Aflați detalii direct de la experți din podcastul Investigarea amenințărilor Microsoft. Ascultați acum.
CISO Insider: Nr. 3
Bun venit la cel de-al treilea număr din seria CISO Insider. Mă numesc Rob Lefferts și conduc echipele de inginerie Microsoft Defender și Sentinel. Am lansat această serie în urmă cu un an, pentru a împărtăși detalii din discuțiile noastre cu o parte dintre semenii dvs., precum și din cercetarea și experiența noastră de lucru în prima linie a securității cibernetice.
Primele două numere au abordat amenințări în creștere, așa cum este ransomware-ul, și modul în care liderii în securitate folosesc automatizarea și oportunitățile de perfecționare pentru a răspunde eficient la aceste amenințări pe fondul actualei crize de personal calificat în domeniu. Cum directorii de securitate informatică sunt supuși unei presiuni și mai mari pentru a opera eficient în nesiguranța economică de astăzi, mulți caută să optimizeze folosind soluții în cloud și servicii de securitate gestionată integrate. În acest număr, aruncăm o privire asupra noilor priorități, pe măsură ce organizațiile trec la un model din ce în ce mai centrat pe cloud, aducând acolo tot ce ține de mediul lor digital, de la sisteme locale la dispozitive IoT.
Mediul cloud public vine cu o ofertă avantajoasă: securitate fundamentală solidă, plus rentabilitate, plus putere de calcul scalabilă, ceea ce îl face să fie o resursă cheie într-o perioadă în care bugetele sunt limitate. Dar cu acest triplu beneficiu vine și nevoia de a fi atenți la „golurile” care apar la intersecția dintre mediile cloud publice, private și sistemele locale. Analizăm ce fac liderii în securitate pentru a gestiona securitatea în spațiile liminale dintre dispozitivele din rețea, punctele finale, aplicații, cloud și serviciile gestionate. În cele din urmă, ne uităm la două tehnologii care reprezintă punctul culminant al aceste provocări de securitate, IoT și OT. Convergența acestor două tehnologii polarizate, una incipientă și una moștenită, ambele introduse în rețea fără o securitate adecvată încorporată, creează un perimetru poros, vulnerabil la atacuri.
Numărul 3 tratează aceste trei priorități de securitate centrate pe cloud:
Da, mediul cloud este securizat, dar dvs. vă gestionați mediul cloud într-un mod securizat?
Adoptarea mediului cloud a accelerat pe măsură ce organizațiile au căutat noi metode eficiente de a răspunde la constrângerile economice și lipsa de personal calificat. Directorii de securitate informatică au încredere în serviciile cloud publice pentru securitatea lor fundamentală, dar siguranța mediului cloud depinde de abilitatea clientului de a gestiona interfața dintre mediul cloud public și infrastructura privată. Analizăm cum astupă liderii în securitate golurile cu o strategie de securitate solidă în cloud, de exemplu, securizându-și sarcinile de lucru și aplicațiile în cloud cu instrumente precum gestionarea posturii în cloud și protecția aplicațiilor native în cloud (CNAPP).
O postură de securitate cuprinzătoare începe cu vizibilitatea și se încheie cu gestionarea riscurilor pe bază de priorități.
Odată cu adoptarea accelerată a mediul cloud, apar noi servicii, puncte finale, aplicații și dispozitive. Pe lângă o strategie pentru gestionarea punctelor esențiale de conexiune în cloud, directorii de securitate informatică recunosc nevoia unei coordonări și vizibilități mai mari în amprenta lor digitală în continuă creștere, o nevoie pentru gestionarea cuprinzătoare a posturii. Ne uităm la modul în care liderii în securitate își extind abordarea, de la prevenirea atacurilor (care este în continuare cea mai bună apărare, atâta timp cât funcționează) la gestionarea riscurilor prin instrumente de gestionare cuprinzătoare a posturii, care ajută la inventarierea activelor și modelarea riscurilor în afaceri și, bineînțeles, controlul accesului și al identității.
Bazați-vă pe Zero Trust și igienă pentru a îmblânzi mediul extrem de divers și hiperconectat în rețea al IoT și OT.
Creșterea exponențială a dispozitivelor IoT și OT conectate continuă să prezinte provocări de securitate, mai ales din cauza dificultății reconcilierii tehnologiilor, care constau într-un amestec de instrumente de la terți, native în cloud și echipament moștenit adaptat ulterior pentru rețele. Proiecția actuală este că numărul de dispozitive IoT globale va ajunge la 41,6 miliarde până în 2025, creând o suprafață de atac extinsă pentru atacatorii care folosesc astfel de dispozitive ca puncte de intrare pentru atacuri cibernetice. Aceste dispozitive tind să fie vizate ca puncte de vulnerabilitate într-o rețea. Este posibil ca ele să fi fost introduse ad-hoc și conectate la rețeaua IT fără o îndrumare clară din partea echipei de securitate, să fi fost dezvoltate fără o securitate fundamentală de către o terță parte sau să fie gestionate inadecvat de echipa de securitate din cauza provocărilor precum protocoalele proprii și cerințele de disponibilitate (OT). Aflați câți lideri IT își îmbunătățesc strategia de securitate IoT/OT pentru a naviga acest perimetru plin de goluri.
Da, mediul cloud este securizat, dar dvs. vă gestionați mediul cloud într-un mod securizat?
Într-o perioadă cu bugete limitate și crize de personal, ofertele cloud vin cu multe beneficii: rentabilitate, resurse scalabile la infinit, instrumente de ultimă generație și o protecție a datelor care prezintă mai multă încredere decât simt liderii în securitate că ar putea obține local. În timp ce directorii de securitate informatică obișnuiau să vadă resursele cloud ca pe un compromis între expunerea mai mare la riscuri și rentabilitatea mai bună, majoritatea liderilor în securitate cu care vorbim astăzi au adoptat mediul cloud ca fiind noua normă. Aceștia au încredere în securitatea fundamentală solidă a tehnologiei cloud: „Mă aștepta ca furnizorii de servicii cloud să aibă totul în ordine în ceea ce privește gestionarea identităților și accesului, securitatea sistemului și securitatea lor fizică”, a spus un director de securitate informatică.
Dar, așa cum recunosc majoritatea liderilor în securitate, securitatea fundamentală a mediului cloud nu garantează că datele dvs. sunt securizate. Protecția datelor în cloud depinde într-o foarte mare măsură de modul în care sunt implementate serviciile cloud alături de sistemele locale și tehnologia autohtonă. Riscul apare în golurile dintre cloud și granița tradițională a organizației, politici și tehnologii folosite pentru a securiza mediul cloud. Pot să apară configurații eronate, ceea ce expune organizațiile și le face să depindă de echipele de securitate pentru identificarea și astuparea acelor goluri.
„Un număr mare de breșe sunt din cauza configurațiilor eronate, fie că cineva configurează greșit ceva sau modifică ceva ce permite scurgerea datelor.”
Utilități – Apă, 1.390 de angajați
Până în 2023, 75% dintre breșele de securitate în cloud vor fi provocate de gestionarea inadecvată a identităților, accesului și privilegiilor, în creștere de la 50% cât era în 2020 (Configurarea eronată și vulnerabilitățile sunt cele mai mari riscuri în securitatea mediului cloud: Raport | CSO Online). Provocarea există nu în securitatea mediului cloud în sine, ci în politicile și controalele folosite pentru a securiza accesul. Așa cum spune un director de securitate informatică pentru servicii financiare, „Securitatea mediului cloud este foarte bună atunci când este implementată corect. Mediul cloud în sine și componentele sale sunt securizate. Dar intervine apoi configurarea: îmi scriu codul cum trebuie? Îmi setez corect conectorii din întreprindere?” Un alt lider în securitate rezumă provocarea astfel: „Configurarea eronată a serviciilor cloud este cea care expune serviciile în fața actorilor de amenințare.” Pe măsură ce tot mai mulți lideri în securitate devin conștienți de riscurile unei configurații eronate în cloud, conversația despre securitatea mediului cloud s-a mutat de la „Este securizat mediul cloud?” la „Folosesc mediul cloud într-un mod securizat?”
Ce înseamnă folosirea mediul cloud într-un mod securizat? Mulți dintre liderii cu care am vorbit abordează strategia de securitate în cloud de la zero, începând cu erorile umane care expun organizația la riscuri precum breșele în identitate și configurațiile eronate. Acest lucru este în concordanță cu recomandările noastre – securizarea identităților și gestionarea adaptativă a accesului lor sunt absolut fundamentale pentru orice strategie de securitate cloud.
Pentru cei care încă sunt în dubiu, aceste date ar putea fi de ajutor: McAfee a raportat că 70% dintre înregistrările expuse, adică 5,4 miliarde, au fost compromise din cauza portalurilor și serviciilor configurate eronat. Gestionarea accesului prin controale de identitate și implementarea unei igiene de securitate solide pot ajuta mult la astuparea golurilor. De asemenea, McAfee a raportat că 70% dintre înregistrările expuse, adică 5,4 miliarde, au fost compromise din cauza portalurilor și serviciilor configurate eronat. Gestionarea accesului prin controale de identitate și implementarea unei igiene de securitate solide pot ajuta mult la astuparea golurilor.
O strategie de securitate solidă în cloud implică aceste cele mai bune practici:
1. Implementați o strategie cap-coadă pentru protecția aplicațiilor native în cloud (CNAPP): Gestionarea securității cu instrumente fragmentate poate duce la unghiuri moarte și costuri mai ridicate. Este esențial să aveți o platformă all-in-one care vă permite să înglobați securitatea din cod în cloud pentru a reduce suprafața de atac totală a mediului cloud și a automatiza protecția împotriva amenințărilor. Strategia CNAPP implică cele mai bune practici, după cum urmează:
a. Stabiliți securitatea ca prioritate de la început în DevOps. Securitatea poate fi pierdută din vedere în goana dezvoltării aplicațiilor cloud. Dezvoltatorii sunt motivați să rezolve rapid o problemă de business și este posibil să nu aibă abilități de securitate în cloud. Drept urmare, aplicațiile se pot extinde fără regulile corespunzătoare de autorizare a datelor. API-urile au devenit o țintă principală pentru hackeri întrucât, deseori, organizațiile nu pot ține evidența lor, dată fiind rata dezvoltării aplicațiilor cloud. Gartner identifică „expansiunea API” ca pe o problemă în creștere, preconizând că până în 2025, mai puțin de jumătate dintre API-urile de întreprindere vor fi gestionate (Gartner). Prin urmare, este esențial să se implementeze o strategie DevSecOps cât mai repede posibil.
b. Întăriți postura de securitate în cloud și corectați configurațiile eronate. Configurarea greșită reprezintă cea mai comună cauză a breșelor în cloud – consultați principalele configurații eronate de securitate ale Alianței pentru securitate în cloud . Deși cea mai comună temere de care auzim este lăsarea resurselor de stocare la îndemâna publicului, directorii de securitate cibernetică citează și alte zone neglijate: dezactivarea monitorizării și a înregistrării în jurnal, permisiuni excesive, copii de backup neprotejate etc. Criptarea este un obstacol important împotriva gestionării greșite și este esențială pentru a reduce riscul ransomware. Instrumentele de gestionare a posturii de securitate în cloud oferă o altă linie de apărare, monitorizând resursele cloud în ceea ce privește expunerile și configurațiile eronate înainte să fie creată o breșă, pentru a vă putea reduce în mod proactiv suprafața de atac.
c. Automatizați detectarea, răspunsul și analiza incidentelor. Identificarea și corectarea configurațiilor eronate reprezintă un lucru extraordinar, dar mai trebuie și să ne asigurăm că avem la îndemână instrumentele și procesele pentru detectarea atacurilor care trec de liniile de apărare. Aici pot ajuta instrumentele de gestionare pentru detectarea amenințărilor și răspuns.
d. Gestionați accesul cum trebuie. Autentificarea multifactor, sign-on unic, controlul accesului pe bază de roluri, gestionarea permisiunilor și certificările ajută la gestionarea celor mai mari două riscuri asupra securității cloud: utilizatorul și proprietățile digitale configurate eronat. Cea mai bună practică în gestiunea drepturilor din infrastructura cloud (CIEM) este cel mai redus acces. Unii lideri se bazează pe o soluție de gestiune a drepturilor sau a accesului la identitate pentru a pune la punct controale de securitate active. Un lider în servicii financiare apelează la agentul de securitate pentru acces în cloud (CASB) ca „mecanism de protecție cheie” pentru a gestiona serviciile SaaS ale organizației și pentru a menține controlul asupra utilizatorilor și datelor. CASB se comportă ca un intermediar între utilizatori și aplicațiile cloud, oferind vizibilitate și impunând acțiuni de guvernanță prin intermediul politicilor. CASB se comportă ca un intermediar între utilizatori și aplicațiile cloud, oferind vizibilitate și impunând acțiuni de guvernanță prin intermediul politicilor.
O platformă pentru protecția aplicațiilor native în cloud ca cea oferită în Microsoft Defender pentru Cloud nu doar că oferă vizibilitate asupra resurselor din mai multe medii cloud, ci oferă și protecție la toate nivelurile mediului, în timp ce monitorizează amenințările și corelează avertizările în incidente care se integrează cu tehnologia dvs. SIEM. Acest lucru simplifică investigațiile și vă ajută echipele SOC să rămână cu un pas în fața avertizărilor dintre platforme.
Un strop de prevenție, prin astuparea golurilor în ceea ce privește identitatea și configurarea eronată, împreună cu instrumente solide pentru răspuns la atacuri ajută mult la securizarea întregului mediu cloud, de la rețeaua corporativă la servicii cloud.
O postură de securitate cuprinzătoare începe cu vizibilitatea și se încheie cu gestionarea riscurilor pe bază de priorități.
Trecerea la IT centrat pe cloud nu doar că expune organizația la goluri de implementare, ci și la o gamă extinsă de active de rețea (dispozitive, aplicații, puncte finale), precum și la sarcini de lucru expuse în cloud. Liderii în securitate își gestionează postura în acest mediu lipsit de perimetru cu tehnologii care oferă vizibilitate și răspuns cu prioritate. Aceste instrumente ajută organizațiile să mapeze un inventar de active care acoperă întreaga suprafață de atac, cu dispozitive gestionate și negestionate atât din interiorul, cât și din exteriorul rețelei organizației. Folosind aceste resurse, directorii de securitate informatică pot evalua postura de securitate a fiecărui activ, precum și rolul acestuia în afacere, pentru a dezvolta un model de risc cu priorități.
În conversațiile noastre cu liderii în securitate, vedem o evoluție de la securitatea pe bază de perimetru la o abordare pe baza posturii de securitate în care se adoptă un ecosistem fără margini.
Așa cum spune un director de securitate informatică, „Pentru mine, postura se reduce la identitate... Nu ne uităm la ea din vechea postură tradițională unde se află perimetrul, ci mult mai departe, până la punctul final.” (Utilități – Apă, 1.390 de angajați). „Identitatea a devenit noul perimetru”, spune un director de securitate informatică dintr-un FinTech, care continuă întrebând retoric: „Ce înseamnă identitatea în acest nou model în care nu mai există înăuntru și în afară?” (FinTech, 15.000 de angajați).
Dat fiind acest mediu poros, directorii de securitate informatică înțeleg urgența gestionării cuprinzătoare a posturii, dar mulți se întreabă dacă au resursele și maturizarea digitală pentru a pune această viziune în pratică. Din fericire, printr-o combinație de cadre de lucru consacrate în industrie (actualizate pentru nevoile de astăzi) și inovații în securitate, gestionarea cuprinzătoare a posturii este accesibilă pentru majoritatea organizațiilor.
Folosiți instrumente în infrastructura cloud care vă permit să faceți un inventar al activelor. Apoi, vedeți care dintre ele sunt esențiale, care prezintă cel mai ridicat risc pentru organizație, înțelegeți care sunt vulnerabilitățile potențiale ale acestor dispozitive și decideți dacă acest lucru este acceptabil: trebuie să-i aplic corecții sau să-l izolez?
Ken Malcolmson, consilier executiv în probleme de securitate, Microsoft
Iată câteva dintre cele mai bune practici și instrumente pe care liderii în securitate le folosesc pentru a-și gestiona postura într-un mediu deschis, axat pe cloud:
1. Obțineți vizibilitate completă cu un inventar al activelor.
Vizibilitatea este primul pas în gestionarea holistică a posturii. Directorii de securitate informațională se întreabă: „Ca prim pas, știm măcar tot ce avem? Avem mai întâi de toate vizibilitate, înainte de a trece la gestionare?” Un inventar al activelor riscante include active IT, de exemplu, rețele și aplicații, baze de date, servere, proprietăți cloud, precum și activele de date și IP stocate pe această infrastructură digitală. Majoritatea platformelor, precum Microsoft 365 sau Azure, au înglobate instrumente de inventariere a activelor care vă pot ajuta să începeți.
Vizibilitatea este primul pas în gestionarea holistică a posturii. Directorii de securitate informațională se întreabă: „Ca prim pas, știm măcar tot ce avem? Avem mai întâi de toate vizibilitate, înainte de a trece la gestionare?” Un inventar al activelor riscante include active IT, de exemplu, rețele și aplicații, baze de date, servere, proprietăți cloud, precum și activele de date și IP stocate pe această infrastructură digitală. Majoritatea platformelor, precum Microsoft 365 sau Azure, au înglobate instrumente de inventariere a activelor care vă pot ajuta să începeți.
2. Evaluați vulnerabilitatea și analizați riscul.
Odată ce o organizație are un inventar complet de active, poate analiza riscul atât în raport cu vulnerabilitățile interne, cât și cu amenințările externe. Acest pas se bazează în mare măsură pe context și este unic pentru fiecare organizație. O evaluare credibilă a riscurilor depinde de un parteneriat solid între echipele de securitate, de date și IT. Această echipă multidisciplinară valorifică în analiza sa instrumentele automatizate pentru punctajul de risc și stabilirea priorităților, de exemplu, instrumentele pentru stabilirea priorităților în funcție de risc integrate în Microsoft Entra ID, Microsoft Defender XDR și Microsoft 365. Tehnologiile automatizate pentru punctajul de risc și stabilirea priorităților pot încorpora și îndrumarea experților pentru remedierea deficiențelor sau și/sau informații contextuale pentru un răspuns eficient în fața amenințărilor.
Odată ce o organizație are un inventar complet de active, poate analiza riscul atât în raport cu vulnerabilitățile interne, cât și cu amenințările externe. Acest pas se bazează în mare măsură pe context și este unic pentru fiecare organizație. O evaluare credibilă a riscurilor depinde de un parteneriat solid între echipele de securitate, de date și IT. Această echipă multidisciplinară valorifică în analiza sa instrumentele automatizate pentru punctajul de risc și stabilirea priorităților, de exemplu, instrumentele pentru stabilirea priorităților în funcție de risc integrate în Microsoft Entra ID, Microsoft Defender XDR și Microsoft 365. Tehnologiile automatizate pentru punctajul de risc și stabilirea priorităților pot încorpora și îndrumarea experților pentru remedierea deficiențelor sau și/sau informații contextuale pentru un răspuns eficient în fața amenințărilor.
3. Stabiliți priorități pentru nevoile de securitate și legate de riscuri prin modelarea riscurilor în afaceri.
Având o înțelegere clară a peisajului riscurilor, echipele tehnice pot lucra cu liderii de afaceri pentru a stabili prioritatea intervențiilor de securitate în raport cu nevoile afacerii. Aveți în vedere rolul fiecărui activ, valoarea sa pentru afacere și riscul pentru afacere dacă este compromis, punând întrebări precum „Cât de confidențiale sunt aceste informații și care ar fi impactul asupra afacerii dacă ar fi expuse?” sau „În ce măsură sunt aceste sisteme esențiale pentru desfășurarea activității? Care ar fi impactul unei întreruperi a activității lor pentru afacere?” Microsoft oferă instrumente care asistă la identificarea completă a vulnerabilităților și stabilirea priorităților conform modelării riscurilor în afaceri, inclusiv Scor de securitate Microsoft, Scor de conformitate Microsoft, Scor de securitate Azure, Gestionarea suprafeței de atac externe Microsoft Defender și Gestiunea vulnerabilităților Microsoft Defender.
Având o înțelegere clară a peisajului riscurilor, echipele tehnice pot lucra cu liderii de afaceri pentru a stabili prioritatea intervențiilor de securitate în raport cu nevoile afacerii. Aveți în vedere rolul fiecărui activ, valoarea sa pentru afacere și riscul pentru afacere dacă este compromis, punând întrebări precum „Cât de confidențiale sunt aceste informații și care ar fi impactul asupra afacerii dacă ar fi expuse?” sau „În ce măsură sunt aceste sisteme esențiale pentru desfășurarea activității? Care ar fi impactul unei întreruperi a activității lor pentru afacere?” Microsoft oferă instrumente care asistă la identificarea completă a vulnerabilităților și stabilirea priorităților conform modelării riscurilor în afaceri, inclusiv Scor de securitate Microsoft, Scor de conformitate Microsoft, Scor de securitate Azure, Gestionarea suprafeței de atac externe Microsoft Defender și Gestiunea vulnerabilităților Microsoft Defender.
4. Creați o strategie de gestionare a posturii.
Inventarul de active, analiza riscurilor și modelarea riscurilor în afaceri formează baza unei gestionări cuprinzătoare a posturii. Această vizibilitate și aceste detalii ajută echipa de securitate să determine cum pot fi alocate cel mai bine resursele, ce măsuri de fortificare trebuie aplicate și cum se poate optimiza compromisul între risc și utilitate pentru fiecare segment de rețea.
Inventarul de active, analiza riscurilor și modelarea riscurilor în afaceri formează baza unei gestionări cuprinzătoare a posturii. Această vizibilitate și aceste detalii ajută echipa de securitate să determine cum pot fi alocate cel mai bine resursele, ce măsuri de fortificare trebuie aplicate și cum se poate optimiza compromisul între risc și utilitate pentru fiecare segment de rețea.
Soluțiile de gestionare a posturii oferă analiza vulnerabilităților și a vizibilității pentru ca organizațiile să poată înțelege unde să-și concentreze eforturile de îmbunătățire a posturii. Cu aceste detalii, pot identifica și stabili ca prioritare zonele importante din suprafața lor de atac.
Bazați-vă pe Zero Trust și igienă pentru a îmblânzi mediul extrem de divers și hiperconectat în rețea al IoT și OT
Cele două provocări despre care am discutat, golul de implementare în cloud și înmulțirea dispozitivelor conectate la cloud, creează furtuna de risc perfectă în mediile dispozitivelor IoT și OT. Pe lângă riscul inerent al unei suprafețe de atac extinse prin dispozitivele IoT și OT, liderii în securitate îmi spun că încearcă să raționalizeze convergența dintre strategiile pentru OT moștenite și IoT incipiente. Deși IoT este nativ în cloud, deseori, aceste dispozitive au ca prioritate promptitudinea și nu securitatea fundamentală. Pe de altă parte, tehnologia operațională (OT) constă în general din echipament moștenit gestionat de furnizor, dezvoltat fără securitate modernă și introdus ad-hoc în rețeaua IT a organizației.
Dispozitivele IoT și OT ajută organizațiile să modernizeze spațiile de lucru, să se bazeze mai mult pe date și să ușureze cerințele pentru personal prin schimbări strategice, cum ar fi automatizarea și gestionarea de la distanță. International Data Corporation (IDC) estimează că vor exista 41,6 miliarde de dispozitive IoT conectate până în 2025, o rată de creștere care o depășește pe cea a dispozitivelor IT tradiționale.
Dar, cu această oportunitate, vin și riscuri semnificative. Raportul nostru Semnale cibernetice din decembrie 2022, Convergența dintre IT și tehnologia operațională, a analizat riscurile pe care le pun aceste tehnologii asupra infrastructurii critice.
Printre principalele concluzii se numără și următoarele:
1. 75% dintre cele mai comune controlere industriale din rețelele OT ale clienților au vulnerabilități grave, fără corecții aplicate.
2. Din 2020 în 2022, a crescut cu 78% numărul dezvăluirilor vulnerabilităților grave din echipamentul de control industrial produs de furnizori cunoscuți.
3. Multe dispozitive care sunt vizibile public pe internet rulează software neacceptat. De exemplu, software-ul învechit Boa este încă des folosit în dispozitive IoT și kituri de dezvoltare software (SDK).
Deseori, dispozitivele IoT reprezintă cea mai slabă verigă din mediul digital. Întrucât nu sunt gestionate, actualizate sau corectate în același mod ca dispozitivele tradiționale, acestea pot fi folosite convenabil pe post de gateway de către atacatorii care caută să se infiltreze în rețeaua IT. Odată accesate, dispozitivele IoT sunt vulnerabile la executări de cod de la distanță. Un atacator poate obține controlul și poate exploata vulnerabilitățile pentru a implanta rețele de boți sau malware în orice dispozitiv IoT. În acel moment, dispozitivul poate deveni o ușă deschisă către întreaga rețea.
Dispozitivele cu tehnologie operațională prezintă un risc și mai sinistru, multe fiind critice pentru funcționarea organizației. Concepute să fie offline sau izolate fizic de rețeaua IT corporativă, rețelele OT sunt din ce în ce mai îmbinate cu sistemele IT și IoT. Studiul nostru din noiembrie 2021 realizat cu Institutul Ponemon, Starea securității cibernetice IoT/OT în întreprinderi, a descoperit că mai mult de jumătate dintre rețelele OT sunt acum conectate la rețelele IT corporative (de business). O proporție similară de firme, 56%, au dispozitive conectate la internet în rețeaua lor OT pentru scenarii precum accesul de la distanță.
„Aproape fiecare atac pe care l-am văzut în ultimul an a început de la accesul inițial la o rețea IT, care a fost valorificat în mediul OT.”
David Atch, Investigarea amenințărilor Microsoft, Directorul departamentului de cercetare în materie de securitate IoT/OT
Conectivitatea tehnologiei operaționale (OT) expune organizațiile la riscul unor întreruperi majore în cazul unui atac. Deseori, tehnologia operațională este în nucleul afacerii, ceea ce le oferă atacatorilor o țintă tentantă pe care o pot exploata pentru a provoca daune semnificative. Dispozitivele însele pot fi ținte ușoare, întrucât implică adesea echipament moștenit sau dezafectat care nu a fost conceput să fie securizat, datează dinainte să existe practicile de securitate moderne și pot avea protocoale proprii care se sustrag instrumentelor de monitorizare IT standard în ceea ce privește vizibilitatea. Atacatorii tind să exploateze aceste tehnologii descoperind sisteme expuse conectate la internet, obținând acces la informațiile de conectare ale angajaților sau exploatând accesul acordat furnizorilor și colaboratorilor terți. Protocoalele ICS nemonitorizate reprezintă un punct de intrare comun pentru atacurile specifice OT (Raportul de protecție digitală Microsoft din 2022).
Pentru a aborda provocarea unică a gestionării securității IoT și OT în acest continuum amestecat de dispozitive conectate în moduri diferite la rețeaua IT, liderii în securitate urmează cele mai bune practici, și anume:
1. Obțineți o vizibilitate completă a dispozitivelor.
Fundația esențială pentru gestionarea eficientă IoT/OT constă în înțelegerea tuturor activelor pe care le aveți în rețea, cum este interconectat totul, precum și expunerea și riscul în afaceri implicate în fiecare punct de conexiune. O soluție de detectare și răspuns de rețea (NDR) receptivă la IoT/OT și un SIEM ca Microsoft Sentinel pot, de asemenea, să vă ajute să obțineți o vizibilitate mai bună asupra dispozitivelor IoT/OT din rețea și să le monitorizați comportamentele anormale, cum ar fi comunicarea cu gazde necunoscute. (Pentru informații suplimentare despre gestionarea protocoalelor ICS expuse în OT, consultați „Riscul unic de securitate al dispozitivelor IoT”, Microsoft Security).
Fundația esențială pentru gestionarea eficientă IoT/OT constă în înțelegerea tuturor activelor pe care le aveți în rețea, cum este interconectat totul, precum și expunerea și riscul în afaceri implicate în fiecare punct de conexiune. O soluție de detectare și răspuns de rețea (NDR) receptivă la IoT/OT și un SIEM ca Microsoft Sentinel pot, de asemenea, să vă ajute să obțineți o vizibilitate mai bună asupra dispozitivelor IoT/OT din rețea și să le monitorizați comportamentele anormale, cum ar fi comunicarea cu gazde necunoscute. (Pentru informații suplimentare despre gestionarea protocoalelor ICS expuse în OT, consultați „Riscul unic de securitate al dispozitivelor IoT”, Microsoft Security).
2. Segmentați rețelele și implementați principii Zero Trust.
Oriunde este posibil, segmentați rețelele pentru a inhiba mișcarea laterală în cazul unui atac. Dispozitivele IoT și rețelele OT trebuie să fie izolate de rețeaua IT corporativă prin soluții firewall. Acestea fiind spuse, este la fel de important să presupuneți că tehnologia operațională și IT-ul converg și să dezvoltați protocoale Zero Trust pe toată suprafața de atac. Din ce în ce mai mult, segmentarea rețelei nu mai este fezabilă. Pentru organizațiile reglementate, așa cum sunt serviciile de sănătate, utilitățile și producția, conectivitatea OT-IT este esențială pentru funcția de business. Să luăm, de exemplu, aparatele pentru mamografii sau RMN-urile inteligente care se conectează la sistemele de înregistrări medicale electronice (EHR), liniile de producție inteligente sau sistemele de purificare a apei care necesită monitorizare de la distanță. În aceste cazuri, modelul Zero Trust este esențial.
Oriunde este posibil, segmentați rețelele pentru a inhiba mișcarea laterală în cazul unui atac. Dispozitivele IoT și rețelele OT trebuie să fie izolate de rețeaua IT corporativă prin soluții firewall. Acestea fiind spuse, este la fel de important să presupuneți că tehnologia operațională și IT-ul converg și să dezvoltați protocoale Zero Trust pe toată suprafața de atac. Din ce în ce mai mult, segmentarea rețelei nu mai este fezabilă. Pentru organizațiile reglementate, așa cum sunt serviciile de sănătate, utilitățile și producția, conectivitatea OT-IT este esențială pentru funcția de business. Să luăm, de exemplu, aparatele pentru mamografii sau RMN-urile inteligente care se conectează la sistemele de înregistrări medicale electronice (EHR), liniile de producție inteligente sau sistemele de purificare a apei care necesită monitorizare de la distanță. În aceste cazuri, modelul Zero Trust este esențial.
3. Implementați igiena gestionării securității IoT/OT.
Echipele de securitate pot astupa golurile prin câteva practici de igienă de bază, cum ar fi:
Echipele de securitate pot astupa golurile prin câteva practici de igienă de bază, cum ar fi:
- Eliminarea porturilor deschise și a conexiunilor la internet care nu sunt necesare, restricționarea sau refuzarea accesului de la distanță și utilizarea serviciilor VPN
- Gestionarea securității dispozitivelor prin aplicarea de corecții și modificarea parolelor și porturilor implicite
- Asigurați-vă că protocoalele ICS nu sunt expuse direct la internet
Pentru îndrumări practice despre cum puteți obține acest nivel de detalii și management, consultați „Riscul unic al dispozitivelor IoT/OT”, Microsoft Security Insider.
Detalii practice
1. Utilizați o soluție de detectare și răspuns de rețea (NDR) receptivă la IoT/OT și o soluție de management al evenimentelor și informațiilor de securitate (SIEM)/orchestrare și răspuns de securitate (SOAR) pentru a obține o vizibilitate mai bună asupra dispozitivelor IoT/OT din rețea și a monitoriza comportamentele anormale sau neautorizate pe dispozitive, cum ar fi comunicarea cu gazde necunoscute
2. Protejați stațiile de inginerie prin monitorizare cu soluții de detectare a punctelor finale și răspuns (EDR)
3. Reduceți suprafața de atac eliminând conexiunile la internet care nu sunt necesare și porturile deschise, restricționând accesul la distanță prin blocarea porturilor, refuzând accesul la distanță și utilizând servicii VPN
4. Asigurați-vă că protocoalele ICS nu sunt expuse direct la internet
5. Segmentați rețelele pentru a limita capacitatea unui atacator de a se mișca lateral și a compromite activele după intruziunea inițială. Dispozitivele IoT și rețelele OT trebuie să fie izolate de rețelele IT corporative prin soluții firewall
6. Asigurați-vă că dispozitivele sunt robuste aplicând corecții, modificând parolele și porturile implicite
7. Presupuneți că tehnologia operațională și IT-ul converg și dezvoltați protocoale Zero Trust în suprafața de atac
8. Asigurați alinierea organizației între tehnologia operațională (OT) și IT, promovând o vizibilitate mai bună și integrarea echipei
9. Urmați întotdeauna cele mai bune practici de securitate IoT/OT pe baza investigării fundamentale a amenințărilor
Pe măsură ce liderii în securitatea profită de oportunitatea de a-și simplifica mediul digital pe fondul amenințărilor în creștere și a presiunii de a face mai multe cu mai puține resurse, mediul cloud se detașează ca fundație a strategiei de securitate moderne. Așa cum am văzut, beneficiile unei abordări axate pe cloud depășesc riscurile, mai ales pentru organizațiile care aplică cele mai bune practici în gestionarea mediilor cloud printr-o strategie solidă de securitate în cloud, gestionarea cuprinzătoare a posturii și anumite tactici pentru astuparea golurilor din perimetrul IoT/OT.
Puteți găsi mai multe detalii și analize de securitate în următorul număr. Vă mulțumim pentru lectura CISO Insider!
Pentru îndrumări practice despre cum puteți obține acest nivel de detalii și management, consultați „Riscul unic al dispozitivelor IoT/OT”, Microsoft Security Insider.
Toate cercetările Microsoft menționate utilizează firme de cercetare independente pentru a contacta profesioniști din domeniul securității, atât pentru studii cantitative, cât și calitative, asigurând protecția confidențialității și rigoarea analitică. Citatele și concluziile incluse în acest document, cu excepția cazului în care se specifică altfel, au fost obținute în urma studiilor de cercetare Microsoft.
Urmăriți Microsoft