Posłuchaj opinii ekspertów w podkaście dotyczącym analizy zagrożeń Microsoft. Posłuchaj teraz.
CISO Insider: numer 3
Witamy w trzecim numerze z serii „CISO Insider”. Nazywam się Rob Lefferts i kieruję zespołem inżynierskim ds. rozwiązań Microsoft Defender i Sentinel. Rozpoczęliśmy tę serię około rok temu, aby udostępniać szczegółowe informacje z dyskusji z niektórymi z naszych klientów, a także z naszych własnych badań i doświadczeń związanych z pracą na pierwszej linii cyberbezpieczeństwa.
Pierwsze dwa numery dotyczyły eskalacji zagrożeń, takich jak oprogramowanie wymuszające okup (ransomware), oraz tego, jak liderzy ds. zabezpieczeń wykorzystują możliwości automatyzacji i podnoszenia umiejętności, aby zadbać o skuteczne reagowanie na te zagrożenia w obliczu ciągłego niedoboru specjalistów. Ponieważ dyrektorzy ds. bezpieczeństwa informacji są pod jeszcze większą presją, aby działać wydajniej w obliczu dzisiejszej niepewności gospodarczej, wielu z nich stara się wdrażać optymalizacje przy użyciu rozwiązań chmurowych i zintegrowanych zarządzanych usług zabezpieczeń. W tym numerze przyglądamy się wyłaniającym się priorytetom w zakresie bezpieczeństwa w miarę przechodzenia organizacji do modeli coraz bardziej skoncentrowanych na chmurze, wraz z całością infrastruktury cyfrowej organizacji, od systemów lokalnych po urządzenia IoT.
Chmura publiczna zapewnia potrójną korzyść w postaci silnych zabezpieczeń podstawowych, efektywności kosztowej i skalowalnego przetwarzania, co w czasach napiętych budżetów czyni ją kluczowym zasobem. Jednak tej potrójnej korzyści towarzyszy konieczność „pilnowania luk” powstających w wyniku łączenia chmury publicznej i chmur prywatnych oraz systemów lokalnych. Przyglądamy się temu, co robią liderzy ds. zabezpieczeń, aby zarządzać zabezpieczeniami w przestrzeniach granicznych między połączonymi siecią urządzeniami, punktami końcowymi, aplikacjami, chmurami i usługami zarządzanymi. Na koniec przyjrzymy się dwóm technologiom, które stanowią kluczową część tego wyzwania w zakresie zabezpieczeń: IoT i OT. Konwergencja tych dwóch spolaryzowanych technologii — pierwszej dopiero się rozwijającej i drugiej starszej, obu wprowadzonych do sieci bez odpowiednich wbudowanych zabezpieczeń — tworzy przenikalną krawędź podatną na ataki.
W trzecim numerze omawiamy trzy priorytety zabezpieczeń skoncentrowanych na chmurze:
Chmura jest bezpieczna, ale czy bezpiecznie zarządzasz swoim środowiskiem chmury?
Wdrażanie chmury przyspiesza, ponieważ organizacje poszukują nowych rozwiązań zwiększających wydajność w reakcji zarówno na ograniczenia ekonomiczne, jak i na niedobór specjalistów. Dyrektorzy ds. bezpieczeństwa informacji polegają w zakresie zabezpieczeń podstawowych na usługach chmury publicznej, ale chmura jest tylko tak bezpieczna, jak zdolność klienta do zarządzania interfejsem między chmurą publiczną a infrastrukturą prywatną. Przyglądamy się temu, jak liderzy ds. zabezpieczeń eliminują tę lukę za pomocą solidnej strategii bezpieczeństwa w chmurze — na przykład zabezpieczając aplikacje i obciążenia w chmurze przy użyciu narzędzi takich jak rozwiązanie do zarządzania stanem zabezpieczeń chmury i platforma ochrony aplikacji chmurowych (CNAPP).
Kompleksowy nadzór nad stanem zabezpieczeń zaczyna się od widoczności, a kończy na zarządzaniu ryzykiem opartym na priorytetach.
Wraz z przyspieszonym wdrażaniem chmury szybko wzrasta liczba usług, punktów końcowych, aplikacji i urządzeń. Oprócz konieczności stosowania strategii zarządzania krytycznymi punktami połączeń z chmurą, dyrektorzy ds. bezpieczeństwa informacji dostrzegają potrzebę zapewniania lepszej widoczności i koordynacji w ramach rosnącego zasięgu infrastruktury cyfrowej — potrzebę kompleksowego zarządzania stanem zabezpieczeń. Przyglądamy się temu, jak liderzy ds. zabezpieczeń rozszerzają stosowane podejście z samego tylko zapobiegania atakom (które wciąż jest najlepszą obroną, o ile jest skuteczne) do zarządzania ryzykiem za pomocą kompleksowych narzędzi do zarządzania stanem zabezpieczeń, które ułatwiają inwentaryzację zasobów i modelowanie ryzyka biznesowego — oraz oczywiście kontrolowanie tożsamości i dostępu.
Postaw na model Zero Trust i zasady higieny, aby okiełznać niezwykle zróżnicowane i hiperpołączone środowisko IoT i OT.
Wykładniczy wzrost liczby połączonych urządzeń IoT i OT nadal stwarza wyzwania w zakresie zabezpieczeń — szczególnie w obliczu trudności w pogodzeniu technologii stanowiących połączenie natywnych dla chmury narzędzi innych dostawców i starszego sprzętu zmodernizowanego w celu korzystania z sieci. Przewiduje się, że do 2025 roku liczba urządzeń IoT na świecie osiągnie 41,6 miliarda, co wytworzy rozszerzony obszar podatny na ataki przez agresorów wykorzystujących takie urządzenia jako punkty wejścia do cyberataków. Urządzenia te są zwykle atakowane jako wrażliwe na zagrożenia punkty w sieci. Często są to urządzenia dodane spontanicznie i połączone z siecią informatyczną bez wyraźnych wskazówek od zespołu ds. zabezpieczeń, opracowane bez zabezpieczeń podstawowych przez innego producenta albo niewłaściwie zarządzane przez zespół ds. zabezpieczeń ze względu na problemy, takie jak własnościowe protokoły i wymagania w zakresie dostępności (OT). Dowiedz się, ilu liderów ds. informatyki przeobraża obecnie strategię w zakresie zabezpieczeń IoT/OT, aby rozwiązać problemy tej najeżonej lukami krawędzi.
Chmura jest bezpieczna, ale czy bezpiecznie zarządzasz swoim środowiskiem chmury?
W czasach niedoboru specjalistów i napiętych budżetów chmura oferuje wiele korzyści — efektywność kosztową, nieskończenie skalowalne zasoby, najnowocześniejsze narzędzia i ochronę danych bardziej niezawodną, niż większość liderów ds. zabezpieczeń jest według ich własnego osądu w stanie zapewnić lokalnie. Mimo że w przeszłości dyrektorzy ds. bezpieczeństwa informacji postrzegali zasoby chmurowe jako kompromis między większym narażeniem na ryzyko a większą efektywnością kosztową, dla większości liderów ds. zabezpieczeń, z którymi dzisiaj rozmawiamy, chmura to nowa normalność. Ufają oni solidnym zabezpieczeniom podstawowym technologii chmury: „Oczekuję, że dostawcy usług w chmurze mają dobrze uporządkowane kwestie zarządzania tożsamością i dostępem, bezpieczeństwa systemów i bezpieczeństwa fizycznego” — stwierdza jeden z dyrektorów ds. bezpieczeństwa informacji.
Jednak jak zdaje sobie z tego sprawę większość liderów ds. zabezpieczeń, zabezpieczenia podstawowe chmury nie gwarantują bezpieczeństwa danych klientów — ochrona danych klienta w chmurze w dużej mierze zależy od sposobu wdrożenia usług w chmurze w dopasowaniu do systemów lokalnych i technologii własnej. Ryzyko powstaje w obszarach luk między chmurą a tradycyjnymi granicami organizacyjnymi, zasad i technologii używanych do zabezpieczania chmury. Niektóre konfiguracje są niepoprawne i często narażają one organizacje na ryzyko oraz skazują je na zależność od zespołów ds. zabezpieczeń w zakresie identyfikowania i eliminowania luk.
„Duża liczba naruszeń wynika z niepoprawnej konfiguracji, przypadkowego niepoprawnego skonfigurowania czegoś lub zmiany czegoś, co umożliwia wyciek danych”.
Usługi komunalne — woda, 1390 pracowników
Do 2023 roku 75% naruszeń bezpieczeństwa w chmurze będzie spowodowanych niewłaściwym zarządzaniem tożsamościami, dostępem i uprawnieniami — w porównaniu z 50% w 2020 roku (Niepoprawna konfiguracja i luki w zabezpieczeniach to największe czynniki ryzyka w bezpieczeństwie chmury: raport | CSO Online). Źródłem wyzwania nie są zabezpieczenia samej chmury, lecz zasady i mechanizmy kontroli stosowane do zabezpieczenia dostępu. Jak to ujął dyrektor ds. bezpieczeństwa informacji z sektora usług finansowych: „Bezpieczeństwo w chmurze jest bardzo dobre, jeśli jest poprawnie wdrożone. Sama chmura i jej składniki są bezpieczne. Ale gdy przechodzimy do konfiguracji, pytamy: czy poprawnie piszę kod? Czy poprawnie konfiguruję łączniki w przedsiębiorstwie?” Inny lider ds. zabezpieczeń podsumowuje to wyzwanie: „To niepoprawna konfiguracja tych usług chmurowych otwiera dostęp do nich źródłom zagrożeń”. W miarę tego, jak coraz więcej liderów ds. zabezpieczeń zdaje sobie sprawę z czynników ryzyka związanych z niepoprawną konfiguracją chmury, dyskusja na temat bezpieczeństwa w chmurze przechodzi od pytania „Czy chmura jest bezpieczna?” do pytania „Czy bezpiecznie korzystam z chmury?”.
Co oznacza bezpieczne korzystanie z chmury? Wielu liderów, z którymi rozmawiam, podchodzi do strategii bezpieczeństwa w chmurze od podstaw, ograniczając niebezpieczeństwo błędów ludzkich, które narażają organizację na czynniki ryzyka, takie jak naruszenia tożsamości i niepoprawne konfiguracje. Jest to też zgodne z naszymi rekomendacjami — zabezpieczanie tożsamości i adaptacyjne zarządzanie ich dostępem są absolutnie fundamentalne w każdej strategii bezpieczeństwa w chmurze.
Tym, którzy wciąż się wahają, pomóc mogą następujące informacje: firma McAfee podała, że 70% ujawnionych rekordów — 5,4 miliarda — zostało naruszonych z powodu niepoprawnie skonfigurowanych usług i portali. Zarządzanie dostępem za pomocą mechanizmów kontroli tożsamości i wdrażanie rygorystycznych zasad higieny zabezpieczeń może znacząco pomóc w wyeliminowaniu luk. Podobnie firma McAfee podała, że 70% ujawnionych rekordów — 5,4 miliarda — zostało naruszonych z powodu niepoprawnie skonfigurowanych usług i portali. Zarządzanie dostępem za pomocą mechanizmów kontroli tożsamości i wdrażanie rygorystycznych zasad higieny zabezpieczeń może znacząco pomóc w wyeliminowaniu luk.
Niezawodna strategia bezpieczeństwa w chmurze obejmuje następujące najlepsze rozwiązania:
1. Wdróż kompleksową strategię platformy ochrony aplikacji chmurowych (CNAPP): zarządzanie zabezpieczeniami za pomocą pofragmentowanych narzędzi może powodować powstawanie martwych punktów w ochronie i generować wyższe koszty. Używanie kompleksowej platformy umożliwiającej osadzanie zabezpieczeń od kodu po chmurę ma krytyczne znaczenie dla zmniejszenia ogólnego obszaru podatnego na ataki w chmurze i zautomatyzowania ochrony przed zagrożeniami. Strategia CNAPP obejmuje następujące najlepsze rozwiązania:
a. Od samego początku priorytetowo traktuj zabezpieczenia w DevOps. W obliczu pośpiechu związanego z opracowywaniem aplikacji w chmurze zabezpieczenia mogą zejść na dalszy plan. Deweloperzy są zmotywowani do szybkiego rozwiązywania problemów biznesowych i może brakować im umiejętności w zakresie bezpieczeństwa w chmurze. Może to prowadzić do rozprzestrzeniania się aplikacji bez odpowiednich reguł autoryzacji dostępu do danych. Interfejsy API stały się ważnym celem hakerów, ponieważ w obliczu tempa rozwoju aplikacji w chmurze organizacje często nie są w stanie ich monitorować. Firma Gartner wskazała „rozrost interfejsów API” jako rosnący problem i przewiduje, że do 2025 roku mniej niż połowa korporacyjnych interfejsów API będzie zarządzana (Gartner). Dlatego kluczowe jest jak najszybsze wdrożenie strategii DevSecOps.
b. Wzmocnij stan zabezpieczeń chmury i napraw niepoprawne konfiguracje. Niepoprawne konfiguracje są najczęstszą przyczyną naruszeń w chmurze — zapoznaj się z zestawionymi przez Cloud Security Alliance najczęstszymi niepoprawnymi konfiguracjami ustawień grup zabezpieczeń. Choć najczęstszą obawą, o jakiej słyszymy, jest pozostawienie zasobów magazynu dostępnych publicznie, dyrektorzy ds. bezpieczeństwa informacji wymieniają też inne obszary zaniedbań: wyłączone monitorowanie i rejestrowanie, nadmierne uprawnienia, niechronione kopie zapasowe itp. Ważne zabezpieczenie przed niepoprawnym zarządzaniem stanowi szyfrowanie i ma ono krytyczne znaczenie dla zmniejszenia ryzyka ataku z użyciem oprogramowania wymuszającego okup (ransomware). Narzędzia do zarządzania stanem zabezpieczeń chmury zapewniają kolejną linię obrony poprzez monitorowanie zasobów chmury pod kątem narażenia na zagrożenia i niepoprawnych konfiguracji, zanim nastąpi naruszenie, dzięki czemu można proaktywnie zmniejszać obszar podatny na ataki.
c. Zautomatyzuj wykrywanie zdarzeń, reagowanie na nie i ich analizowanie. Identyfikowanie i naprawianie niepoprawnych konfiguracji jest ważne, ale należy też zadbać o wdrożenie narzędzi i procesów umożliwiających wykrycie ataków, które przebiją się przez obronę. W tym właśnie pomocne są narzędzia do wykrywania zagrożeń i do zarządzania reakcjami na nie.
d. Zadbaj o odpowiednie zarządzanie dostępem. Uwierzytelnianie wieloskładnikowe, logowanie jednokrotne, kontrola dostępu na podstawie ról, zarządzanie uprawnieniami i certyfikaty pomagają w zarządzaniu dwoma największymi czynnikami ryzyka w obszarze bezpieczeństwa w chmurze: użytkownikiem i niepoprawnie skonfigurowanymi właściwościami cyfrowymi. Zasada najmniejszego poziomu dostępu to najlepsze rozwiązanie w zakresie zarządzania uprawnieniami do infrastruktury chmury (CIEM). Niektórzy liderzy wprowadzają aktywne mechanizmy kontroli zabezpieczeń, opierając się na rozwiązaniach do zarządzania dostępem tożsamości lub zarządzania upoważnieniami. Jeden z liderów z sektora usług finansowych używa brokera zabezpieczeń dostępu do chmury (CASB) jako „kluczowego mechanizmu zabezpieczającego” do zarządzania usługami SaaS organizacji oraz utrzymywania kontroli nad użytkownikami i danymi. Ten broker CASB pełni rolę pośrednika między użytkownikami a aplikacjami w chmurze, zapewniając widoczność i egzekwując działania związane z nadzorem za pomocą zasad. Ten broker CASB pełni rolę pośrednika między użytkownikami a aplikacjami w chmurze, zapewniając widoczność i egzekwując działania związane z nadzorem za pomocą zasad.
Platforma ochrony aplikacji chmurowych (CNAPP), taka jak ta oferowana w usłudze Microsoft Defender dla Chmury, zapewnia nie tylko wgląd w zasoby w wielu chmurach, ale też ochronę we wszystkich warstwach środowiska przy jednoczesnym monitorowaniu pod kątem zagrożeń i korelowaniu alertów ze zdarzeniami integrowanymi z używanym rozwiązaniem SIEM. Usprawnia to badanie zdarzeń i pomaga zespołom SOC w zapanowaniu nad międzyplatformowymi alertami.
Połączenie zapobiegania — przez wyeliminowanie luk w obsłudze tożsamości i niepoprawnych konfiguracji — z niezawodnymi narzędziami do reagowania na ataki znacznie zwiększa bezpieczeństwo całego środowiska chmury, od sieci przedsiębiorstwa po usługi w chmurze.
Kompleksowy nadzór nad stanem zabezpieczeń zaczyna się od widoczności, a kończy na zarządzaniu ryzykiem opartym na priorytetach.
Przejście na infrastrukturę informatyczną skoncentrowaną na chmurze naraża organizację na problemy wynikające nie tylko z luk powstałych wskutek implementacji, ale też z rozrostu zestawu zasobów sieciowych — urządzeń, aplikacji, punktów końcowych — oraz z wyeksponowania obciążeń w chmurze. Liderzy ds. zabezpieczeń zarządzają stanem zabezpieczeń w tym pozbawionym obwodu środowisku za pomocą technologii zapewniających widoczność i reagowanie oparte na priorytetach. Narzędzia te ułatwiają organizacjom mapowanie spisu zasobów obejmującego cały obszar podatny na ataki, w którym zawarte są urządzenia zarządzane i niezarządzane zarówno w sieci organizacji, jak i poza nią. Za pomocą tych zasobów dyrektorzy ds. bezpieczeństwa informacji mogą ocenić stan zabezpieczeń każdego zasobu oraz jego rolę w firmie, aby móc opracować model czynników ryzyka z określonymi priorytetami.
Z naszych rozmów z liderami ds. zabezpieczeń wyłania się obraz przechodzenia od zabezpieczeń opartych na sieci obwodowej w kierunku podejścia bazującego na stanie zabezpieczeń, w którym ekosystem jest pozbawiony granic.
Jak to ujął jeden z dyrektorów ds. bezpieczeństwa informacji: „Dla mnie stan zabezpieczeń sprowadza się do tożsamości... Nie postrzegamy tego w kategoriach starego, tradycyjnego stanu zabezpieczeń z obwodem, lecz przesuwamy uwagę aż do punktu końcowego”. (Usługi komunalne — woda, 1390 pracowników). „Tożsamość stała się nowym obwodem” — komentuje dyrektor ds. bezpieczeństwa informacji z sektora technologii finansowych, pytając: „Co oznacza tożsamość w tym nowym modelu, w którym nie ma części zewnętrznej ani wewnętrznej?”. (Technologie finansowe, 15 000 pracowników).
W związku z tym przenikalnym środowiskiem dyrektorzy ds. bezpieczeństwa informacji rozumieją pilną potrzebę kompleksowego zarządzania stanem zabezpieczeń, ale wielu z nich ma wątpliwości co do tego, czy mają zasoby i dojrzałość cyfrową pozwalające wcielić tę wizję w życie. Na szczęście dzięki połączeniu sprawdzonych w branży struktur (zaktualizowanych pod kątem współczesnych potrzeb) i innowacji w zakresie zabezpieczeń kompleksowe zarządzanie stanem zabezpieczeń jest w zasięgu większości organizacji.
Dodaj do swojej cyberinfrastruktury narzędzia umożliwiające inwentaryzację zasobów. Po drugie, przyjrzyj się temu, które z nich są krytyczne i które stanowią największe ryzyko dla organizacji, i ustal, jakie są potencjalne luki w zabezpieczeniach tych urządzeń, a następnie zdecyduj, czy jest to dopuszczalne — czy trzeba załatać te luki, czy je odizolować.
Ken Malcolmson, starszy doradca ds. bezpieczeństwa, Microsoft
Oto kilka najlepszych rozwiązań i narzędzi, które liderzy ds. zabezpieczeń wykorzystują do zarządzania stanem zabezpieczeń w otwartym środowisku skoncentrowanym na chmurze:
1. Zapewnij kompleksową widoczność dzięki inwentaryzacji zasobów.
Uzyskanie widoczności to pierwszy krok w całościowym zarządzaniu stanem zabezpieczeń. Dyrektorzy ds. bezpieczeństwa informacji pytają: „Czy w ramach pierwszego kroku w ogóle wiemy, czym dysponujemy? Czy w ogóle mamy widoczność, zanim przejdziemy do zarządzania?”. Spis zasobów wnoszących czynniki ryzyka obejmuje zasoby informatyczne, takie jak sieci i aplikacje, bazy danych, serwery, rozwiązania w chmurze, rozwiązania IoT, a także dane i zasoby własności intelektualnej przechowywane w tej infrastrukturze cyfrowej. Większość platform, takich jak Microsoft 365 czy Azure, zawiera wbudowane narzędzia do inwentaryzacji zasobów, które ułatwiają rozpoczęcie tego procesu.
Uzyskanie widoczności to pierwszy krok w całościowym zarządzaniu stanem zabezpieczeń. Dyrektorzy ds. bezpieczeństwa informacji pytają: „Czy w ramach pierwszego kroku w ogóle wiemy, czym dysponujemy? Czy w ogóle mamy widoczność, zanim przejdziemy do zarządzania?”. Spis zasobów wnoszących czynniki ryzyka obejmuje zasoby informatyczne, takie jak sieci i aplikacje, bazy danych, serwery, rozwiązania w chmurze, rozwiązania IoT, a także dane i zasoby własności intelektualnej przechowywane w tej infrastrukturze cyfrowej. Większość platform, takich jak Microsoft 365 czy Azure, zawiera wbudowane narzędzia do inwentaryzacji zasobów, które ułatwiają rozpoczęcie tego procesu.
2. Oceń poziom luk w zabezpieczeniach i przeanalizuj ryzyko.
Gdy organizacja ma już kompleksowy spis zasobów, można przeanalizować ryzyko w odniesieniu do zarówno wewnętrznych luk w zabezpieczeniach, jak i zagrożeń zewnętrznych. Ten krok zależy w dużej mierze od kontekstu i jest inny w przypadku każdej organizacji — uzyskanie niezawodnej oceny ryzyka wymaga silnego partnerstwa między zespołami ds. zabezpieczeń, informatycznym i danych. Ten wielofunkcyjny zespół wykorzystuje w analizie zautomatyzowane narzędzia do ustalania priorytetów i oceniania ryzyka — na przykład narzędzia do ustalania priorytetów czynników ryzyka zintegrowane z usługami Tożsamość Microsoft Entra, Microsoft Defender XDR oraz platformą Microsoft 365. Technologie zautomatyzowanego ustalania priorytetów i oceniania ryzyka mogą też uwzględniać wytyczne ekspertów dotyczące ograniczania ryzyka wynikającego z luk oraz informacje kontekstowe umożliwiające skuteczne reagowanie na zagrożenia.
Gdy organizacja ma już kompleksowy spis zasobów, można przeanalizować ryzyko w odniesieniu do zarówno wewnętrznych luk w zabezpieczeniach, jak i zagrożeń zewnętrznych. Ten krok zależy w dużej mierze od kontekstu i jest inny w przypadku każdej organizacji — uzyskanie niezawodnej oceny ryzyka wymaga silnego partnerstwa między zespołami ds. zabezpieczeń, informatycznym i danych. Ten wielofunkcyjny zespół wykorzystuje w analizie zautomatyzowane narzędzia do ustalania priorytetów i oceniania ryzyka — na przykład narzędzia do ustalania priorytetów czynników ryzyka zintegrowane z usługami Tożsamość Microsoft Entra, Microsoft Defender XDR oraz platformą Microsoft 365. Technologie zautomatyzowanego ustalania priorytetów i oceniania ryzyka mogą też uwzględniać wytyczne ekspertów dotyczące ograniczania ryzyka wynikającego z luk oraz informacje kontekstowe umożliwiające skuteczne reagowanie na zagrożenia.
3. Ustal priorytety potrzeb w zakresie zabezpieczeń i ryzyka za pomocą modelowania ryzyka biznesowego.
Dysponując przejrzystym krajobrazem ryzyka, zespoły techniczne mogą we współpracy z liderami biznesowymi ustalić priorytety interwencji związanych z bezpieczeństwem w odniesieniu do potrzeb biznesowych. Należy rozważyć rolę każdego zasobu, jego wartość dla działalności oraz ryzyko dla firmy w przypadku jego naruszenia, zadając pytania typu: „Jak poufne są te informacje i jaki konsekwencje dla firmy będzie miało ich ujawnienie?” albo „Jak istotne dla działalności są te systemy — jakie będą skutki przestoju dla firmy?”. Firma Microsoft udostępnia narzędzia obsługujące kompleksową identyfikację i ustalanie priorytetów luk w zabezpieczeniach zgodnie z modelowaniem ryzyka biznesowego, w tym: Wskaźnik bezpieczeństwa Microsoft, Wskaźnik zgodności Microsoft, Wskaźnik bezpieczeństwa platformy Azure, Zarządzanie zewnętrznym obszarem podatnym na ataki w usłudze Microsoft Defender i Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Dysponując przejrzystym krajobrazem ryzyka, zespoły techniczne mogą we współpracy z liderami biznesowymi ustalić priorytety interwencji związanych z bezpieczeństwem w odniesieniu do potrzeb biznesowych. Należy rozważyć rolę każdego zasobu, jego wartość dla działalności oraz ryzyko dla firmy w przypadku jego naruszenia, zadając pytania typu: „Jak poufne są te informacje i jaki konsekwencje dla firmy będzie miało ich ujawnienie?” albo „Jak istotne dla działalności są te systemy — jakie będą skutki przestoju dla firmy?”. Firma Microsoft udostępnia narzędzia obsługujące kompleksową identyfikację i ustalanie priorytetów luk w zabezpieczeniach zgodnie z modelowaniem ryzyka biznesowego, w tym: Wskaźnik bezpieczeństwa Microsoft, Wskaźnik zgodności Microsoft, Wskaźnik bezpieczeństwa platformy Azure, Zarządzanie zewnętrznym obszarem podatnym na ataki w usłudze Microsoft Defender i Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
4. Opracuj strategię zarządzania stanem zabezpieczeń.
Inwentaryzacja zasobów, analiza ryzyka i model ryzyka biznesowego stanowią podstawę kompleksowego zarządzania stanem zabezpieczeń. Ta widoczność i szczegółowe informacje pomagają zespołowi ds. zabezpieczeń ustalić najlepszy sposób alokacji zasobów oraz to, jakie mechanizmy wzmacniające należy zastosować i jak zoptymalizować kompromis między ryzykiem a użytecznością dla poszczególnych segmentów sieci.
Inwentaryzacja zasobów, analiza ryzyka i model ryzyka biznesowego stanowią podstawę kompleksowego zarządzania stanem zabezpieczeń. Ta widoczność i szczegółowe informacje pomagają zespołowi ds. zabezpieczeń ustalić najlepszy sposób alokacji zasobów oraz to, jakie mechanizmy wzmacniające należy zastosować i jak zoptymalizować kompromis między ryzykiem a użytecznością dla poszczególnych segmentów sieci.
Rozwiązania do zarządzania stanem zabezpieczeń zapewniają widoczność i analizę luk w zabezpieczeniach, które ułatwiają organizacjom ustalenie, w jakich obszarach powinny skoncentrować działania na rzecz poprawy stanu zabezpieczeń. Dzięki tym szczegółowym informacjom mogą one zidentyfikować ważne segmenty w obszarze podatnym na ataki i potraktować je priorytetowo.
Postaw na model Zero Trust i zasady higieny, aby okiełznać niezwykle zróżnicowane i hiperpołączone środowisko IoT i OT
Dwa omówione przez nas wyzwania — luka powstała wskutek implementacji chmury i szybki wzrost liczby urządzeń połączonych z chmurą — skutkują nagromadzeniem się czynników ryzyka w środowiskach urządzeń IoT i OT. Oprócz radzenia sobie z wprowadzonym przez urządzenia IoT i OT ryzykiem nieodłącznie związanym z rozszerzonym obszarem podatnym na ataki, słyszę od liderów ds. zabezpieczeń, że próbują zracjonalizować konwergencję strategii dotyczących dopiero rozwijającej się technologii IoT i starszej technologii OT. Technologia IoT ma co prawda charakter natywny dla chmury, ale w tych urządzeniach często przedkłada się wygodę biznesową nad zabezpieczenia podstawowe. Natomiast technologia operacyjna (OT) to zwykle starszy sprzęt zarządzany przez dostawcę, opracowany bez nowoczesnych zabezpieczeń i dodawany do sieci informatycznej organizacji w sposób spontaniczny.
Urządzenia IoT i OT ułatwiają organizacjom modernizowanie obszarów roboczych, zwiększanie wykorzystania danych i odciążanie pracowników przez strategiczne przesunięcia, takie jak przechodzenie na zarządzanie zdalne i automatyzację. Firma International Data Corporation (IDC) szacuje, że do 2025 roku liczba połączonych z siecią urządzeń IoT wyniesie 41,6 miliarda, co oznacza tempo wzrostu przewyższające to dla tradycyjnych urządzeń informatycznych.
Jednak z tą szansą wiąże się znaczne ryzyko. W naszym raporcie Cyber Signals z grudnia 2022 roku, Konwergencja informatyki i technologii operacyjnej, przyjrzeliśmy się wytwarzanym przez te technologie czynnikom ryzyka dla infrastruktury krytycznej.
Oto kluczowe ustalenia:
1. W 75% najpopularniejszych sterowników przemysłowych w sieciach OT klientów występują niezałatane luki w zabezpieczeniach stanowiące duże ryzyko.
2. W latach 2020–2022 odnotowano wzrost na poziomie 78% liczby ujawnień luk w zabezpieczeniach stanowiących duże ryzyko w przemysłowych urządzeniach sterujących produkowanych przez popularnych dostawców.
3. Na wielu urządzeniach widocznych publicznie w Internecie działa oprogramowanie nieobjęte wsparciem. Na przykład w urządzeniach IoT i zestawach SDK jest nadal szeroko stosowane przestarzałe oprogramowanie Boa.
Urządzenia IoT często stanowią najsłabsze ogniwo w infrastrukturze cyfrowej. Ponieważ nie są one zarządzane, aktualizowane ani łatane za pomocą poprawek w taki sam sposób jak tradycyjne urządzenia informatyczne, mogą stanowić wygodne punkty wejścia dla atakujących chcących przedostać się do sieci informatycznej. Po uzyskaniu do nich dostępu urządzenia IoT często umożliwiają zdalne wykonywanie kodu. Atakujący może przejąć kontrolę nad urządzeniem IoT i wykorzystać luki w jego zabezpieczeniach, aby umieścić na nim botnety lub złośliwe oprogramowanie. Wskutek tego urządzenie może służyć jako otwarta brama do całej sieci.
Urządzenia technologii operacyjnej (OT) stwarzają jeszcze większe ryzyko, a wiele z nich ma krytyczne znaczenie dla funkcjonowania organizacji. Sieci OT, które w przeszłości były odłączone lub fizycznie odizolowane od sieci informatycznej przedsiębiorstwa, coraz częściej przenikają się z systemami informatycznymi i IoT. Z naszego badania przeprowadzonego w listopadzie 2021 roku przez Ponemon Institute, Stan cyberbezpieczeństwa IoT/OT w przedsiębiorstwie, wynika, że ponad połowa sieci OT jest obecnie połączona z sieciami informatycznymi przedsiębiorstw (biznesowymi). Podobny odsetek firm, 56%, ma w sieciach OT urządzenia połączone z Internetem na potrzeby obsługi na przykład dostępu zdalnego.
„Niemal wszystkie ataki, jakie zaobserwowaliśmy w zeszłym roku, zaczęły się od uzyskania dostępu do sieci informatycznej używanej w środowisku OT”.
David Atch, Centrum analizy zagrożeń Microsoft, kierownik. ds badań nad zabezpieczeniami IoT/OT
Łączność systemu OT naraża organizacje na ryzyko poważnych zakłóceń i przestojów w przypadku ataku. System OT jest często fundamentem działalności firmy, co czyni go dla atakujących kuszącym celem, który mogą wykorzystać do spowodowania znacznych szkód. Łatwym celem mogą być same urządzenia, ponieważ często jest to sprzęt starego typu lub przestarzały, którego nie zaprojektowano z zabezpieczeniami i który jest starszy niż nowoczesne rozwiązania zabezpieczające, a ponadto mogą być w nim używane własnościowe protokoły, które wymykają się widoczności generowanej za pomocą standardowych narzędzi do monitorowania infrastruktury informatycznej. Atakujący często wykorzystują te technologie, odnajdując widoczne z zewnątrz systemy połączone z Internetem, uzyskując dostęp za pomocą poświadczeń pracowników lub wykorzystując dostęp przyznany zewnętrznym dostawcom i wykonawcom. Jednym z częstych punktów wejścia w przypadku ataków charakterystycznych dla OT są niemonitorowane protokoły ICS (Raport firmy Microsoft na temat ochrony zasobów cyfrowych z 2022 roku).
Aby skutecznie radzić sobie z wyjątkowym wyzwaniem, jakim jest zarządzanie zabezpieczeniami IoT i OT w mieszanym środowisku różnych urządzeń na różne sposoby połączonych z siecią informatyczną, liderzy ds. zabezpieczeń stosują następujące najlepsze rozwiązania:
1. Zapewnij kompleksową widoczność dotyczącą urządzeń.
Uzyskanie przejrzystości co do wszystkich zasobów znajdujących się w sieci, tego, jak wszystkie one są ze sobą powiązane, oraz ryzyka biznesowego i narażenia na zagrożenia związanych z poszczególnymi punktami połączeń stanowi kluczową podstawę skutecznego zarządzania IoT/OT. Także obsługujące technologie IoT i OT rozwiązanie do wykrywania i reagowania w sieci (NDR) oraz rozwiązanie SIEM, takie jak Microsoft Sentinel, mogą pomóc w zapewnieniu bardziej szczegółowej widoczności dotyczącej urządzeń IoT/OT w sieci i w monitorowaniu ich pod kątem nietypowych zachowań, takich jak komunikowanie się z nieznanymi hostami. (Aby uzyskać więcej informacji na temat zarządzania wyeksponowanymi protokołami ICS w systemie OT, zobacz opracowanie „Unikatowe ryzyko dla bezpieczeństwa związane z urządzeniami IOT”, Microsoft Security).
Uzyskanie przejrzystości co do wszystkich zasobów znajdujących się w sieci, tego, jak wszystkie one są ze sobą powiązane, oraz ryzyka biznesowego i narażenia na zagrożenia związanych z poszczególnymi punktami połączeń stanowi kluczową podstawę skutecznego zarządzania IoT/OT. Także obsługujące technologie IoT i OT rozwiązanie do wykrywania i reagowania w sieci (NDR) oraz rozwiązanie SIEM, takie jak Microsoft Sentinel, mogą pomóc w zapewnieniu bardziej szczegółowej widoczności dotyczącej urządzeń IoT/OT w sieci i w monitorowaniu ich pod kątem nietypowych zachowań, takich jak komunikowanie się z nieznanymi hostami. (Aby uzyskać więcej informacji na temat zarządzania wyeksponowanymi protokołami ICS w systemie OT, zobacz opracowanie „Unikatowe ryzyko dla bezpieczeństwa związane z urządzeniami IOT”, Microsoft Security).
2. Podziel sieci na segmenty i stosuj zasady modelu Zero Trust.
Wszędzie tam, gdzie jest to możliwe, należy dzielić sieci na segmenty, aby uniemożliwić penetrację boczną w przypadku ataku. Urządzenia IoT i sieci OT powinny być odizolowane od sieci informatycznej przedsiębiorstwa za pomocą zapór. Jednocześnie należy koniecznie przyjąć założenie, że system OT i infrastruktura informatyczna są połączone, i opracować protokoły Zero Trust w obszarze podatnym na ataki. Segmentacja sieci jest w coraz większym stopniu trudna do zrealizowania. W przypadku organizacji podlegających regulacjom prawnym, takich jak instytucje opieki zdrowotnej, przedsiębiorstwa użyteczności publicznej i firmy produkcyjne, łączność między systemem OT a informatycznym ma kluczowe znaczenie dla działalności biznesowej — przykładem tego są mammografy lub inteligentne urządzenia do rezonansu magnetycznego łączące się z systemami elektronicznej dokumentacji medycznej (EHR) albo inteligentne linie produkcyjne czy systemy oczyszczania wody wymagające monitorowania zdalnego. W takich przypadkach model Zero Trust ma kluczowe znaczenie.
Wszędzie tam, gdzie jest to możliwe, należy dzielić sieci na segmenty, aby uniemożliwić penetrację boczną w przypadku ataku. Urządzenia IoT i sieci OT powinny być odizolowane od sieci informatycznej przedsiębiorstwa za pomocą zapór. Jednocześnie należy koniecznie przyjąć założenie, że system OT i infrastruktura informatyczna są połączone, i opracować protokoły Zero Trust w obszarze podatnym na ataki. Segmentacja sieci jest w coraz większym stopniu trudna do zrealizowania. W przypadku organizacji podlegających regulacjom prawnym, takich jak instytucje opieki zdrowotnej, przedsiębiorstwa użyteczności publicznej i firmy produkcyjne, łączność między systemem OT a informatycznym ma kluczowe znaczenie dla działalności biznesowej — przykładem tego są mammografy lub inteligentne urządzenia do rezonansu magnetycznego łączące się z systemami elektronicznej dokumentacji medycznej (EHR) albo inteligentne linie produkcyjne czy systemy oczyszczania wody wymagające monitorowania zdalnego. W takich przypadkach model Zero Trust ma kluczowe znaczenie.
3. Stosuj zasady higieny w zarządzaniu zabezpieczeniami IoT/OT.
Zespoły ds. zabezpieczeń mogą wyeliminować luki, stosując pewne podstawowe zasady higieny, takie jak:
Zespoły ds. zabezpieczeń mogą wyeliminować luki, stosując pewne podstawowe zasady higieny, takie jak:
- Wyeliminowanie niepotrzebnych połączeń internetowych i otwartych portów, ograniczenie lub zablokowanie dostępu zdalnego oraz stosowanie połączeń VPN
- Zarządzanie zabezpieczeniami urządzeń przez stosowanie poprawek oraz zmianę domyślnych haseł i portów
- Zadbanie o to, aby protokoły przemysłowych układów sterowania (ICS) nie były bezpośrednio eksponowane w Internecie
Aby uzyskać praktyczne wskazówki dotyczące zapewniania tego poziomu widoczności i zarządzania, zobacz opracowanie „Unikatowe ryzyko związane z urządzeniami IoT/OT”, Microsoft Security Insider.
Praktyczne wnioski
1. Korzystaj z obsługującego technologie IoT i OT rozwiązania do wykrywania i reagowania w sieci (NDR) oraz rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) bądź rozwiązania do orkiestracji zabezpieczeń i reagowania (SOAR), aby zapewnić bardziej szczegółową widoczność dotyczącą urządzeń IoT/OT w sieci i monitorować urządzenia pod kątem nietypowych lub nieautoryzowanych zachowań, takich jak komunikowanie się z nieznanymi hostami
2. Chroń stacje inżynieryjne, monitorując je za pomocą rozwiązań do wykrywania i reagowania w punktach końcowych (EDR)
3. Zmniejsz obszar podatny na ataki, eliminując niepotrzebne połączenia internetowe i otwarte porty, ograniczając dostęp zdalny przez blokowanie portów, odmawiając dostępu zdalnego i stosując usługi VPN
4. Zadbaj o to, aby protokoły przemysłowych układów sterowania (ICS) nie były eksponowane bezpośrednio w Internecie
5. Segmentuj sieci, aby ograniczyć zdolność atakujących do penetracji bocznej i naruszania zasobów po wtargnięciu. Urządzenia IoT i sieci OT powinny być odizolowane od sieci informatycznych przedsiębiorstwa za pomocą zapór
6. Zadbaj o niezawodność urządzeń, stosując poprawki oraz zmieniając domyślne hasła i porty
7. Przyjmij założenie, że system OT i infrastruktura informatyczna są połączone, i opracuj protokoły Zero Trust w obszarze podatnym na ataki
8. Zadbaj o zgodność organizacyjną między systemem OT i infrastrukturą informatyczną, promując większą widoczność i integrację między zespołami
9. Zawsze postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń IoT/OT na bazie podstawowej analizy zagrożeń
W miarę tego, jak liderzy ds. zabezpieczeń wykorzystują okazję do usprawnienia infrastruktury cyfrowej w obliczu eskalacji zagrożeń i presji, aby działać skuteczniej przy mniejszym wykorzystaniu zasobów, chmura staje się podstawą nowoczesnej strategii zabezpieczeń. Jak wykazaliśmy, korzyści płynące z podejścia skoncentrowanego na chmurze znacznie przewyższają czynniki ryzyka — szczególnie w przypadku organizacji, które stosują najlepsze rozwiązania w zakresie zarządzania środowiskami chmury za pomocą niezawodnej strategii bezpieczeństwa w chmurze, kompleksowego zarządzania stanem zabezpieczeń i konkretnych taktyk mających na celu wyeliminowanie luk na krawędzi IoT/OT.
Więcej analiz i szczegółowych informacji dotyczących zabezpieczeń przedstawimy w następnym numerze. Dziękujemy za czytanie „CISO Insider”!
Aby uzyskać praktyczne wskazówki dotyczące zapewniania tego poziomu widoczności i zarządzania, zobacz opracowanie „Unikatowe ryzyko związane z urządzeniami IoT/OT”, Microsoft Security Insider.
We wszystkich przytaczanych badaniach firmy Microsoft wykorzystano usługi niezależnych firm badawczych do kontaktowania się ze specjalistami ds. zabezpieczeń w celu przeprowadzenia badań ilościowych i jakościowych przy zapewnieniu ochrony prywatności i zachowaniu rygoru analitycznego. O ile nie wskazano inaczej, cytaty i ustalenia podane w tym dokumencie są wynikiem badań naukowych firmy Microsoft.
Obserwuj firmę Microsoft