Pridobite vpoglede neposredno od strokovnjakov v poddaji skupnosti Obveščanje o grožnjah Microsoft. Prisluhnite zdaj.
CISO Insider: 3. izdaja
Dobrodošli v naši tretji izdaji serije CISO Insider. Moje ime je Rob Lefferts in vodim inženirski ekipi Microsoft Defender in Sentinel. To serijo smo izdali pred približno enim letom, ker smo vam želeli predstaviti spoznanja razprav z nekaterimi strokovnjaki ter ugotovitve lastnih raziskav in izkušenj z delom na področju kibernetske varnosti.
V prvih dveh izdajah smo obravnavali naraščajoče grožnje, kot je izsiljevalska programska oprema, in načine, kako vodilni ponudniki na področju varnosti uporabljajo avtomatizacijo in priložnosti nadgrajevanja strokovnih znanj za namene učinkovitega odzivanja na grožnje v času nenehnega manjka talentov. Ker se strokovnjaki za varnost soočajo s čedalje večjimi izzivi glede zagotavljanja učinkovitega delovanja v današnjem času gospodarske negotovosti, si mnogi prizadevajo za optimizacijo z uporabo rešitev v oblaku in integriranih upravljanih varnostnih storitev. V tej izdaji si bomo ogledali razvijajoče se varnostne prioritete, saj organizacije uvajajo modele, osredotočene na oblak, in vanje selijo vse svoje digitalno imetje – od sistemov na mestu uporabe do naprav interneta stvari.
Javni oblak ponuja učinkovite vsestranske rešitve, ki vključujejo zmogljivo osnovno varnost, stroškovno učinkovitost in prilagodljivo računalništvo, zato je ključni vir v času zmanjševanja proračunskih sredstev. Vendar pa je treba upoštevati tudi vrzeli, ki jih prinašajo javni in zasebni oblaki ter sistemi na mestu uporabe. Predstavljeni so načini, kako vodilni ponudniki varnostnih storitev upravljajo varnost v omejenih prostorih med omrežnimi napravami, končnimi točkami, aplikacijami, oblaki in upravljanimi storitvami. Na koncu si bomo ogledali dve tehnologiji, ki predstavljata vrhunec tega izziva na področju varnosti – in sicer internet stvari ter operativna tehnologija. Konvergenca teh dveh polariziranih tehnologij – ene razvijajoče se in druge podedovane, ki pa sta bili obe uvedeni v omrežje brez ustrezne vgrajene varnosti – ustvarja morebitne priložnosti za napade.
V 3. izdaji so obravnavane te tri prioritete, povezane z varnostjo v oblaku:
Oblak je varen – toda ali varno upravljate svoje okolje v oblaku?
Uvajanje rešitev v oblaku se izvaja pospešeno, saj organizacije iščejo nove učinkovite rešitve kot odgovor na gospodarske omejitve in pomanjkanje talentov. Strokovnjaki za varnost zaupajo storitvam v javnem oblaku zaradi njihove osnovne varnosti, vendar pa je oblak varen le toliko, kolikor lahko stranke učinkovito upravljajo vmesnik med javnim oblakom in zasebno infrastrukturo. Ogledali si bomo, kako vodje na področju varnosti zmanjšujejo vrzeli z zmogljivo varnostno strategijo v oblaku – na primer z varovanjem aplikacij in delovnih obremenitev v oblaku z orodji, kot sta upravljanje stanja varnosti v oblaku in platforma za zaščito izvornih aplikacij v oblaku (CNAPP).
Celovito stanje varnosti se začne z vidljivostjo in konča s prednostnim upravljanjem tveganj.
S pospešenim uvajanjem rešitev v oblaku pa se povečuje tudi število storitev, končnih točk, aplikacij in naprav. Poleg strategije za upravljanje kritičnih točk povezave v oblaku strokovnjaki za varnost prepoznavajo tudi potrebo po večji preglednosti in usklajenosti njihovega razširjenega digitalnega okolja – potrebo po celovitem upravljanju stanja varnosti. Predstavljeni so načini, kako strokovnjaki na področju varnosti uvajajo svoj pristop glede preprečevanja napadov (kar je še vedno najboljša obramba, če deluje) in upravljanja tveganj s celovitimi orodji za upravljanje stanja varnosti, s katerimi lahko lažje ustvarite popis sredstev in model poslovnih tveganj ter nadzirate identitete in dostop.
Izkoristite zmogljivosti modela Ničelno zaupanje in upravljanja higiene za obvladovanje raznolikega, hiperomrežnega okolja interneta stvari in operativne tehnologije.
Eksponentna rast števila povezanih naprav interneta stvari (IoT) in operativne tehnologije (OT) še naprej predstavlja izzive na področju varnosti – zlasti zaradi izjemne zahtevnosti usklajevanja tehnologij, ki so skupek orodij v oblaku, orodij tretjih oseb in starejše opreme, prilagojene za uporabo omrežij. Število globalnih naprav interneta stvari naj bi do leta 2025 doseglo 41,6 milijarde, s čimer se bo povečala napadna površina za napadalce, ki uporabljajo te naprave kot vstopne točke za kibernetske napade. Te naprave so običajno ranljive točke v omrežju in s tem tudi tarče napadov. Morda so bile uvedene začasno in so povezane z omrežjem IT brez jasnih navodil varnostne ekipe; razvite s strani tretje osebe brez osnovne varnosti; ali pa neustrezno upravljane s strani varnostne ekipe zaradi izzivov, kot so lastniški protokoli in zahteve glede razpoložljivosti (OT). Preberite, kako številni vodilni strokovnjaki za IT razvijajo lastne varnostne strategije interneta stvari/operativne tehnologije za premostitev teh vrzeli.
Oblak je varen – toda ali varno upravljate svoje okolje v oblaku?
V času, ko primanjkuje talentov in so proračunska sredstva omejena, oblak ponuja številne prednosti – stroškovno učinkovitost, neskončno prilagodljive vire, najsodobnejša orodja in zanesljivejšo zaščito podatkov, kot jo po mnenju večine vodilnih strokovnjakov na področju varnosti lahko dosežejo na mestu uporabe. Čeprav so včasih strokovnjaki za varnost obravnavali sredstva v oblaku kot kompromis med večjo izpostavljenostjo tveganjem in večjo stroškovno učinkovitostjo, pa danes večina vodilnih varnostnih strokovnjakov sprejema oblak kot novo običajno stanje. Zaupajo zmogljivi temeljni varnosti tehnologije v oblaku: »Pričakujem, da bodo ponudniki storitev v oblaku zagotovili ustrezno upravljanje identitet in dostopa, varnost sistema in fizično varnost«, pravi eden od strokovnjakov za varnost.
Vendar pa se večina vodij na področju varnosti zaveda, da temeljna varnost v oblaku ni zagotovilo za varnost podatkov – zaščita podatkov v oblaku je v veliki meri odvisna od tega, kako so storitve v oblaku uvedene skupaj s sistemi na mestu uporabe in domačo tehnologijo. Tveganje nastane zaradi vrzeli med oblakom in tradicionalnimi organizacijskimi omejitvami, pravilniki ter tehnologijami, ki se uporabljajo za zaščito oblaka. Pride lahko do napačnih konfiguracij, zaradi česar so organizacije pogosto izpostavljene in odvisne od varnostnih skupin, ki prepoznavajo in odpravljajo vrzeli.
»Veliko število kršitev je posledica napačne konfiguracije, ko nekdo nenamerno napačno konfigurira ali spremeni določen element, zaradi česar pride do uhajanje podatkov.«
Komunalne storitve – voda, 1.390 zaposlenih
Do leta 2023 bo 75 odstotkov kršitev varnosti v oblaku posledica neustreznega upravljanja identitet, dostopa in pravic, v primerjavi z letom 2020, ko je bilo teh kršitev50 odstotkov (Največja tveganja napačne konfiguracije in ranljivosti na področju varnosti v oblaku: Poročilo | CSO Online). Izzivov ne predstavlja varnost samega oblaka, temveč pravilniki in kontrolniki, ki se uporabljajo za zaščito dostopa. Kot pravi strokovnjak za varnost za finančne storitve: »Varnost v oblaku je zelo dobra, če je pravilno uvedena. Sam oblak in njegove komponente so varni. Ko pa se lotimo konfiguracije, se nam porajajo ta vprašanja: Ali sem pravilno zapisal kodo? Ali sem pravilno nastavil priključke v podjetju?« Ta izziv je povzel še en vodja na področju varnosti s temi besedami: »Napačna konfiguracija teh storitev v oblaku je dejavnik, ki odpre vrata storitve akterjem groženj.« Ker se vse več vodij na področju varnosti zaveda tveganj napačne konfiguracije oblaka, se je pogovor o varnosti v oblaku preusmeril od vprašanja »Ali je oblak varen?« k vprašanju »Ali varno uporabljam oblak?«
Kaj pomeni varna uporaba oblaka? Številni vodje, s katerimi sem se pogovarjal, uvajajo varnostno strategijo v oblaku od začetka, s čimer odpravljajo človeške napake, zaradi katerih je organizacija izpostavljena tveganju, kot so kršitve identitete in napačne konfiguracije. To je v skladu tudi z našimi priporočili – zavarovanje identitet in prilagodljivo upravljanje njihovega dostopa sta nujna temeljna dejavnika za vsako varnostno strategijo v oblaku.
Za vse, ki ste še vedno v fazi odločanja, si oglejte te podatke: Pri podjetju McAfee so poročali, da je bilo 70 odstotkov izpostavljenih zapisov – tj. 5,4 milijarde – ogroženih zaradi napačno konfiguriranih storitev in portalov. Z upravljanjem dostopa s kontrolniki za identitete in uvajanjem zmogljive varnostne higiene lahko v veliki meri odpravita vrzeli. Pri podjetju McAfee so prav tako poročali, da je bilo 70 odstotkov izpostavljenih zapisov – tj. 5,4 milijarde – ogroženih zaradi napačno konfiguriranih storitev in portalov. Z upravljanjem dostopa s kontrolniki za identitete in uvajanjem zmogljive varnostne higiene lahko v veliki meri odpravita vrzeli.
Zmogljiva varnostna strategija v oblaku vključuje te najboljše prakse:
1. Uvedite celovito strategijo platforme za zaščito izvornih aplikacij v oblaku (CNAPP): Upravljanje varnosti z razdrobljenimi orodji lahko privede do šibkih točk pri zaščiti in višjih stroškov. Platforma »vse v enem«, ki omogoča vdelavo varnosti od kode do oblaka, je ključnega pomena za zmanjšanje tarč napadov v oblaku in avtomatizacijo zaščite pred grožnjami. Strategija CNAPP vključuje naslednje najboljše prakse:
a. Že od samega začetka prednostno obravnavajte varnost v praksi DevOps. Zaradi zahtev po hitrem razvoju aplikacij v oblaku lahko varnost ostane na stranskem tiru. Razvijalce spodbujamo k hitremu reševanju poslovnih težav, zato včasih ne razpolagajo z ustreznim strokovnim znanjem glede varnosti v oblaku. Zato so lahko aplikacije uvedene brez ustreznih pravil za pooblastila za dostop do podatkov. Vmesniki API so postali glavna tarča hekerjev, saj jih organizacije zaradi hitrega razvoja aplikacij v oblaku pogosto ne morejo nadzirati. Pri podjetju Gartner so »razpršenost vmesnikov API« prepoznali kot čedalje večjo težavo in napoveduje, da bo do leta 2025 upravljanih manj kot polovica API-jev podjetij (Gartner). Zato je ključnega pomena, da strategijo DevSecOps uvedete čim prej.
b. Okrepite stanje varnosti v oblaku in odpravite napačne konfiguracije. Napačne konfiguracije so najpogostejši vzrok za kršitve v oblaku – oglejte si informacije združenja Cloud Security Alliance o najpogostejših napačnih konfiguracijah varnostnih skupin. Čeprav je najpogostejša bojazen ta, da so viri za shranjevanje dostopni za javnost, pa strokovnjaki za varnost navajajo tudi druga prezrta področja: onemogočeno spremljanje in beleženje, prekomerna dovoljenja, nezaščitene varnostne kopije itd. Šifriranje je pomembno varovalo pred napačnim upravljanjem in ključnega pomena za zmanjšanje tveganja napada z izsiljevalsko programsko opremo. Orodja za upravljanje stanja varnosti v oblaku zagotavljajo dodatno obrambno linijo, saj nadzirajo vire v oblaku glede izpostavljenosti in napačnih konfiguracij, preden pride do kršitve, tako da lahko proaktivno zmanjšate tarče napada.
c. Avtomatizirajte zaznavanje, odzivanje in analiziranje dogodkov. Prepoznavanje in odpravljanje napačnih konfiguracij je odlična rešitev, vendar pa moramo imeti na voljo tudi orodja in postopke za zaznavanje napadov, ki so morda zaobšli obrambo. Pri tem lahko izkoristite zmogljivosti orodij za upravljanje zaznavanja groženj in odzivanja nanje.
d. Zagotovite pravilno upravljanje dostopa. Z večkratnim preverjanjem pristnosti, enotno prijavo, nadzorom dostopa na podlagi vlog, upravljanjem dovoljenj in potrdili lahko lažje upravljate dve največji tveganji na področju varnosti v oblaku – uporabnike in napačno konfigurirane digitalne lastnosti. Dostop z minimalnimi pravicami je najboljša praksa upravljanja upravičenosti do infrastrukture v oblaku (CIEM). Nekateri vodje uporabljajo rešitev upravljanja dostopa do identitete ali upravljanja upravičenosti za zagotovitev aktivnih varnostnih kontrolnikov. Eden od vodilnih ponudnikov finančnih storitev je izbral varnostnega posrednika dostopa v oblaku (CASB) kot »ključno varovalo« za upravljanje storitev SaaS v organizaciji ter ohranjanje nadzora nad uporabniki in podatki. CASB deluje kot posrednik med uporabniki in aplikacijami v oblaku, zagotavlja vidljivost in uvaja dejanja upravljanja prek pravilnikov za namene upravljanja storitev SaaS ter ohranjanja nadzora uporabnikov in podatkov. CASB deluje kot posrednik med uporabniki in aplikacijami v oblaku, zagotavlja vidljivost in uvaja dejanja upravljanja prek pravilnikov.
Platforma za zaščito izvornih aplikacij v oblaku, kot jo ponuja Microsoft Defender for Cloud , ne zagotavlja le vpogleda v vire v več oblakih, temveč tudi zaščito na vseh ravneh okolja, hkrati pa spremlja tudi grožnje in povezuje opozorila v dogodke, ki jih lahko integrirate z rešitvijo SIEM. S tem izboljšate učinkovitost preiskav in omogočite ekipam SOC, da so na tekočem z opozorili v različnih platformah.
Preventiva – odpravljanje vrzeli na področju identitet in napačnih konfiguracij – skupaj z zmogljivimi orodji za odzivanje na napade je ključnega pomena za zaščito celotnega okolja v oblaku – od poslovnega omrežja do storitev v oblaku.
Celovito stanje varnosti se začne z vidljivostjo in konča s prednostnim upravljanjem tveganj.
Zaradi prehoda na IT v oblaku se v organizacijah pojavljajo vrzeli na področju uvajanja, čedalje večje število omrežnih sredstev – naprav, aplikacij, končnih točk – ter izpostavljene delovne obremenitve v oblaku. Vodje na področju varnosti upravljajo stanje varnosti v tem okolju brez meja s tehnologijami, ki zagotavljajo vidljivost in prednostno odzivanje. S temi orodji lahko organizacije preslikajo popis sredstev, ki zajema celotno tarčo napada ter vključuje upravljane in neupravljane naprave v omrežju organizacije in zunaj njega. S temi viri lahko strokovnjaki za varnost ocenijo stanje varnosti posameznih sredstev in njihove vloge v podjetju ter tako ustvarijo prednostni model tveganj.
Pogovori z vodilnimi strokovnjaki za varnost nakazujejo, da se obravnavanje varnosti, ki temelji na varnostnem območju, spreminja v pristop, ki temelji na stanju varnosti in vključuje ekosistem brez meja.
Kot pravi eden od strokovnjakov za varnost: »Po mojem mnenju je stanje varnosti odvisno od identitete .... Ne obravnavamo ga zgolj kot staro tradicionalno stanje z varnostnim območjem, temveč ga razširjamo vse do končnih točk.« (Komunalne storitve – voda, 1.390 zaposlenih). »Identiteta je postala novo varnostno območje,« komentira strokovnjak za varnost na področju finančne tehnologije in se sprašuje: »Kaj pomeni identiteta v tem novem modelu brez zunanjosti in notranjosti?« (Finančna tehnologija, 15.000 zaposlenih).
Glede na to propustno okolje se strokovnjaki za varnost zavedajo nujnosti celovitega upravljanja stanja varnosti – mnogi pa se sprašujejo, ali imajo na voljo dovolj sredstev in digitalne zmogljivosti za uresničitev te vizije v praksi. Zahvaljujoč kombinaciji panožno preverjenih ogrodij (posodobljenih za današnje potrebe) in varnostnih inovacij pa celovito upravljanje stanja varnosti za večino organizacij dosegljivo.
V kibernetsko infrastrukturo uvedite orodja, ki vam omogočajo popis sredstev. Preverite, katera od teh sredstev so kritična, katera predstavljajo največja tveganja za organizacijo, pridobite vpogled v morebitne ranljivosti teh naprav in določite, ali je to sprejemljivo – ali morate kar koli popraviti ali pa izolirati.
Ken Malcolmson, izvršni svetovalec za varnost, Microsoft
Spodaj so predstavljene nekatere najboljše prakse in orodja, ki jih vodje na področju varnosti uporabljajo za upravljanje stanja varnosti v odprtem okolju v oblaku:
1. Zagotovite celovito vidljivost s popisom sredstev.
Vidljivost je prvi korak pri zagotavljanju celovitega upravljanja stanja varnosti. Strokovnjaki za varnost se sprašujejo: »Ali na začetku sploh vemo, kaj vse imamo na voljo? Ali imamo zagotovljeno vidljivost, preden začnemo izvajati upravljanje?« Popis tveganih sredstev vključuje sredstva IT, kot so omrežja in aplikacije, podatkovne zbirke, strežniki, lastnosti oblaka, lastnosti interneta stvari ter podatki in sredstva IP, shranjena v tej digitalni infrastrukturi. Večina platform, kot sta Microsoft 365 ali Azure, vključuje vgrajena orodja za popis sredstev, s katerimi lahko lažje začnete.
Vidljivost je prvi korak pri zagotavljanju celovitega upravljanja stanja varnosti. Strokovnjaki za varnost se sprašujejo: »Ali na začetku sploh vemo, kaj vse imamo na voljo? Ali imamo zagotovljeno vidljivost, preden začnemo izvajati upravljanje?« Popis tveganih sredstev vključuje sredstva IT, kot so omrežja in aplikacije, podatkovne zbirke, strežniki, lastnosti oblaka, lastnosti interneta stvari ter podatki in sredstva IP, shranjena v tej digitalni infrastrukturi. Večina platform, kot sta Microsoft 365 ali Azure, vključuje vgrajena orodja za popis sredstev, s katerimi lahko lažje začnete.
2. Ocenite ranljivost in analizirajte tveganje.
Ko je v organizaciji na voljo podroben popis sredstev, lahko analizirate tveganja glede na notranje ranljivosti in zunanje grožnje. Ta korak je v veliki meri odvisen od konteksta in je edinstven za vsako organizacijo - zanesljiva ocena tveganja je odvisna od tesnega partnerstva med ekipami za varnost, IT in podatke. Ta medsektorska skupina pri analizi uporablja avtomatizirana orodja za ocenjevanje tveganj in določanje prednosti - na primer orodja za določanje prednosti tveganj, integrirana v Microsoft Entra ID, Microsoft Defender XDR in Microsoft 365. Avtomatizirane tehnologije za ocenjevanje tveganj in določanje prednostnih nalog lahko vključujejo tudi strokovne smernice za odpravo pomanjkljivosti in kontekstualne informacije za učinkovito odzivanje na grožnje.
Ko je v organizaciji na voljo podroben popis sredstev, lahko analizirate tveganja glede na notranje ranljivosti in zunanje grožnje. Ta korak je v veliki meri odvisen od konteksta in je edinstven za vsako organizacijo - zanesljiva ocena tveganja je odvisna od tesnega partnerstva med ekipami za varnost, IT in podatke. Ta medsektorska skupina pri analizi uporablja avtomatizirana orodja za ocenjevanje tveganj in določanje prednosti - na primer orodja za določanje prednosti tveganj, integrirana v Microsoft Entra ID, Microsoft Defender XDR in Microsoft 365. Avtomatizirane tehnologije za ocenjevanje tveganj in določanje prednostnih nalog lahko vključujejo tudi strokovne smernice za odpravo pomanjkljivosti in kontekstualne informacije za učinkovito odzivanje na grožnje.
3. Določite prioritete glede tveganj in varnostnih potreb z modeliranjem poslovnih tveganj.
Z jasnim razumevanjem okolja tveganj lahko tehnične ekipe sodelujejo s poslovnimi vodji pri določanju prioritete varnostnih posegov glede na poslovne potrebe. Razmislite o tem, kakšno vlogo imajo posamezna sredstva, kakšna je njihova vrednost za podjetje in kakšno je tveganje za podjetje v primeru ogroženosti teh sredstev ter si zastavite vprašanja, kot so: »Kako občutljive so te informacije in kakšen vpliv bi imela njihova izpostavljenost za podjetje?« ali »Kako pomembni so ti sistemi – kakšen bi bil vpliv izpada delovanja na poslovanje?« Microsoft ponuja orodja za podporo celovitemu prepoznavanju in določanju prioritete ranljivostim v skladu z modeliranjem poslovnih tveganj, vključno z rešitvami Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Upravljanje zunanjih tarč napada Microsoft Defender in Upravljanje ranljivosti Microsoft Defender.
Z jasnim razumevanjem okolja tveganj lahko tehnične ekipe sodelujejo s poslovnimi vodji pri določanju prioritete varnostnih posegov glede na poslovne potrebe. Razmislite o tem, kakšno vlogo imajo posamezna sredstva, kakšna je njihova vrednost za podjetje in kakšno je tveganje za podjetje v primeru ogroženosti teh sredstev ter si zastavite vprašanja, kot so: »Kako občutljive so te informacije in kakšen vpliv bi imela njihova izpostavljenost za podjetje?« ali »Kako pomembni so ti sistemi – kakšen bi bil vpliv izpada delovanja na poslovanje?« Microsoft ponuja orodja za podporo celovitemu prepoznavanju in določanju prioritete ranljivostim v skladu z modeliranjem poslovnih tveganj, vključno z rešitvami Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Upravljanje zunanjih tarč napada Microsoft Defender in Upravljanje ranljivosti Microsoft Defender.
4. Ustvarite strategijo za upravljanje stanja varnosti.
Popis sredstev, analiza tveganja in model poslovnega tveganja so osnova za celovito upravljanje stanja varnosti. S to vidljivostjo in vpogledom lahko varnostna ekipa lažje določi ustrezne načine za dodelitev virov, izvajanje ukrepov za utrjevanje ter optimiziranje kompromisa med tveganjem in uporabnostjo za posamezne segmente omrežja.
Popis sredstev, analiza tveganja in model poslovnega tveganja so osnova za celovito upravljanje stanja varnosti. S to vidljivostjo in vpogledom lahko varnostna ekipa lažje določi ustrezne načine za dodelitev virov, izvajanje ukrepov za utrjevanje ter optimiziranje kompromisa med tveganjem in uporabnostjo za posamezne segmente omrežja.
Rešitve za upravljanje stanja varnosti zagotavljajo vidljivost in analizo ranljivosti, s čimer organizacije pridobijo vpogled v to, kam naj osredotočijo svoja prizadevanja za izboljšanje stanja varnosti. S tem vpogledom lahko prepoznajo in prednostno razvrstijo pomembna področja tarče napada.
Izkoristite zmogljivosti modela Ničelno zaupanje in upravljanja higiene za obvladovanje raznolikega, hiperomrežnega okolja interneta stvari in operativne tehnologije
Dva izziva, predstavljena v tem članku – vrzel pri uvajanju oblaka in razširjenost naprav, povezanih z rešitvami v oblaku – ustvarjata popolne razmere za tveganja v okoljih naprav interneta stvari in operativne tehnologije. Poleg odpravljanja tveganja razširjene napadne površine, ki ga prinašajo naprave interneta stvari in operativne tehnologije, varnostni vodje poskušajo racionalizirati tudi konvergenco strategij razvijajočega se interneta stvari in podedovane operativne tehnologije. Čeprav je internet stvari izvorna rešitev v oblaku, pa te naprave pogosto dajejo prednost poslovni smotrnosti pred temeljno varnostjo; pri operativni tehnologiji pa gre običajno za starejšo opremo, ki jo upravlja dobavitelj in je bila razvita brez sodobne varnosti ter začasno uvedena v omrežje IT organizacije.
Z napravami interneta stvari in operativne tehnologije lahko organizacije lažje modernizirajo delovne prostore, uvedejo bolj podatkovno usmerjen pristop in zmanjšajo zahteve za osebje s strateškimi rešitvami, kot sta oddaljeno upravljanje in avtomatizacija. Družba International Data Corporation (IDC) ocenjuje, da bo do leta 2025 na voljo 41,6 milijarde povezanih naprav interneta stvari, kar je stopnja rasti, ki presega stopnjo rasti tradicionalnih naprav IT.
Vendar pa ta priložnost prinaša tudi velika tveganja. V našem poročilu Cyber Signals iz decembra 2022 z naslovom Konvergenca informacijske in operativne tehnologije smo obravnavali tveganja, ki jih predstavljajo te tehnologije za kritično infrastrukturo.
Glavne ugotovitve to te:
1. 75 % najpogostejših panožnih krmilnikov v omrežjih operativne tehnologije strank ima nepopravljene ranljivosti z visoko stopnjo resnosti.
2. Med letoma 2020 in 2022 se je število razkritij ranljivosti z visoko stopnjo resnosti v industrijski nadzorni opremi, ki jo proizvajajo priljubljeni ponudniki, povečalo za 78 %.
3. V številnih napravah, ki so javno vidne v internetu, se izvaja nepodprta programska oprema. Zastarela programska oprema Boa je na primer še vedno pogosto uporabljena v napravah interneta stvari in kompletih za razvoj programske opreme (SDK).
Naprave interneta stvari pogosto predstavljajo najšibkejši člen v digitalnem imetju. Ker jih ne upravljamo, posodabljamo ali popravljamo na enak način kot običajne naprave IT, so lahko priročen prehod za napadalce, ki želijo vdreti v omrežje IT. Ko napadalci pridobijo dostop do naprav interneta stvari, so te ranljive za oddaljena izvajanja kode. Napadalec lahko pridobi nadzor in izkoristi ranljivosti ter tako v napravo interneta stvari uvede botnete ali zlonamerno programsko opremo. V tem primeru lahko takšna naprava odpre vrata napadalcu v celotnem omrežju.
Naprave operativne tehnologije predstavljajo še večje tveganje, saj so mnoge od njih ključnega pomena za delovanje organizacije. Omrežja operativne tehnologije, ki so bila v preteklosti brez povezave ali pa fizično izolirana od omrežja IT podjetja, čedalje bolj vključujemo v sisteme IT in IoT. V študiji, ki smo jo novembra 2021 izvedli v sodelovanju z inštitutom Ponemon Institute, z naslovom Stanje kibernetske varnosti IoT/OT v podjetju, smo ugotovili, da je več kot polovica omrežij operativne tehnologije zdaj povezanih s poslovnimi omrežji IT. Podoben delež podjetij – 56 odstotkov – ima v svojem omrežju operativne tehnologije naprave, povezane z internetom, za scenarije, kot je oddaljeni dostop.
»Skoraj vsak napad, ki smo mu bili priča v zadnjem letu, se je začel z začetnim dostopom do omrežja IT, ki je bil uporabljen v okolju operativne tehnologije.«
David Atch, Obveščanje o grožnjah Microsoft, vodja varnostnih raziskav na področju IoT/OT
Povezljivost operativne tehnologije za organizacije predstavlja tveganje velikih motenj in izpadov delovanja v primeru napada. Operativna tehnologija je pogosto ključnega pomena za podjetje, kar pa za napadalce predstavlja vabljivo tarčo, ki jo lahko izkoristijo za povzročitev velike škode. Naprave so lahko lahke tarče, saj pogosto vključujejo zastarelo ali podedovano opremo, ki že po sami zasnovi ni varna, je starejša od sodobnih varnostnih praks in ima lahko lastniške protokole, ki jih standardna orodja za spremljanje za IT spregledajo. Napadalci te tehnologije običajno izkoriščajo tako, da odkrijejo izpostavljene internetne sisteme, pridobijo dostop prek poverilnic za prijavo zaposlenih ali izkoristijo dostop, dodeljen neodvisnim dobaviteljem in pogodbenikom. Nenadzorovani protokoli ICS so ena od pogostih vstopnih točk za napade na operativno tehnologijo (Poročilo o digitalni obrambi Microsoft za leto 2022).
Za obvladovanje enoličnih izzivov upravljanja varnosti interneta stvari in operativne tehnologije v tem mešanem okolju različnih naprav, ki so na različne načine povezane z omrežjem IT, se vodje na področju varnosti poslužujejo teh najboljših praks:
1. Zagotovite celovito vidljivost naprav.
Razumevanje vseh sredstev, ki so na voljo v omrežju, njihove medsebojne povezanosti ter poslovnih tveganj in izpostavljenosti na vsaki točki povezave je ključni temelj za učinkovito upravljanje interneta stvari/operativne tehnologije. Z rešitvijo za zaznavanje in odzivanje v omrežju (NDR), ki upošteva internet stvari in operativno tehnologijo, in tehnologijo SIEM, kot je Microsoft Sentinel, lahko pridobite podrobnejši vpogled v naprave IoT/OT v omrežju in jih spremljati za nenavadno vedenje, kot je komunikacija z neznanimi gostitelji. (Za več informacij o upravljanju izpostavljenih protokolov ICS v operativni tehnologiji glejte »Enolično varnostno tveganje naprav IOT,« Microsoftova varnost).
Razumevanje vseh sredstev, ki so na voljo v omrežju, njihove medsebojne povezanosti ter poslovnih tveganj in izpostavljenosti na vsaki točki povezave je ključni temelj za učinkovito upravljanje interneta stvari/operativne tehnologije. Z rešitvijo za zaznavanje in odzivanje v omrežju (NDR), ki upošteva internet stvari in operativno tehnologijo, in tehnologijo SIEM, kot je Microsoft Sentinel, lahko pridobite podrobnejši vpogled v naprave IoT/OT v omrežju in jih spremljati za nenavadno vedenje, kot je komunikacija z neznanimi gostitelji. (Za več informacij o upravljanju izpostavljenih protokolov ICS v operativni tehnologiji glejte »Enolično varnostno tveganje naprav IOT,« Microsoftova varnost).
2. Segmentirajte omrežja in uporabite načela ničelnega zaupanja..
Če je mogoče, segmentirajte omrežja, da v primeru napada preprečite lateralno premikanje. Naprave interneta stvari in omrežja operativne tehnologije ne smejo imeti fizične povezave z internetom ali pa jih morate izolirati od poslovnega omrežja IT prek požarnih zidov. Pomembno je tudi, da predvidevate, da sta operativna tehnologija in IT konvergentna, ter da uvedete protokole Ničelnega zaupanja v različne tarče napada. Segmentacije omrežja zelo pogosto ni mogoče izvesti. V reguliranih organizacijah, kot so zdravstvo, javne službe in proizvodnja, je na primer povezljivost operativne in informacijske tehnologije ključnega pomena za poslovno funkcijo – na primer mamografske naprave ali pametne naprave za magnetno resonanco, ki se povezujejo s sistemi elektronskih zdravstvenih zapisov (EZZ); pametne proizvodne linije ali sistemi za čiščenje vode, ki zahtevajo oddaljeni nadzor. V teh primerih je Ničelno zaupanje ključno.
Če je mogoče, segmentirajte omrežja, da v primeru napada preprečite lateralno premikanje. Naprave interneta stvari in omrežja operativne tehnologije ne smejo imeti fizične povezave z internetom ali pa jih morate izolirati od poslovnega omrežja IT prek požarnih zidov. Pomembno je tudi, da predvidevate, da sta operativna tehnologija in IT konvergentna, ter da uvedete protokole Ničelnega zaupanja v različne tarče napada. Segmentacije omrežja zelo pogosto ni mogoče izvesti. V reguliranih organizacijah, kot so zdravstvo, javne službe in proizvodnja, je na primer povezljivost operativne in informacijske tehnologije ključnega pomena za poslovno funkcijo – na primer mamografske naprave ali pametne naprave za magnetno resonanco, ki se povezujejo s sistemi elektronskih zdravstvenih zapisov (EZZ); pametne proizvodne linije ali sistemi za čiščenje vode, ki zahtevajo oddaljeni nadzor. V teh primerih je Ničelno zaupanje ključno.
3. Uvedite higieno upravljanja varnosti interneta stvari/operativne tehnologije.
Varnostne ekipe lahko odpravijo vrzeli z nekaterimi osnovnimi higienskimi praksami, kot so te:
Varnostne ekipe lahko odpravijo vrzeli z nekaterimi osnovnimi higienskimi praksami, kot so te:
- odpravljanje nepotrebnih internetnih povezav in odprtih vrat, omejevanje ali onemogočanje oddaljenega dostopa ter uporaba storitev VPN;
- upravljanje varnosti naprave z uporabo popravkov ter spreminjanjem privzetih gesel in vrat;
- zagotovitev, da protokoli ICS niso neposredno izpostavljeni internetu.
Dejavnostne smernice za doseganje te ravni vpogleda in upravljanja so na voljo v članku »Enolično tveganje naprav IoT/OT«, Microsoft Security Insider.
Dejavnostni vpogledi
1. Uporabite rešitev za zaznavanje omrežja in odzivanje nanj (NDR), ki zaznava internet stvari/operativno tehnologijo, ter rešitev za upravljanje varnostnih informacij in dogodkov (SIEM)/varnostno orkestracijo in odzivanje (SOAR) za pridobivanje podrobnejših vpogledov v naprave interneta stvari/operativne tehnologije v omrežju ter spremljanje nenavadnega ali nepooblaščenega vedenja naprav, kot je komunikacija z neznanimi gostitelji.
2. Zaščitite inženirske postaje s spremljanjem z rešitvami zaznavanja končnih točk in odzivanja nanje EDR.
3. Zmanjšajte tarče napadov tako, da odstranite nepotrebne internetne povezave in odprta vrata, omejite oddaljeni dostop z blokiranjem vrat, zavrnitvijo oddaljenega dostopa in uporabo storitev VPN.
4. Zagotovite, da protokoli ICS niso neposredno izpostavljeni v internetu.
5. Segmentirajte omrežja, da omejite napadalčevo možnost lateralnega premikanja in ogrožanja sredstev po začetnem vdoru. Naprave interneta stvari in omrežja operativne tehnologije morate ločiti od poslovnega omrežja IT prek požarnih zidov.
6. Zagotovite robustne naprave z uporabo popravkov ter spreminjanjem privzetih gesel in vrat.
7. Predvidevajte, da sta operativna tehnologija in IT konvergentna, ter uvedite protokole Ničelnega zaupanja v tarče napada.
8. Zagotovite organizacijsko usklajenost med operativno in informacijsko tehnologijo s spodbujanjem večje vidljivosti in integracije ekip.
9. Vedno upoštevajte najboljše varnostne prakse IoT/OT, ki temeljijo na osnovnem obveščanju o grožnjah.
Ker vodje na področju varnosti izkoriščajo priložnost za izboljšanje učinkovitosti svojega digitalnega imetja ob naraščajočih grožnjah in visokih pričakovanjih, da morajo z manj sredstvi narediti več, postaja oblak temelj sodobne varnostne strategije. Kot smo lahko videli, so prednosti pristopa, usmerjenega v oblak, veliko večje od tveganj – zlasti za organizacije, ki uporabljajo najboljše prakse za upravljanje okolij v oblaku z zmogljivo varnostno strategijo v oblaku, celovitim upravljanjem stanja varnosti in določenimi taktikami za odpravljanje vrzeli na področju interneta stvari/operativne tehnologije.
Oglejte si našo naslednjo izdajo, kjer je na voljo več varnostnih analiz in vpogledov. Zahvaljujemo se vam, da ste prebrali zbirko CISO Insider.
Dejavnostne smernice za doseganje te ravni vpogleda in upravljanja so na voljo v članku »Enolično tveganje naprav IoT/OT«, Microsoft Security Insider.
Vse navedene Microsoftove raziskave so bile izvedene s strani neodvisnih raziskovalnih podjetij, ki so se obrnila na strokovnjake za varnost za kvantitativne in kvalitativne študije, s čimer je zagotovljena zaščita zasebnosti in analitična natančnost. Citati in ugotovitve, vključeni v ta dokument, so rezultat Microsoftovih raziskovalnih študij, razen če je navedeno drugače.
Spremljajte Microsoft