NDR) die zich bewust is van IoT en OT, en een SIEM zoals Microsoft Sentinel kunnen je ook helpen een beter overzicht te krijgen van IoT-/OT-apparaten op je netwerk en ze te bewaken op afwijkend gedrag, zoals communicatie met onbekende hosts. (Voor meer informatie over het beheren van ICS-protocollen die risico lopen in OT, zie 'The Unique Security Risk of IOT Devices', Microsoft Security).
2. Segmenteer netwerken en implementeer Zero Trust-principes.
Segmenteer waar mogelijk netwerken om laterale verplaatsing te voorkomen in het geval van een aanval. IoT-apparaten en OT-netwerken moeten air-gapped zijn of via firewalls zijn geïsoleerd van het IT-netwerk van het bedrijf. Het is daarnaast ook belangrijk om ervan uit te gaan dat je OT en IT zijn geconvergeerd en om Zero Trust-protocollen op te stellen voor de volledige kwetsbaarheid voor aanvallen. Netwerksegmentatie is steeds vaker niet haalbaar. Voor gereguleerde organisaties, zoals de Gezondheidszorg, nutsbedrijven en productiebedrijven, is de connectiviteit tussen OT en IT bijvoorbeeld essentieel voor de bedrijfsfunctie. Neem bijvoorbeeld mammografiemachines of slimme MRI's die verbinding maken met systemen voor elektronische patiëntendossiers (EHR), slimme productielijnen of waterzuivering die op afstand moeten worden bewaakt. In deze gevallen is Zero Trust cruciaal.
Segmenteer waar mogelijk netwerken om laterale verplaatsing te voorkomen in het geval van een aanval. IoT-apparaten en OT-netwerken moeten air-gapped zijn of via firewalls zijn geïsoleerd van het IT-netwerk van het bedrijf. Het is daarnaast ook belangrijk om ervan uit te gaan dat je OT en IT zijn geconvergeerd en om Zero Trust-protocollen op te stellen voor de volledige kwetsbaarheid voor aanvallen. Netwerksegmentatie is steeds vaker niet haalbaar. Voor gereguleerde organisaties, zoals de Gezondheidszorg, nutsbedrijven en productiebedrijven, is de connectiviteit tussen OT en IT bijvoorbeeld essentieel voor de bedrijfsfunctie. Neem bijvoorbeeld mammografiemachines of slimme MRI's die verbinding maken met systemen voor elektronische patiëntendossiers (EHR), slimme productielijnen of waterzuivering die op afstand moeten worden bewaakt. In deze gevallen is Zero Trust cruciaal.
3. Hygiëne van IoT/OT-beveiligingsbeheer implementeren.
Beveiligingsteams kunnen de hiaten dichten door een aantal standaard hygiëne-activiteiten zoals:
Beveiligingsteams kunnen de hiaten dichten door een aantal standaard hygiëne-activiteiten zoals:
- Onnodige internetverbindingen en open poorten elimineren, toegang op afstand beperken of weigeren en VPN-diensten gebruiken
- De beveiliging van apparaten beheren door patches toe te passen en standaardwachtwoorden en poorten te wijzigen
- Ervoor zorgen dat ICS-protocollen niet rechtstreeks aan het internet worden blootgesteld
Zie 'The Unique Risk of IoT/OT Devices' van Microsoft Security Insider, voor bruikbare begeleiding over hoe je dit niveau van inzicht en beheer kunt bereiken.
Bruikbare inzichten
1. Gebruik een oplossing voor netwerkdetectie en -reactie (NDR) die zich bewust is van IoT/OT en een oplossing voor Security Information and Event Management (SIEM)/Security Orchestration and Response (SOAR) om meer zicht te krijgen op IoT/OT-apparaten in je netwerk en om apparaten te controleren op afwijkend en niet-geautoriseerd gedrag, zoals communicatie met onbekende hosts
2. Beveilig engineering-stations door bewaking met EDR-oplossingen (eindpuntdetectie en -reactie)
3. Verminder de kwetsbaarheid voor aanvallen door onnodige internetverbindingen en open poorten te vermijden, externe toegang te beperken door poorten te blokkeren, externe toegang te weigeren en VPN-services te gebruiken
4. Zorg ervoor dat ICS-protocollen niet direct zichtbaar zijn op internet
5. Segmenteer netwerken om laterale verplaatsingen door aanvallers te beperken en het compromitteren van assets na het binnendringen te voorkomen. IoT-apparaten en OT-netwerken moeten worden geïsoleerd van de IT-netwerken van het bedrijf door middel van firewalls
6. Zorg ervoor dat apparaten robuust zijn door patches toe te passen, standaardwachtwoorden te wijzigen en poorten te gebruiken
7. Ga ervan uit dat je OT en IT zijn geconvergeerd en stel Zero Trust-protocollen op voor de kwetsbaarheid voor aanvallen
8. Zorg voor organisatorische afstemming tussen OT en IT door meer zichtbaarheid en teamintegratie te bevorderen
9. Volg altijd de beste beveiligingsmethoden voor IoT/OT op basis van informatie over fundamentele bedreigingen
Nu beveiligingsleiders de kans grijpen om hun digitale domein te stroomlijnen tegen de achtergrond van escalerende bedreigingen en de druk om meer te doen met minder resources, is de cloud in opkomst als het fundament van de moderne beveiligingsstrategie. Zoals we hebben gezien, zijn de voordelen van een cloudgerichte aanpak veel groter dan de risico's, vooral voor organisaties die best practices toepassen om hun cloudomgevingen te beheren door middel van een betrouwbare cloudbeveiligingsstrategie, uitgebreid postuurbeheer en specifieke tactieken om hiaten in de IoT-/OT-rand te dichten.
Houd onze volgende editie in de gaten voor meer beveiligingsanalyses en inzichten. Bedankt voor het lezen van de CISO Insider!
Zie 'The Unique Risk of IoT/OT Devices' van Microsoft Security Insider, voor bruikbare begeleiding over hoe je dit niveau van inzicht en beheer kunt bereiken.
Alle aangehaalde Microsoft-onderzoeken maken gebruik van onafhankelijke onderzoeksbureaus om contact op te nemen met beveiligingsprofessionals voor zowel kwantitatieve als kwalitatieve onderzoeken, waardoor privacybescherming en analytische nauwkeurigheid zijn gegarandeerd. Citaten en bevindingen in dit document zijn, tenzij anders aangegeven, het resultaat van Microsoft-onderzoeken.
Microsoft volgen