Získajte prehľady priamo od odborníkov v podcaste Microsoft Analýza hrozieb. Vypočuť si.
CISO Insider: 3. vydanie
Vitajte v treťom vydaní seriálu článkov CISO Insider. Volám sa Rob Lefferts a vediem inžiniersky tím pre Microsoft Defender a Sentinel. Tento seriál článkov sme začali publikovať približne pred rokom, aby sme sa podelili o poznatky z debát s niektorými podobnými organizáciami, ako je tá vaša, ako aj o poznatky z nášho vlastného výskumu a skúsenosti s prácou v prednej línii kybernetickej bezpečnosti.
V prvých dvoch vydaniach sme sa venovali stupňujúcim sa hrozbám, ako napríklad ransomware, a tomu, ako lídri v oblasti zabezpečenia využívajú automatizáciu a možnosti zvyšovania kvalifikácie, aby mohli na tieto hrozby účinne reagovať napriek pretrvávajúcemu nedostatku talentov. Keďže manažéri informačnej bezpečnosti čelia ešte väčšiemu tlaku, aby zaistili efektívne fungovanie v dnešných časoch ekonomickej neistoty, mnohí sa snažia optimalizovať systémy pomocou cloudových riešení a integrovaných služieb spravovaného zabezpečenia. V tomto vydaní sa pozrieme na nové priority zabezpečenia v súčasnom kontexte, keď organizácie v čoraz väčšej miere prechádzajú na cloudový model, do ktorého si prenášajú celé svoje digitálne prostredie od lokálnych systémov až po zariadenia internetu vecí.
Verejný cloud ponúka tri výhody v jednom: silné základné zabezpečenie, nákladovú efektívnosť a škálovateľné výpočtové prostredie, čo z neho robí kľúčový zdroj v časoch uťahovania opaskov. S týmito troma silnými figúrkami v hre však treba zároveň dávať pozor na úskalia vznikajúce pri prepojení verejného a súkromného cloudu s lokálnymi systémami. Pozrieme sa na to, ako lídri v oblasti zabezpečenia spravujú zabezpečenie v priestoroch na hranici medzi sieťovými zariadeniami, koncovými bodmi, aplikáciami, cloudmi a spravovanými službami. Napokon si posvietime na dve technológie, pri ktorých výzvy v oblasti zabezpečenia kulminujú: Internet vecí (IoT) a prevádzkové technológie (OT). Zbližovaním týchto dvoch polarizovaných technológií – z ktorých jedna sa ešte stále rodí a druhá už má čo-to za sebou, no obe majú spoločný znak, a to chýbajúce primerané vstavané zabezpečenie pri ich integrovaní do siete – vzniká hrana plná „dier“, ktorá je zraniteľná voči útokom.
3. vydanie sa zameriava na tieto tri priority cloudového zabezpečenia:
Cloud ako taký je zabezpečený, ale spravujete bezpečne svoje cloudové prostredie aj vy?
Zavádzanie cloudu naberá na obrátkach, keďže organizácie hľadajú nové možnosti zvyšovania efektívnosti v reakcii na ekonomické obmedzenia a nedostatok talentov. Manažéri informačnej bezpečnosti majú voči verejným cloudovým službám dôveru, čo sa týka ich základného zabezpečenia, ale cloud je len taký zabezpečený, ako je zákazník schopný spravovať rozhranie medzi verejným cloudom a svojou súkromnou infraštruktúrou. Pozrime sa spoločne na to, ako lídri v oblasti zabezpečenia riešia nedostatky na základe silnej stratégie cloudového zabezpečenia – napríklad zabezpečením svojich cloudových aplikácií a workloadov pomocou nástrojov ako spravovanie úrovne cloudového zabezpečenia a platforma na ochranu natívnych cloudových aplikácií (CNAPP).
Komplexná úroveň zabezpečenia sa začína viditeľnosťou a končí sa prioritným riadením rizík.
S rýchlejším tempom zavádzania cloudu rastie aj počet služieb, koncových bodov, aplikácií a zariadení. Popri nevyhnutnosti stratégie na spravovanie kritických bodov pripojenia ku cloudu si manažéri informačnej bezpečnosti uvedomujú aj potrebu väčšej viditeľnosti a koordinácie v rámci rozširujúcej sa digitálnej prítomnosti – potrebu komplexného spravovania úrovne zabezpečenia. Pozrieme sa na to, ako lídri v oblasti zabezpečenia rozširujú svoj prístup a prevenciu útokov (ktorá je naďalej najlepšou obranou, pokiaľ funguje) dopĺňajú o riadenie rizík pomocou komplexných nástrojov na spravovanie úrovne zabezpečenia, ktoré pomáhajú pri inventarizácii aktív a modelovaní obchodných rizík a, samozrejme, pri správe identít a prístupu.
Stavte na nulovú dôveru (Zero Trust) a postupy ochrany, aby ste skrotili divoké vody nesúrodého, komplexne zosieťovaného prostredia IoT a OT.
Exponenciálny nárast počtu pripojených zariadení IoT a OT naďalej predstavuje výzvu v oblasti zabezpečenia – najmä vzhľadom na to, aké náročné je zosúladiť technológie, ktoré sú zmesou natívnych cloudových nástrojov, nástrojov tretích strán a starších zariadení upravených na pripojenie do siete. Predpokladá sa, že do roku 2025 dosiahne počet zariadení IoT na celom svete 41,6 miliardy, čím sa rozšíri priestor pre útočníkov, ktorí tieto zariadenia využívajú ako vstupné body pre kybernetické útoky. Tieto zariadenia totiž predstavujú zraniteľnosť v sieti a sú preto cieľom útokov. Stáva sa, že sa začnú používať ad hoc a sú pripojené k IT sieti bez konzultovania s tímom zabezpečenia, sú vyvinuté treťou stranou bez základného zabezpečenia alebo ich tím zabezpečenia nemôže primerane spravovať pre rôzne problémy, napríklad pre vlastnícke protokoly a požiadavky týkajúce sa dostupnosti (OT). Prečítajte si, ako mnohí IT lídri v súčasnosti pracujú na stratégii zabezpečenia IoT/OT, aby si dokázali poradiť s nástrahami v tejto hrane plnej nedostatkov.
Cloud ako taký je zabezpečený, ale spravujete bezpečne svoje cloudové prostredie aj vy?
V časoch nedostatku talentov a zoštíhľovania rozpočtov ponúka cloud mnohé výhody – nákladovú efektívnosť, nekonečne škálovateľné zdroje, špičkové nástroje a spoľahlivejšiu ochranu údajov, než akú možno podľa väčšiny lídrov v oblasti zabezpečenia dosiahnuť lokálne. V minulosti sa manažéri informačnej bezpečnosti dívali na cloudové zdroje ako na kompromis medzi väčšou expozíciou riziku a vyššou nákladovou efektívnosťou, ale dnes už väčšina lídrov v oblasti zabezpečenia, s ktorými sme sa zhovárali, prijíma cloud ako nový štandard. Dôverujú silnému základnému zabezpečeniu cloudovej technológie: „Očakávam, že poskytovatelia cloudových služieb majú správu identít a prístupu, systémové zabezpečenie a fyzickú bezpečnosť na poriadku,“ hovorí jeden manažér informačnej bezpečnosti.
Ale ako si väčšina lídrov v oblasti zabezpečenia uvedomuje, základné cloudové zabezpečenie nezaručuje bezpečnosť vašich údajov – ochrana vašich údajov v cloude výrazne závisí od toho, ako sú cloudové služby implementované popri lokálnych systémoch a vlastných technológiách. Riziko vzniká v dierach medzi cloudom a tradičnými hranicami organizácie, jej politikami a technológiami, ktoré používa na zabezpečenie cloudu. Dochádza k nesprávnej konfigurácii, v dôsledku čoho sú organizácie často vystavené riziku a sú závislé od tímov zabezpečenia, ktoré tieto nedostatky identifikujú a odstránia.
„Veľký počet narušení je spôsobený nesprávnou konfiguráciou – niekto niečo neúmyselne zle nakonfiguruje alebo zmení čosi, čo umožní únik údajov.“
Komunálne služby – voda, 1 390 zamestnancov
V roku 2023 je 75 % prípadov narušenia zabezpečenia cloudu spôsobených nevhodnou správou identít, prístupu a oprávnení, pričom v roku 2020 to bolo 50 % (Nesprávna konfigurácia a zraniteľnosti ako najväčšie riziká v oblasti cloudového zabezpečenia: Správa | CSO Online). Problémom nie je zabezpečenie samotného cloudu, ale politiky a kontroly používané na zabezpečenie prístupu. Ako hovorí manažér informačnej bezpečnosti jedného finančného podniku: „Cloudové zabezpečenie je veľmi dobré, ak je správne nasadené. Samotný cloud a jeho komponenty sú bezpečné. Keď ale príde na konfiguráciu, mám kód napísaný správne? Mám v celom podniku správne nastavené konektory?“ Iný líder v oblasti zabezpečenia túto výzvu zhrnul slovami: „Nesprávna konfigurácia týchto cloudových služieb je to, čo ich otvára pre zdroje hrozieb.“ Keďže riziká nesprávnej konfigurácie cloudu si uvedomuje čoraz viac lídrov v oblasti zabezpečenia, v debate o cloudovom zabezpečení už nerezonuje ani tak otázka „Je cloud bezpečný?“, ale skôr „Používam cloud bezpečne?“.
Čo znamená používať cloud bezpečne? Mnohí lídri, s ktorými sa rozprávam, pristupujú k stratégii cloudového zabezpečenia od základov a riešia chyby spôsobené ľudským faktorom, ktoré organizáciu vystavujú rizikám, ako napríklad narušenie identity či nesprávna konfigurácia. Presne to odporúčame aj my –zabezpečené identity a adaptívna správa ich prístupu sú základným kameňom každej stratégie cloudového zabezpečenia.
Všetkým, ktorí sú ešte stále na vážkach, možno pomôže toto: Spoločnosť McAfee oznámila, že až 70 % exponovaných záznamov (5,4 miliardy) bolo zneužitých práve v dôsledku nesprávne nakonfigurovaných služieb a portálov. Správa prístupu prostredníctvom kontroly identít a zavedenie silných postupov ochrany môžu výrazne pomôcť odstrániť nedostatky. Spoločnosť McAfee v podobnom duchu oznámila, že až 70 % exponovaných záznamov (5,4 miliardy) bolo zneužitých práve v dôsledku nesprávne nakonfigurovaných služieb a portálov. Správa prístupu prostredníctvom kontroly identít a zavedenie silných postupov ochrany môžu výrazne pomôcť odstrániť nedostatky.
Odolná stratégia cloudového zabezpečenia zahŕňa tieto najvhodnejšie postupy:
1. Zavedenie stratégie založenej na platforme na ochranu natívnych cloudových aplikácií (CNAPP) v koncových bodoch: Ak sa zabezpečenie spravuje pomocou fragmentovaných nástrojov, môžu vznikať hluché miesta v ochrane a vyššie náklady. Ak chcete celkovo znížiť možné miesta útokov v cloude a automatizovať ochranu pred bezpečnostnými hrozbami, rozhodne potrebujete mať komplexnú platformu, s ktorou môžete zabezpečenie vložiť všade od kódu až po cloud. Stratégiu CNAPP tvoria tieto najvhodnejšie postupy:
a) Zabezpečenie by malo byť v DevOps prioritou od začiatku. V zhone pri vývoji cloudových aplikácií sa môže zabezpečenie dostať na vedľajšiu koľaj. Vývojári chcú predovšetkým rýchlo vyriešiť obchodný problém a môžu im chýbať zručnosti v oblasti cloudového zabezpečenia. Preto sa vo výsledku môže stať, že aplikácie sa poskytujú bez toho, aby dodržiavali primerané pravidlá oprávnení na prístup k údajom. Hakeri začali svoje útoky zameriavať na rozhrania API, pretože vzhľadom na rýchle tempo vývoja cloudových aplikácií ich organizácie často nedokážu sledovať. Podľa spoločnosti Gartner je „rozrastanie API“ čoraz väčší problém a očakáva sa, že do roku 2025 bude spravovaniu podliehať menej než polovica podnikových rozhraní API (Gartner). Preto je veľmi dôležité čo najrýchlejšie zaviesť stratégiu DevSecOps.
b) Posilnenie úrovne cloudového zabezpečenia a oprava nesprávnej konfigurácie. Nesprávne konfigurácie sú najbežnejšou príčinou narušenia cloudových služieb – pozrite si zoznam najčastejších prípadov nesprávnej konfigurácie skupín zabezpečenia podľa Cloud Security Alliance . Hoci najčastejšie sa ozývajú obavy týkajúce sa otvorenia zdrojov úložiska pre verejnosť, manažéri informačnej bezpečnosti uvádzajú aj ďalšie aspekty, ktoré bývajú zanedbané: vypnuté funkcie monitorovania a zapisovania udalostí do denníka, nadmerné povolenia, nechránené zálohy atď. Dôležitou poistkou proti nevhodnému spravovaniu a rozhodujúcim elementom na zníženie rizika ransomwaru je šifrovanie. Nástroje na spravovanie úrovne cloudového zabezpečenia ponúkajú ďalšiu líniu obrany tým, že monitorujú cloudové zdroje, aby odhalili riziká a nesprávne konfigurácie ešte predtým, ako dôjde k narušeniu, čo umožňuje proaktívne obmedzovať možné miesta útokov.
c) Automatizácia detekcie incidentov, reakcie na ne a ich analýzy. Identifikácia a oprava nesprávnej konfigurácie je skvelá vec, ale netreba zabúdať na to, že musíme mať k dispozícii aj nástroje a procesy na odhaľovanie útokov, ktoré cez obranu preniknú. Práve s tým môžu pomôcť nástroje na detekciu hrozieb a riadenie reakcie na ne.
d) Primeraná správa prístupu. Viacfaktorové overovanie, jediné prihlásenie, riadenie prístupu na základe rolí, správa povolení a certifikácie pomáhajú riadiť dve najväčšie riziká pre cloudové zabezpečenie: používateľa a nesprávne nakonfigurované vlastnosti digitálneho zariadenia. Najvhodnejším postupom správy nárokov v rámci cloudovej infraštruktúry (CIEM) je prístup s najmenšími oprávneniami. Niektorí lídri sa pri zavádzaní aktívnych bezpečnostných kontrol opierajú o riešenie na správu prístupu k identitám alebo správu nárokov. Líder v oblasti zabezpečenia jedného finančného podniku sa spolieha na agenta zabezpečenia prístupu do cloudu (CASB) ako na „kľúčovú zadnú sieť“, ktorá mu umožňuje spravovať služby SaaS (softvér ako služba) svojej organizácie a udržiavať si kontrolu nad používateľmi a údajmi. Tento agent CASB pôsobí ako sprostredkovateľ medzi používateľmi a cloudovými aplikáciami, zaisťuje viditeľnosť a presadzuje opatrenia v oblasti riadenia prostredníctvom politík „zadnej siete“, ktorá organizácii umožňuje spravovať svoje služby SaaS a udržiavať si kontrolu nad používateľmi a údajmi. CASB pôsobí ako sprostredkovateľ medzi používateľmi a cloudovými aplikáciami, zaisťuje viditeľnosť a presadzuje opatrenia v oblasti riadenia prostredníctvom zavedených politík.
Platforma na ochranu natívnych cloudových aplikácií, ako napríklad tá, ktorú ponúka Microsoft Defender pre cloud , poskytuje nielen viditeľnosť naprieč multicloudovými zdrojmi, ale aj ochranu na všetkých úrovniach prostredia a súčasne monitoruje hrozby, prepája upozornenia s incidentmi a integruje ich so systémom SIEM. Vďaka tomu sú vyšetrovania efektívnejšie a vaše tímy pre SOC môžu byť o krok vpredu pred upozorneniami z rôznych platforiem.
Štipka prevencie – odstraňovanie nedostatkov týkajúcich sa správy identít a nesprávnej konfigurácie – spolu s robustnými nástrojmi reakcie na útoky, to je ideálny recept na zabezpečenie celého cloudového prostredia od podnikovej siete až po cloudové služby.
Komplexná úroveň zabezpečenia sa začína viditeľnosťou a končí sa prioritným riadením rizík.
Prechodom na cloudové IT systémy sa organizácia vystavuje nielen prípadným chybám pri zavádzaní, ale aj rozširujúcemu sa množstvu zosieťovaných aktív – zariadení, aplikácií, koncových bodov –, ako aj exponovaným cloudovým workloadom. Lídri v oblasti zabezpečenia siahajú pri riadení úrovne zabezpečenia v tomto prostredí bez perimetra po technológiách, ktoré poskytujú viditeľnosť a prioritnú reakciu. Tieto nástroje pomáhajú organizáciám zmapovať inventár aktív pokrývajúci všetky možné miesta útokov vrátane spravovaných aj nespravovaných zariadení v sieti organizácie aj mimo nej. Pomocou týchto zdrojov môžu manažéri informačnej bezpečnosti posúdiť úroveň zabezpečenia každého aktíva, ako aj jeho rolu v podnikateľskej činnosti a vytvoriť model prioritných rizík.
V našich rozhovoroch s lídrami v oblasti zabezpečenia pozorujeme, že vývoj smeruje od zabezpečenia založeného na perimetri k prístupu založenému na úrovni zabezpečenia, ktorý zahŕňa ekosystém bez hraníc.
Ako hovorí jeden manažér informačnej bezpečnosti: „Podľa mňa úroveň zabezpečenia siaha až k identite… Nevnímame to len ako tú klasickú úroveň s perimetrom, ale posúvame to až ku koncovému bodu.“ (Komunálne služby – voda, 1 390 zamestnancov). „Identita je nový perimeter,“ dodáva manažér informačnej bezpečnosti istej FinTech spoločnosti, pričom sa pýta: „Čo je vlastne identita v tomto novom modeli, kde neexistuje rozdiel medzi vonkajškom a vnútrajškom?“ (FinTech, 15 000 zamestnancov).
Vzhľadom na priepustnosť tohto prostredia manažéri informačnej bezpečnosti chápu, prečo je komplexné spravovanie úrovne zabezpečenia také naliehavé – mnohí však pochybujú, či majú potrebné zdroje a digitálnu zdatnosť, aby túto víziu uviedli do praxe. Vďaka kombinácii rámcov, ktoré sa v odvetví už osvedčili (a sú aktualizované pre dnešné potreby), a inovácií v oblasti zabezpečenia má našťastie väčšina organizácií komplexnú správu úrovne zabezpečenia na dosah.
Rozšírte svoju kybernetickú infraštruktúru o nástroje, s ktorými si zinventarizujete aktíva. Potom preskúmajte, ktoré z nich sú kritické, ktoré predstavujú pre organizáciu najväčšie riziko. Snažte sa pochopiť, aké potenciálne zraniteľnosti sa v týchto zariadeniach môžu nachádzať, a rozhodnite sa, či ich možno považovať za prijateľné – teda či ich treba opraviť alebo izolovať.
Ken Malcolmson, výkonný poradca pre zabezpečenie, Microsoft
Ponúkame niekoľko najvhodnejších postupov a nástrojov, ktoré lídri v oblasti zabezpečenia používajú pri spravovaní úrovne zabezpečenia v otvorenom cloudovom prostredí:
1. Zaistite si komplexnú viditeľnosť pomocou inventára aktív.
Viditeľnosť je prvým krokom úsilia o celostnú správu úrovne zabezpečenia. Manažéri informačnej bezpečnosti sa pýtajú: „V prvom rade, vieme vôbec, čo všetko tam vonku máme? Kým sa dostaneme k samotnej správe, máme vôbec viditeľnosť?“ Inventár rizikových aktív zahŕňa IT aktíva, ako sú siete a aplikácie, databázy, servery, vlastnosti cloudu, vlastnosti IoT, ale aj údaje a IP aktíva uchovávané v danej digitálnej infraštruktúre. Väčšina platforiem, napríklad Microsoft 365 alebo Azure, obsahuje vstavané nástroje na inventarizáciu aktív, ktoré vám môžu pomôcť začať.
Viditeľnosť je prvým krokom úsilia o celostnú správu úrovne zabezpečenia. Manažéri informačnej bezpečnosti sa pýtajú: „V prvom rade, vieme vôbec, čo všetko tam vonku máme? Kým sa dostaneme k samotnej správe, máme vôbec viditeľnosť?“ Inventár rizikových aktív zahŕňa IT aktíva, ako sú siete a aplikácie, databázy, servery, vlastnosti cloudu, vlastnosti IoT, ale aj údaje a IP aktíva uchovávané v danej digitálnej infraštruktúre. Väčšina platforiem, napríklad Microsoft 365 alebo Azure, obsahuje vstavané nástroje na inventarizáciu aktív, ktoré vám môžu pomôcť začať.
2. Posúďte zraniteľnosť a analyzujte riziko.
Keď má organizácia komplexný inventár aktív, môže analyzovať riziko vzhľadom na interné zraniteľnosti aj externé hrozby. Tento krok sa do veľkej miery odvíja od kontextu a v každej organizácii bude vyzerať inak – spoľahlivé posúdenie rizík závisí od silného partnerstva medzi tímami pre zabezpečenie, IT a údaje. Tento multifunkčný tím využíva pri analýze automatizované nástroje na hodnotenie a prioritizáciu rizík – napríklad nástroje na prioritizáciu rizík integrované v službe Microsoft Entra ID, Microsoft Defender XDR a Microsoft 365. Technológie na automatizované hodnotenie a prioritizáciu rizík môžu zahŕňať aj odborné usmernenia týkajúce sa odstraňovania nedostatkov, prípadne kontextové informácie ako podporu pri účinnej reakcii na hrozbu.
Keď má organizácia komplexný inventár aktív, môže analyzovať riziko vzhľadom na interné zraniteľnosti aj externé hrozby. Tento krok sa do veľkej miery odvíja od kontextu a v každej organizácii bude vyzerať inak – spoľahlivé posúdenie rizík závisí od silného partnerstva medzi tímami pre zabezpečenie, IT a údaje. Tento multifunkčný tím využíva pri analýze automatizované nástroje na hodnotenie a prioritizáciu rizík – napríklad nástroje na prioritizáciu rizík integrované v službe Microsoft Entra ID, Microsoft Defender XDR a Microsoft 365. Technológie na automatizované hodnotenie a prioritizáciu rizík môžu zahŕňať aj odborné usmernenia týkajúce sa odstraňovania nedostatkov, prípadne kontextové informácie ako podporu pri účinnej reakcii na hrozbu.
3. Určte, ktoré riziká a bezpečnostné potreby majú prioritu, na základe modelovania obchodných rizík.
Jasné pochopenie prostredia rizík umožní technickým tímom v spolupráci s obchodnými manažérmi určiť priority zásahov v oblasti zabezpečenia so zreteľom na potreby podnikania. Zvážte rolu každého aktíva, jeho hodnotu pre podnik a riziko, ktoré by pre podnik znamenalo jeho prípadné zneužitie. Klaďte si pritom otázky ako: „Nakoľko sú tieto informácie citlivé a aký vplyv by na podnik malo ich odhalenie?“ alebo „Do akej miery sú tieto systémy kritické pre chod podniku – aký by bol vplyv prípadného výpadku?“. Spoločnosť Microsoft ponúka nástroje na podporu komplexnej identifikácie a prioritizácie zraniteľností na základe modelovania obchodných rizík, napríklad Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Microsoft Defender Správa externých možných miest útokov a Microsoft Defender Správa rizík.
Jasné pochopenie prostredia rizík umožní technickým tímom v spolupráci s obchodnými manažérmi určiť priority zásahov v oblasti zabezpečenia so zreteľom na potreby podnikania. Zvážte rolu každého aktíva, jeho hodnotu pre podnik a riziko, ktoré by pre podnik znamenalo jeho prípadné zneužitie. Klaďte si pritom otázky ako: „Nakoľko sú tieto informácie citlivé a aký vplyv by na podnik malo ich odhalenie?“ alebo „Do akej miery sú tieto systémy kritické pre chod podniku – aký by bol vplyv prípadného výpadku?“. Spoločnosť Microsoft ponúka nástroje na podporu komplexnej identifikácie a prioritizácie zraniteľností na základe modelovania obchodných rizík, napríklad Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Microsoft Defender Správa externých možných miest útokov a Microsoft Defender Správa rizík.
4. Vypracujte si stratégiu spravovania úrovne zabezpečenia.
Základom komplexnej správy úrovne zabezpečenia je inventár aktív, analýza rizík a model obchodných rizík. S touto viditeľnosťou a prehľadom dokáže tím zabezpečenia určiť, ako najlepšie vyhradiť zdroje, aké opatrenia na posilnenie treba prijať a ako optimalizovať kompromis medzi rizikom a použiteľnosťou v každom segmente siete.
Základom komplexnej správy úrovne zabezpečenia je inventár aktív, analýza rizík a model obchodných rizík. S touto viditeľnosťou a prehľadom dokáže tím zabezpečenia určiť, ako najlepšie vyhradiť zdroje, aké opatrenia na posilnenie treba prijať a ako optimalizovať kompromis medzi rizikom a použiteľnosťou v každom segmente siete.
Riešenia týkajúce sa spravovania úrovne zabezpečenia ponúkajú viditeľnosť a analýzu zraniteľností, ktoré organizáciám pomáhajú pochopiť, na čo sa majú v úsilí o lepšiu úroveň zabezpečenia zamerať. Vďaka tomuto prehľadu môžu identifikovať a priorizovať dôležité možné miesta útokov.
Stavte na nulovú dôveru (Zero Trust) a postupy ochrany, aby ste skrotili divoké vody nesúrodého, komplexne zosieťovaného prostredia IoT a OT
Dve výzvy, o ktorých sme hovorili – nedostatky pri zavádzaní cloudu a rastúci počet zariadení pripojených do cloudu – vytvárajú v prostrediach so zariadeniami IoT a OT čosi ako dokonalú búrku rizika. Popri prirodzenom riziku rozšíreného priestoru možných miest útokov, ktorý prinášajú zariadenia IoT a OT, lídri v oblasti zabezpečenia hovoria aj o snahe racionalizovať zbližovanie stratégií vznikajúceho IoT a starších OT. Internet vecí je síce pre cloud natívny, ale pri týchto zariadeniach je často prvoradý obchodný prospech a základné zabezpečenie je až na druhom mieste. Prevádzkové technológie zas bývajú staršie zariadenia spravované dodávateľom, ktoré boli vyvinuté bez moderného zabezpečenia a začlenené do IT siete organizácie ad hoc.
Zariadenia IoT a OT pomáhajú organizáciám modernizovať pracovné priestory, viac sa orientovať na údaje a znižovať nároky na zamestnancov cestou strategických zmien, ako je vzdialené spravovanie a automatizácia. Spoločnosť International Data Corporation (IDC) odhaduje, že do roku 2025 bude k Internetu vecí pripojených 41,6 miliardy zariadení, čo predstavuje rast prevyšujúci šírenie klasických IT zariadení.
Ruka v ruke s touto príležitosťou ale prichádza aj značné riziko. V správe Cyber Signals z decembra 2022 s názvom Zbližovanie IT a prevádzkových technológií sme sa zaoberali rizikami, ktoré tieto technológie predstavujú pre kritickú infraštruktúru.
Správa priniesla tieto hlavné zistenia:
1. 75 % najbežnejších priemyselných riadiacich jednotiek v sieťach OT zákazníkov má neopravené zraniteľnosti s vysokou závažnosťou.
2. Medzi rokmi 2020 a 2022 došlo k 78 % nárastu zverejňovania zraniteľností s vysokou závažnosťou v priemyselných riadiacich zariadeniach vyrábaných obľúbenými výrobcami.
3. Mnohé zariadenia, ktoré sú verejne viditeľné na internete, používajú nepodporovaný softvér. Napríklad zastaraný softvér Boa sa stále vo veľkej miere používa v zariadeniach Internetu vecí a vývojárskych súpravách software development kit (SDK).
Zariadenia Internetu vecí často predstavujú najslabší článok digitálneho prostredia. Keďže nie sú spravované, aktualizované ani opravované rovnakým spôsobom ako klasické IT zariadenia, môžu poslúžiť ako vhodná brána útočníkom, ktorí sa snažia preniknúť do IT siete. Po prelomení prístupu sú zariadenia IoT zraniteľné voči vzdialenému spusteniu kódu. Útočník môže získať kontrolu a využiť zraniteľnosti, aby do zariadenia IoT implantoval botnety alebo škodlivý softvér. Vtedy môže zariadenie fungovať ako otvorené dvere do celej siete.
Zariadenia prevádzkových technológií predstavujú ešte hrozivejšie riziko, pričom mnohé z nich majú kritický význam pre chod organizácie. Siete OT, ktoré boli v minulosti offline alebo fyzicky izolované od podnikovej IT siete, sa čoraz viac prelínajú so systémami IT a IoT. V štúdii z novembra 2021, na ktorej sme pracovali spoločne s Ponemonovým inštitútom(Stav podnikovej kybernetickej bezpečnosti v oblasti IoT/OT), sme zistili, že viac než polovica OT sietí je v súčasnosti prepojená s podnikovými (obchodnými) IT sieťami. Podobný podiel spoločností – 56 % – má v OT sieti zariadenia pripojené na internet, ktoré sa používajú v situáciách, ako je vzdialený prístup.
„Takmer každý útok, ktorý sme za posledný rok zažili, sa začal počiatočným prístupom k sieti IT, ktorá bola využívaná v prostredí OT.“
David Atch, Microsoft Analýza hrozieb, vedúci výskumu zabezpečenia IoT/OT
Pripojiteľnosť OT vystavuje organizácie riziku závažného narušenia a výpadku v prípade útoku. OT sú často kľúčové pre podnikanie, a preto bývajú pre útočníkov lákavým cieľom, ktorý môžu zneužiť, aby spôsobili značné škody. Ľahkým cieľom sú už samotné zariadenia, pretože často ide o prežité či staršie zariadenia, ktoré nemajú zabezpečenie začlenené od návrhu, pochádzajú z obdobia pred zavedením moderných postupov zabezpečenia a môžu mať vlastnícke protokoly, ktoré neumožňujú viditeľnosť, pretože štandardné monitorovacie nástroje IT ich neregistrujú. Útočníci často zneužívajú tieto technológie tak, že odhalia exponované systémy pripojené na internet, získajú do nich prístup pomocou prihlasovacích údajov zamestnancov alebo zneužijú prístup udelený dodávateľom a zmluvným partnerom tretích strán. Nemonitorované protokoly ICS patria medzi bežné vstupné body útokov namierených na OT (Microsoft Správa o digitálnej ochrane 2022).
Lídri v oblasti zabezpečenia používajú tieto najvhodnejšie postupy, aby dokázali zvládnuť jedinečné výzvy pri spravovaní zabezpečenia IoT a OT v zmiešanom kontinuu rozličných zariadení, ktoré sú rôznymi spôsobmi pripojené k IT sieti:
1. Zaistite komplexnú viditeľnosť zariadení.
Ak chcete efektívne spravovať IoT/OT, nevyhnutne potrebujete mať prehľad o všetkých aktívach, ktoré máte v sieti, o ich vzájomných prepojeniach, ako aj o obchodných rizikách a expozícii v každom bode pripojenia. Lepšiu viditeľnosť zariadení IoT/OT v sieti a možnosť monitorovať v nich nezvyčajné správanie, napríklad komunikovanie s neznámymi hostiteľmi, vám môže poskytnúť aj riešenie detekcie a reakcie v sieti s podporou IoT/OT a systém SIEM, napríklad Microsoft Sentinel. (Ďalšie informácie o spravovaní exponovaných protokolov ICS v prevádzkových technológiách nájdete v bulletine o zabezpečení od spoločnosti Microsoft s názvom Riziká zabezpečenia špecifické pre zariadenia IoT).
Ak chcete efektívne spravovať IoT/OT, nevyhnutne potrebujete mať prehľad o všetkých aktívach, ktoré máte v sieti, o ich vzájomných prepojeniach, ako aj o obchodných rizikách a expozícii v každom bode pripojenia. Lepšiu viditeľnosť zariadení IoT/OT v sieti a možnosť monitorovať v nich nezvyčajné správanie, napríklad komunikovanie s neznámymi hostiteľmi, vám môže poskytnúť aj riešenie detekcie a reakcie v sieti s podporou IoT/OT a systém SIEM, napríklad Microsoft Sentinel. (Ďalšie informácie o spravovaní exponovaných protokolov ICS v prevádzkových technológiách nájdete v bulletine o zabezpečení od spoločnosti Microsoft s názvom Riziká zabezpečenia špecifické pre zariadenia IoT).
2. Segmentujte siete a dodržiavajte zásady nulovej dôvery (Zero Trust).
Ak je to možné, segmentujte siete, aby ste v prípade útoku zabránili laterálnemu pohybu. Zariadenia IoT a siete OT by mali byť fyzicky izolované alebo oddelené od podnikovej IT siete prostredníctvom brán firewall. V tejto súvislosti je tiež dôležitý predpoklad, že máte OT a IT navzájom konvergované, takže treba vytvoriť protokoly nulovej dôvery (Zero Trust) na všetkých možných miestach útokov. V súčasnosti je čoraz ťažšie siete segmentovať. Napríklad pre regulované organizácie v sektoroch ako zdravotníctvo, komunálne služby a výroba je pripojiteľnosť medzi OT a IT základom všetkých činností – ako príklad možno uviesť mamografy alebo inteligentné prístroje na magnetickú rezonanciu, ktoré sú pripojené k systémom elektronických zdravotných záznamov, inteligentné výrobné linky alebo čistenie vody, ktoré si vyžaduje vzdialené monitorovanie. V takýchto prípadoch má nulová dôvera (Zero Trust) kritický význam.
Ak je to možné, segmentujte siete, aby ste v prípade útoku zabránili laterálnemu pohybu. Zariadenia IoT a siete OT by mali byť fyzicky izolované alebo oddelené od podnikovej IT siete prostredníctvom brán firewall. V tejto súvislosti je tiež dôležitý predpoklad, že máte OT a IT navzájom konvergované, takže treba vytvoriť protokoly nulovej dôvery (Zero Trust) na všetkých možných miestach útokov. V súčasnosti je čoraz ťažšie siete segmentovať. Napríklad pre regulované organizácie v sektoroch ako zdravotníctvo, komunálne služby a výroba je pripojiteľnosť medzi OT a IT základom všetkých činností – ako príklad možno uviesť mamografy alebo inteligentné prístroje na magnetickú rezonanciu, ktoré sú pripojené k systémom elektronických zdravotných záznamov, inteligentné výrobné linky alebo čistenie vody, ktoré si vyžaduje vzdialené monitorovanie. V takýchto prípadoch má nulová dôvera (Zero Trust) kritický význam.
3. Zaveďte postupy ochrany pri správe zabezpečenia IoT/OT.
Tímy zabezpečenia môžu odstrániť nedostatky vykonávaním niektorých základných postupov ochrany, napríklad:
Tímy zabezpečenia môžu odstrániť nedostatky vykonávaním niektorých základných postupov ochrany, napríklad:
- odstrániť nepotrebné prepojenia s internetom a otvorené porty, obmedziť alebo odmietnuť vzdialený prístup a používať služby VPN,
- spravovať zabezpečenie zariadení používaním opráv a menením predvolených hesiel a portov,
- zaistiť, aby protokoly ICS neboli vystavené priamemu prístupu na internet.
Praktické rady, ako dosiahnuť túto úroveň prehľadu a správy, nájdete v bulletine Riziká zabezpečenia špecifické pre zariadenia IoT/OT v Microsoft Security Insider.
Prehľady s akciami
1. Aby ste zaistili lepšiu viditeľnosť zariadení IoT/OT v sieti a mohli monitorovať nezvyčajné alebo neoprávnené správanie zariadení, ako je napríklad komunikácia s neznámymi hostiteľmi, používajte riešenie detekcie a reakcie v sieti s podporou IoT/OT a riešenie Security Information and Event Management/riešenie na orchestráciu zabezpečenia a reakcie (SOAR)
2. Chráňte inžinierske stanice monitorovaním pomocou riešení detekcie rizík v rámci koncových bodov a reakcie na ne (EDR)
3. Obmedzte možné miesta útokov odstránením nepotrebných prepojení s internetom a otvorených portov, obmedzením vzdialeného prístupu blokovaním portov, odmietnutím vzdialeného prístupu a používaním služieb VPN
4. Zaistite, aby protokoly ICS neboli vystavené priamemu prístupu na internet
5. Segmentujte siete, aby ste obmedzili možnosť útočníkov pohybovať sa po počiatočnom preniknutí do siete laterálne a ohrozovať prostriedky. Zariadenia Internetu vecí a siete prevádzkových technológií by mali byť izolované od podnikových IT sietí prostredníctvom brán firewall
6. Zabezpečte odolnosť zariadení používaním opráv, menením predvolených hesiel a portov
7. Vychádzajte z predpokladu, že máte OT a IT navzájom konvergované, a zabudujte do všetkých možných miest útokov protokoly nulovej dôvery (Zero Trust)
8. Dbajte na zosúlaďovanie medzi OT a IT na úrovni organizácie podporovaním lepšej viditeľnosti a tímovej integrácie
9. Zakaždým dodržiavajte najlepšie postupy zabezpečenia IoT/OT vychádzajúce zo základnej analýzy hrozieb
Lídri v oblasti zabezpečenia sa dnes musia chopiť každej príležitosti na zefektívnenie digitálneho prostredia v situácii poznačenej rastúcimi hrozbami, ktorá ich tlačí, aby dokázali viac s menšími zdrojmi, a z cloudu sa preto stáva základný kameň modernej stratégie zabezpečenia. Ako sme videli, výhody cloudovo orientovaného prístupu výrazne prevažujú nad rizikami – najmä pre organizácie, ktoré si osvojili najvhodnejšie postupy správy svojich cloudových prostredí na základe robustnej stratégie cloudového zabezpečenia, komplexného spravovania úrovne zabezpečenia a konkrétnych taktík na odstraňovanie nedostatkov na hrane IoT/OT.
Ďalšie analýzy a postrehy v oblasti zabezpečenia nájdete v našom ďalšom vydaní. Ďakujeme, že ste si prečítali CISO Insider.
Praktické rady, ako dosiahnuť túto úroveň prehľadu a správy, nájdete v bulletine Riziká zabezpečenia špecifické pre zariadenia IoT/OT v Microsoft Security Insider.
Všetky citované výskumy spoločnosti Microsoft využívajú nezávislé výskumné firmy, ktoré kontaktujú odborníkov na zabezpečenie pre kvantitatívne a kvalitatívne štúdie, čím sa zaisťuje ochrana osobných údajov a analytická precíznosť. Pokiaľ sa neuvádza inak, citácie a zistenia v tomto dokumente sú výsledkom výskumných štúdií spoločnosti Microsoft.
Sledujte Microsoft