Inscreva-se agora para assistir ao seminário na Web e fique por dentro dos insights do Relatório de Defesa Digital da Microsoft de 2024.
CISO Insider: Edição 3
Te desejo boas-vindas à nossa terceira edição da série CISO Insider. Meu nome é Rob Lefferts e eu lidero as equipes de engenharia do Microsoft Defender e Sentinel. Lançamos esta série há cerca de um ano para compartilhar insights das nossas conversas com alguns dos seus colegas, bem como da nossa própria pesquisa e experiência na linha de frente da segurança cibernética.
Nossas duas primeiras edições consideraram ameaças crescentes, como o ataque de ransomware, e como os líderes de segurança estão utilizando a automação e oportunidades de capacitação para responder de forma eficaz a essas ameaças, diante de uma escassez contínua de talentos. Com os CISOs (diretores de segurança da informação) enfrentando ainda mais pressão para operar de forma eficiente diante da incerteza econômica atual, muitos estão buscando otimizar o uso de soluções baseadas na nuvem e serviços integrados de segurança gerenciada. Nesta edição, exploramos as prioridades de segurança que estão surgindo à medida que as organizações se voltam cada vez mais para um modelo focado na nuvem, incorporando tudo, desde sistemas locais até dispositivos IoT, em seu patrimônio digital.
A nuvem pública oferece o triplo de benefícios: segurança básica sólida, eficiência de custos e computação escalável, tornando-a um recurso essencial em tempos de orçamentos apertados. No entanto, com essas vantagens, surge a necessidade de estar atento às vulnerabilidades que aparecem na conexão entre a nuvem pública, as nuvens privadas e os sistemas locais. Analisamos o que os líderes de segurança estão fazendo para gerenciar a segurança nos espaços limítrofes entre dispositivos conectados, pontos de extremidade, aplicativos, nuvens e serviços gerenciados. Por fim, examinamos duas tecnologias que representam o ápice desse desafio de segurança: IoT e OT. A convergência dessas duas tecnologias polarizadas — uma emergente e a outra legada, ambas introduzidas à rede sem segurança adequada — cria uma borda vulnerável a ataques.
A terceira edição aborda estas três prioridades de segurança centradas na nuvem:
A nuvem é segura, mas será que você está gerenciando seu ambiente na nuvem de maneira segura?
A adoção da nuvem acelerou à medida que as organizações buscam novas eficiências em resposta às restrições econômicas e à escassez de talentos. Os CISOs confiam nos serviços de nuvem pública por sua segurança básica, mas é importante destacar que a segurança da nuvem depende da capacidade do cliente em gerenciar a interface entre a nuvem pública e sua infraestrutura privada. Exploramos como os líderes de segurança estão mitigando as vulnerabilidades com uma estratégia sólida de segurança da nuvem. Por exemplo, ao proteger seus aplicativos e cargas de trabalho na nuvem com ferramentas como o gerenciamento de postura na nuvem e a plataforma de proteção de aplicativo nativo da nuvem (CNAPP).
Uma postura de segurança abrangente começa com visibilidade e termina com o gerenciamento de riscos priorizado.
Com a adoção acelerada da nuvem, observa-se a proliferação de serviços, pontos de extremidade, aplicativos e dispositivos. Além de uma estratégia para gerenciar os pontos críticos de conexão na nuvem, os CISOs estão reconhecendo a necessidade de maior visibilidade e coordenação em sua crescente pegada digital, ou seja, a necessidade de um gerenciamento de postura abrangente. Exploramos como os líderes de segurança estão expandindo suas abordagens, passando da prevenção de ataques (ainda a melhor defesa, enquanto funciona) para o gerenciamento de riscos através por meio de ferramentas de gerenciamento de postura abrangente que auxiliam com o inventário de ativos e a modelagem de risco empresarial, além do controle de identidade e acesso.
Recorra aos princípios de Confiança Zero e boas práticas de higiene para dominar o ambiente hiperconectado e diversificado de IoT & OT.
O crescimento exponencial dos dispositivos IoT e OT conectados continua a apresentar desafios de segurança. Principalmente pela dificuldade de integrar tecnologias que são uma mistura de ferramentas nativas da nuvem, de terceiros e equipamentos legados adaptados para rede. Estima-se que o número de dispositivos IoT globais alcance 41,6 bilhões até 2025, ampliando a superfície de ataque para invasores que usam tais dispositivos como pontos de entrada para ataques cibernéticos. Esses dispositivos costumam ser visados como pontos de vulnerabilidade em uma rede. Eles podem ter sido adicionados de forma improvisada e conectados à rede de TI sem orientação clara da equipe de segurança; desenvolvidos sem segurança básica por um terceiro; ou gerenciados de forma inadequada pela equipe de segurança devido a desafios como protocolos proprietários e requisitos de disponibilidade (OT). Descubra como muitos líderes de TI estão evoluindo suas estratégias de segurança IoT/OT para lidar com essa borda cheia de vulnerabilidades.
A nuvem é segura, mas será que você está gerenciando seu ambiente na nuvem de maneira segura?
Em uma época de escassez de talentos e orçamentos apertados, a nuvem oferece muitos benefícios: eficiência de custos, recursos infinitamente escaláveis, ferramentas de ponta e uma proteção de dados mais confiável do que a maioria dos líderes de segurança acredita ser possível alcançar em suas próprias instalações. Enquanto os CISOs costumavam ver os recursos na nuvem como um equilíbrio entre exposição ao risco e eficiência de custos, a maioria dos líderes de segurança com quem conversamos hoje considera a nuvem como o novo normal. Eles confiam na sólida segurança básica da tecnologia em nuvem: "Eu espero que os provedores de serviços de nuvem estejam com tudo em ordem em termos de gerenciamento de identidade e acesso, segurança do sistema e segurança física", diz um CISO.
No entanto, como muitos líderes de segurança reconhecem, a segurança básica da nuvem não garante por si só que seus dados estejam protegidos. A proteção dos seus dados na nuvem depende muito de como os serviços na nuvem são implementados em conjunto com sistemas locais e tecnologia desenvolvida internamente. Os riscos surgem nas vulnerabilidades entre a nuvem e o limite organizacional tradicional, as políticas e as tecnologias usadas para proteger a nuvem. Configurações incorretas ocorrem com frequência, deixando as organizações expostas e dependentes das equipes de segurança para identificar e mitigar essas vulnerabilidades.
"Um grande número de violações ocorre devido a configurações incorretas, alguém configurando algo por engano ou mudando algo que permite o vazamento dos dados".
Serviços públicos: água, 1.390 funcionários
Até 2023, 75% das violações de segurança da nuvem serão causadas por gerenciamento inadequado de identidades, acessos e privilégios, será um aumento de 50% em relação a 2020 (Configuração incorreta e vulnerabilidades são os maiores riscos na segurança da nuvem: Relatório | CSO Online). O desafio não está na segurança da nuvem em si, mas nas políticas e controles usados para garantir o acesso seguro. Como um CISO de serviços financeiros menciona: "a segurança da nuvem é muito boa se for implantada corretamente. A própria nuvem e seus componentes são seguros. Mas aí entra na questão da configuração: estou escrevendo meu código corretamente? Estou configurando meus conectores pela empresa da forma correta?" Outro líder de segurança resume o desafio: "A configuração incorreta desses serviços de nuvem é o que expõe os serviços aos atores de ameaças". À medida que mais líderes de segurança se conscientizam dos riscos das configurações incorretas na nuvem, o debate sobre a segurança da nuvem mudou de "A nuvem é segura?" para "Estou usando a nuvem de forma segura?"
O que significa usar a nuvem de forma segura? Muitos dos líderes com quem converso abordam a estratégia de segurança da nuvem desde a base, enfrentando os erros humanos que expõem a organização a riscos, como violações de identidade e configurações incorretas. Isso também está alinhado com as nossas recomendações: proteger identidades e gerenciar o acesso de forma adaptativa são fundamentais para qualquer estratégia de segurança da nuvem.
Para quem ainda está indeciso, talvez isso ajude: A McAfee relatou que 70% dos registros expostos (5,4 bilhões) foram comprometidos devido a serviços e portais configurados incorretamente. Gerenciar o acesso através de controles de identidade e implementar uma higiene de segurança eficaz pode ajudar muito a mitigar essas vulnerabilidades. De forma semelhante, a McAfee relatou que 70% dos registros expostos (5,4 bilhões) foram comprometidos devido a serviços e portais configurados incorretamente. Gerenciar o acesso através de controles de identidade e implementar uma higiene de segurança eficaz pode ajudar muito a mitigar essas vulnerabilidades.
Uma estratégia de segurança da nuvem robusta envolve estas práticas recomendadas:
1. Implemente uma estratégia de proteção de aplicativo nativo de nuvem (CNAPP) de ponta a ponta: Gerenciar a segurança com ferramentas fragmentadas pode causar pontos cegos na proteção e gerar custos mais altos. Ter uma plataforma multifuncional permite incorporar segurança do código à nuvem é essencial para reduzir a superfície de ataque na nuvem de forma geral e automatizar a proteção contra ameaças. A estratégia CNAPP envolve as seguintes práticas recomendadas:
a. Priorizar a segurança desde o início no DevOps. A segurança pode ser deixada de lado na pressa de desenvolver aplicativos na nuvem. Os desenvolvedores são incentivados a resolver problemas de negócios rapidamente e talvez não tenham habilidades de segurança na nuvem. Como resultado, aplicativos podem proliferar sem as regras de autorização de dados adequadas. As APIs se tornaram um alvo principal para os hackers, já que as organizações muitas vezes não conseguem acompanhar o ritmo de desenvolvimento dos aplicativos na nuvem. A Gartner identifica o "excesso de APIs" como um problema crescente, prevendo que até 2025, menos da metade das APIs empresariais serão gerenciadas (Gartner). Por isso, é crucial implementar uma estratégia de DevSecOps o mais rápido possível.
b. Reforçar a postura de segurança na nuvem e corrija configurações incorretas. Configurações incorretas são a causa mais comum de violações na nuvem — confira as configurações mais comuns de grupo da Cloud Security Alliance. Enquanto deixar recursos de armazenamento acessíveis ao público seja o receio mais comum que ouvimos, os CISOs também citam outras áreas neglicenciadas: monitoramento e registros em log desativados, permissões excessivas, backups desprotegidos, etc. A criptografia desempenha um papel crucial na proteção contra a má gestão, sendo essencial para diminuir os riscos de ransomware. As ferramentas de gerenciamento da postura de segurança na nuvem oferecem outra linha de defesa ao monitorar recursos na nuvem para exposições e configurações incorretas antes de acontecer uma violação, permitindo que você reduza proativamente a superfície de ataque.
c. Automatizar a detecção, resposta e análise de incidentes. A identificação e correção de configurações inadequadas é importante, mas também precisamos garantir que dispomos das ferramentas e processos necessários para detectar ataques que conseguem ultrapassar as barreiras de defesa. É aí que as ferramentas de detecção de ameaças e gerenciamento de respostas podem ajudar.
d. Acertar no gerenciamento de acessos. Autenticação multifator, logon único, controle de acesso baseado em função, gerenciamento de permissões e certificações são essenciais para gerenciar os dois maiores riscos para a segurança da nuvem: o usuário e propriedades digitais configuradas de forma incorreta. O acesso mínimo é uma das práticas recomendadas no gerenciamento de direitos de infraestrutura de nuvem (CIEM). Alguns líderes confiam em uma solução de gerenciamento de acesso de identidade ou gerenciamento de direitos para colocar controles de segurança ativos em prática. Um líder do setor de serviços financeiros conta com o agente de segurança de acesso à nuvem (CASB) como um "reforço de segurança" essencial para gerenciar os serviços SaaS da organização e manter controle sobre os usuários e dados. O CASB atua como intermediário entre os usuários e os aplicativos em nuvem, fornecendo visibilidade e aplicando ações de governança por meio de políticas. Ele serve como uma "Reforço de segurança" para gerenciar os serviços SaaS e manter o controle sobre os usuários e dados. O CASB atua como intermediário entre os usuários e os aplicativos em nuvem, fornecendo visibilidade e aplicando ações de governança por meio de políticas.
Uma plataforma de proteção de aplicativo nativo de nuvem como a oferecida pelo Microsoft Defender para Nuvem não só proporciona visibilidade em recursos multinuvem, mas também oferece proteção em todas as camadas do ambiente enquanto monitora ameaças e correlaciona alertas em incidentes que se integram ao SIEM. Isso facilita as investigações e ajuda as equipes do SOC a se manterem à frente dos alertas em todas as plataformas.
Prevenir é melhor do que remediar. Mitigar vulnerabilidades de identidade e configurações incorretas, aliadas a ferramentas robustas para resposta a ataques, contribui significativamente para a segurança de todo o ambiente na nuvem, desde a rede corporativa até os serviços de nuvem.
Uma postura de segurança abrangente começa com visibilidade e termina com o gerenciamento de riscos priorizado.
A mudança para uma TI centrada na nuvem não só expõe a organização a vulnerabilidades na implementação, mas também a uma variedade crescente de ativos em rede (dispositivos, aplicativos, pontos de extremidade), bem como a cargas de trabalho expostas na nuvem. Líderes de segurança estão gerenciando suas posturas neste ambiente sem perímetro com tecnologias que proporcionam visibilidade e resposta priorizada. Essas ferramentas ajudam as organizações a mapear um inventário de ativos que cobre toda a superfície de ataque, abrangendo dispositivos gerenciados e não gerenciados, dentro e fora da rede da organização. Com esses recursos, os CISOs podem avaliar a postura de segurança de cada ativo e o papel desses ativos nos negócios, permitindo desenvolver um modelo de risco priorizado.
Em nossas conversas com líderes de segurança, estamos observando uma evolução da segurança baseada no perímetro para uma abordagem baseada na postura de segurança que engloba um ecossistema sem fronteiras.
Como diz um CISO: "Para mim, a postura se resume à identidade… Não olhamos apenas para a antiga postura tradicional onde o perímetro está, mas movemos isso até o ponto de extremidade". (Serviços públicos: água, 1.390 funcionários). "A identidade se tornou o novo perímetro", comenta o CISO de uma FinTech, questionando: "O que significa identidade neste novo modelo onde não há limites externos e internos?" (FinTech, 15.000 funcionários).
Diante deste ambiente permeável, os CISOs compreendem a urgência de um gerenciamento de postura abrangente. Contudo, muitos questionam se possuem os recursos e a maturidade digital para colocar essa visão em prática. Felizmente, através de uma combinação de frameworks comprovados pela indústria (atualizados para as demandas atuais) e inovação em segurança, o gerenciamento de postura abrangente está ao alcance da maioria das organizações.
Incorpore ferramentas à sua infraestrutura cibernética que permitam realizar um inventário de ativos. Em seguida, identifique quais deles são críticos e apresentam maior risco para a organização, entenda quais são as potenciais vulnerabilidades desses dispositivos e decida se isso é aceitável. Será necessário corrigir ou isolar?
Ken Malcolmson, consultor executivo de segurança, Microsoft
Aqui estão algumas práticas recomendadas e ferramentas que líderes de segurança estão usando para gerenciar suas posturas em um ambiente aberto e centrado na nuvem:
1. Alcançar uma visibilidade abrangente com um inventário de ativos.
A visibilidade é o primeiro passo na gestão de postura holística. Os CISOs questionam: "Primeiramente, nós realmente sabemos tudo o que temos lá fora? Temos visibilidade antes de podermos gerenciar?" Um inventário de ativos de risco inclui ativos de TI como redes e aplicativos, bancos de dados, servidores, propriedades na nuvem, propriedades de IoT, bem como os dados e ativos de propriedade intelectual armazenados nessa infraestrutura digital. A maioria das plataformas, como Microsoft 365 ou Azure, incluem ferramentas integradas de inventário de ativos que podem ajudar no início desse processo.
A visibilidade é o primeiro passo na gestão de postura holística. Os CISOs questionam: "Primeiramente, nós realmente sabemos tudo o que temos lá fora? Temos visibilidade antes de podermos gerenciar?" Um inventário de ativos de risco inclui ativos de TI como redes e aplicativos, bancos de dados, servidores, propriedades na nuvem, propriedades de IoT, bem como os dados e ativos de propriedade intelectual armazenados nessa infraestrutura digital. A maioria das plataformas, como Microsoft 365 ou Azure, incluem ferramentas integradas de inventário de ativos que podem ajudar no início desse processo.
2. Avaliar vulnerabilidades e analisar riscos.
Uma vez que a organização possua um inventário abrangente de ativos, é possível analisar riscos em relação a vulnerabilidades internas e ameaças externas. Essa etapa depende muito do contexto e é única para cada organização. Por isso, uma avaliação de risco confiável requer uma forte parceria entre as equipes de segurança, TI e dados. Essa equipe multifuncional utiliza ferramentas automatizadas de pontuação e priorização de riscos em sua análise. Por exemplo, as ferramentas de priorização de riscos integradas no Microsoft Entra ID, Microsoft Defender XDR e Microsoft 365. Tecnologias de pontuação e priorização de riscos automatizadas também podem integrar orientações de especialistas para corrigir as vulnerabilidades, além de fornecer informações contextuais para uma resposta eficaz às ameaças.
Uma vez que a organização possua um inventário abrangente de ativos, é possível analisar riscos em relação a vulnerabilidades internas e ameaças externas. Essa etapa depende muito do contexto e é única para cada organização. Por isso, uma avaliação de risco confiável requer uma forte parceria entre as equipes de segurança, TI e dados. Essa equipe multifuncional utiliza ferramentas automatizadas de pontuação e priorização de riscos em sua análise. Por exemplo, as ferramentas de priorização de riscos integradas no Microsoft Entra ID, Microsoft Defender XDR e Microsoft 365. Tecnologias de pontuação e priorização de riscos automatizadas também podem integrar orientações de especialistas para corrigir as vulnerabilidades, além de fornecer informações contextuais para uma resposta eficaz às ameaças.
3. Priorizar riscos e necessidades de segurança com modelagem de risco empresarial.
Com uma compreensão clara do panorama de riscos, as equipes técnicas podem colaborar com líderes empresariais para priorizar intervenções de segurança de acordo com as necessidades dos negócios. Considere o papel de cada ativo, seu valor empresarial e o risco para os negócios se ele for comprometido, fazendo perguntas como: "Quão sensíveis são essas informações e qual seria o impacto para os negócios em caso de exposição?" ou "Quão críticos são esses sistemas e qual seria o impacto de um tempo de inatividade para a empresa?" A Microsoft oferece ferramentas para dar suporte a uma identificação e priorização abrangente de vulnerabilidades de acordo com a modelagem de risco empresarial, incluindo Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Gerenciamento da Superfície de Ataque Externo do Microsoft Defender e Gerenciamento de Vulnerabilidades do Microsoft Defender.
Com uma compreensão clara do panorama de riscos, as equipes técnicas podem colaborar com líderes empresariais para priorizar intervenções de segurança de acordo com as necessidades dos negócios. Considere o papel de cada ativo, seu valor empresarial e o risco para os negócios se ele for comprometido, fazendo perguntas como: "Quão sensíveis são essas informações e qual seria o impacto para os negócios em caso de exposição?" ou "Quão críticos são esses sistemas e qual seria o impacto de um tempo de inatividade para a empresa?" A Microsoft oferece ferramentas para dar suporte a uma identificação e priorização abrangente de vulnerabilidades de acordo com a modelagem de risco empresarial, incluindo Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Gerenciamento da Superfície de Ataque Externo do Microsoft Defender e Gerenciamento de Vulnerabilidades do Microsoft Defender.
4. Criar uma estratégia de gerenciamento de postura de segurança.
Um inventário de ativos, análise de riscos e um modelo de risco empresarial são fundamentais para um gerenciamento de postura amplo. Essa visibilidade e compreensão ajudam a equipe de segurança a decidir como melhor alocar recursos, quais medidas de reforço precisam ser aplicadas e como otimizar o equilíbrio entre risco e usabilidade para cada segmento da rede.
Um inventário de ativos, análise de riscos e um modelo de risco empresarial são fundamentais para um gerenciamento de postura amplo. Essa visibilidade e compreensão ajudam a equipe de segurança a decidir como melhor alocar recursos, quais medidas de reforço precisam ser aplicadas e como otimizar o equilíbrio entre risco e usabilidade para cada segmento da rede.
Soluções de gerenciamento de postura oferecem a visibilidade e análise de vulnerabilidades necessárias para as organizações entendam em quais áreas devem concentrar seus esforços para melhorar a postura. Com esse conhecimento, elas podem identificar e priorizar áreas críticas na superfície de ataque.
Recorra aos princípios de Confiança Zero e boas práticas de higiene para dominar o ambiente hiperconectado e diversificado de IoT e OT
Os dois desafios que discutimos, a vulnerabilidade na implementação da nuvem e a proliferação de dispositivos conectados à nuvem, estão criando um cenário de risco nos ambientes de dispositivos IoT e OT. Além do risco evidente de uma área de ataque ampliada introduzida por dispositivos IoT e OT, líderes de segurança contam que estão tentando racionalizar a convergência das estratégias de IoT que estão surgindo com as estratégias legadas de OT. IoT pode ser nativo da nuvem, mas esses dispositivos frequentemente priorizam a agilidade empresarial em detrimento da segurança fundamental; OT tende a ser equipamento legado gerenciado por fornecedores, desenvolvido sem segurança moderna e introduzido de forma improvisada na rede de TI da organização.
Dispositivos IoT e OT estão ajudando organizações a modernizar espaços de trabalho, tornarem-se mais orientadas a dados e reduzirem as demandas das equipes por meio de mudanças estratégicas como gerenciamento remoto e automação. A International Data Corporation (IDC) estima que haverá 41,6 bilhões de dispositivos IoT conectados até 2025, uma taxa de crescimento que supera a de dispositivos de TI tradicionais.
No entanto, junto com essa oportunidade, surge um risco significativo. Nosso relatório Cyber Signals de dezembro de 2022, A convergência de TI e tecnologia operacional, analisou os riscos para a infraestrutura crítica apresentados por essas tecnologias.
As principais descobertas incluem:
1. 75% dos controladores industriais mais comuns nas redes OT dos clientes têm vulnerabilidades de alta gravidade não corrigidas.
2. De 2020 a 2022, houve um aumento de 78% nas divulgações de vulnerabilidades de alta gravidade em equipamentos de controle industrial produzidos por fornecedores conhecidos.
3. Muitos dispositivos visíveis publicamente na internet estão executando softwares que não têm mais suporte. Por exemplo, o software desatualizado Boa ainda é amplamente utilizado em dispositivos IoT e Software Development Kits (SDKs).
Os dispositivos IoT frequentemente representam o elo mais fraco no patrimônio digital. Como não são gerenciados, atualizados ou corrigidos da mesma maneira que os dispositivos de TI tradicionais, eles podem servir como um gateway oportuno para invasores que buscam infiltrar-se na rede de TI. Uma vez acessados, os dispositivos IoT estão vulneráveis a execuções de código remoto. Um invasor pode assumir o controle e explorar vulnerabilidades para implantar botnets ou malware em um dispositivo IoT. A partir desse ponto, o dispositivo pode funcionar como uma porta aberta para toda a rede.
Dispositivos de Tecnologia Operacional (OT) apresentam um risco ainda mais grave, sendo muitos deles essenciais para a operação da organização. Historicamente desconectados ou isolados fisicamente da rede de TI corporativa, as redes de OT estão cada vez mais misturadas com os sistemas de TI e IoT. Nosso estudo de novembro de 2021, realizado com o Ponemon Institute, O estado da segurança cibernética de IoT/OT nas empresas, descobriu que mais da metade das redes de OT agora estão conectadas às redes de TI corporativas (negócios). Uma proporção similar de empresas, cerca de 56%, possuem dispositivos conectados à internet em suas redes de OT para cenários como acesso remoto.
"Quase todos os ataques que vimos no ano passado começaram com o acesso inicial a uma rede de TI que foi aproveitada no ambiente de OT".
David Atch, Informações sobre ameaças da Microsoft, diretor de pesquisa de segurança de IoT/OT
A conectividade de OT expõe organizações ao risco de grandes interrupções e tempo de inatividade em caso de ataque. Geralmente, a OT é fundamental para os negócios, fornecendo aos invasores um alvo tentador que eles podem explorar para causar danos significativos. Os próprios dispositivos podem ser alvos fáceis, pois muitas vezes envolvem equipamentos legados ou abandonados que não foram projetados com foco em segurança, uma vez que antecedem as práticas modernas de segurança. Além disso, esses dispositivos podem ter protocolos proprietários que não são detectados pelas ferramentas padrão de monitoramento de TI. Os invasores costumam explorar essas tecnologias descobrindo sistemas com expostos à internet, ganhando acesso por meio de credenciais de login de funcionários ou explorando o acesso concedido a fornecedores e contratados terceirizados. Protocolos ICS não monitorados são um ponto de entrada comum para ataques específicos a OT (Relatório de Defesa Digital da Microsoft de 2022).
Para enfrentar o desafio específico de gerenciar a segurança de IoT e OT nesse espectro diversificado de dispositivos conectados de diferentes maneiras à rede de TI, os líderes de segurança estão seguindo estas melhores práticas:
1. Alcance uma visibilidade completa dos dispositivos.
Compreender todos os ativos que presentes em uma rede, como tudo está interconectado e os riscos e exposições empresariais envolvidos em cada ponto de conexão é fundamental para um gerenciamento eficaz de IoT/OT. Uma solução de detecção e resposta de rede (NDR) atenta às necessidades de IoT e OT, assim como um SIEM como o Microsoft Sentinel, pode proporcionar uma visibilidade mais aprofundada dos dispositivos de IoT/OT na sua rede e monitorá-los em busca de comportamentos anômalos, como comunicações com hosts desconhecidos. (Para mais informações sobre como gerir os protocolos ICS expostos na OT, veja "O risco de segurança único dos dispositivos de IoT", Segurança da Microsoft).
Compreender todos os ativos que presentes em uma rede, como tudo está interconectado e os riscos e exposições empresariais envolvidos em cada ponto de conexão é fundamental para um gerenciamento eficaz de IoT/OT. Uma solução de detecção e resposta de rede (NDR) atenta às necessidades de IoT e OT, assim como um SIEM como o Microsoft Sentinel, pode proporcionar uma visibilidade mais aprofundada dos dispositivos de IoT/OT na sua rede e monitorá-los em busca de comportamentos anômalos, como comunicações com hosts desconhecidos. (Para mais informações sobre como gerir os protocolos ICS expostos na OT, veja "O risco de segurança único dos dispositivos de IoT", Segurança da Microsoft).
2. Segmente redes e adote os princípios de Confiança Zero.
Sempre que possível, segmente redes para inibir o movimentos laterais em caso de ataque. Os dispositivos de IoT e as redes de OT devem ser isolados ou separados da rede de TI corporativa através de firewalls. No entanto, também é importante considerar que suas redes OT e TI estão integradas e estabelecer protocolos de Confiança Zero em toda a superfície de ataque. A segmentação de rede está se tornando cada vez menos viável. Para organizações regulamentadas, como aquelas na área da saúde, serviços públicos e manufatura, a conectividade entre OT e TI é essencial para as funções empresariais. Por exemplo, máquinas de mamografia ou ressonâncias magnéticas inteligentes que se conectam a sistemas de registros de saúde eletrônicos (EHR), e linhas de produção inteligentes ou purificação de água que exigem monitoramento remoto. Nestes casos, a Confiança Zero é crucial.
Sempre que possível, segmente redes para inibir o movimentos laterais em caso de ataque. Os dispositivos de IoT e as redes de OT devem ser isolados ou separados da rede de TI corporativa através de firewalls. No entanto, também é importante considerar que suas redes OT e TI estão integradas e estabelecer protocolos de Confiança Zero em toda a superfície de ataque. A segmentação de rede está se tornando cada vez menos viável. Para organizações regulamentadas, como aquelas na área da saúde, serviços públicos e manufatura, a conectividade entre OT e TI é essencial para as funções empresariais. Por exemplo, máquinas de mamografia ou ressonâncias magnéticas inteligentes que se conectam a sistemas de registros de saúde eletrônicos (EHR), e linhas de produção inteligentes ou purificação de água que exigem monitoramento remoto. Nestes casos, a Confiança Zero é crucial.
3. Adote práticas de higiene no gerenciamento da segurança de IoT/OT.
As equipes de segurança podem mitigar as vulnerabilidades com algumas práticas básicas de higiene, como:
As equipes de segurança podem mitigar as vulnerabilidades com algumas práticas básicas de higiene, como:
- Eliminar conexões desnecessárias com a internet e portas abertas, restringir ou negar acesso remoto e usar serviços de VPN
- Gerenciar a segurança dos dispositivos aplicando patches e alterando senhas e portas padrão
- Garantir que os protocolos ICS não estejam expostos diretamente à Internet
Para orientações práticas sobre como alcançar este nível de percepção e gestão, confira "O risco específico dos dispositivos de IoT/OT", Microsoft Security Insider.
Insights acionáveis
1. Use uma solução de detecção e resposta de rede (NDR) adaptada para IoT/OT, juntamente com uma solução de gerenciamento de eventos e informações de segurança (SIEM) ou uma solução de orquestração e reposta de segurança (SOAR), para alcançar uma visibilidade mais detalhada sobre os dispositivos de IoT/OT na sua rede. Isso permite monitorá-los em busca de comportamentos anômalos ou não autorizados, como a comunicação com hosts desconhecidos
2. Proteja estações de engenharia monitorando com soluções de detecção e resposta em pontos de extremidade (EDR)
3. Reduza a superfície de ataque ao eliminar conexões desnecessárias com a Internet e portas abertas, restringindo o acesso remoto por meio do bloqueio de portas, negando acesso remoto e usando serviços de VPN
4. Garanta que os protocolos ICS não sejam expostos diretamente à Internet
5. Segmente as redes para limitar a capacidade de um invasor de se mover lateralmente e comprometer ativos após uma invasão inicial. Os dispositivos IoT e as redes OT devem ser isolados das redes de TI corporativas por meio de firewalls
6. Garanta a robustez dos dispositivos aplicando patches, alterando senhas e portas padrão
7. Parta do princípio de que suas redes de OT e TI estão integradas e desenvolva protocolos de Confiança Zero na sua superfície de ataque
8. Assegure o alinhamento organizacional entre OT e TI, promovendo maior visibilidade e integração entre as equipes
9. Adote sempre as melhores práticas de segurança de IoT/OT, fundamentadas em uma inteligência de ameaças bem difundida
À medida que os líderes de segurança buscam otimizar suas infraestruturas digitais em meio a ameaças crescentes e pressão para fazer mais com menos recursos, a nuvem está se consolidando como o alicerce da estratégia de segurança moderna. Como observamos, os benefícios de uma abordagem focada na nuvem superam significativamente os riscos, principalmente para organizações que adotam as melhores práticas para gerenciar seus ambientes na nuvem. Isso inclui uma estratégia de segurança da nuvem robusta, gerenciamento de postura abrangente e táticas específicas para mitigar as vulnerabilidades na borda IoT/OT.
Aguarde nossa próxima edição para mais análises e insights sobre segurança. Agradecemos por acompanhar o CISO Insider!
Para orientações práticas sobre como alcançar este nível de percepção e gestão, confira "O risco específico dos dispositivos de IoT/OT", Microsoft Security Insider.
Todas as pesquisas citadas da Microsoft contam com empresas de pesquisa independentes para entrar em contato com profissionais de segurança, tanto para estudos quantitativos quanto qualitativos. Isso é feito para assegurar a privacidade dos participantes e garantir uma análise rigorosa. As citações e descobertas incluídas neste documento, a menos que indicado de outra forma, são provenientes de resultados de estudos de pesquisa conduzidos pela Microsoft.
Siga a Segurança da Microsoft