Steknite uvide direktno od stručnjaka u podkastu Microsoft informacije o pretnjama. Slušajte odmah.
CISO Insider: Treće izdanje
Dobro došli u treće izdanje serijala CISO Insider. Ja sam Rob Leferts i vodim timove inženjera za Microsoft Defender i Sentinel. Pokrenuli smo ovaj serijal pre otprilike godinu dana da bismo podelili uvide iz naših razgovora sa nekim od vaših kolega, kao i iz naših sopstvenih istraživanja i iskustva u radu u prvim redovima kibernetičke bezbednosti.
Prva dva problema se tiču eskaliranja pretnji, kao što je ransomver, i načina na koji istaknuti ljudi u bezbednosti koriste prilike za automatizaciju i usavršavanje kako bi reakcija na te pretnje bila efikasna uprkos trenutnom nedostatku stručnjaka. Kako su vodeći direktori za bezbednost informacija pod još većim pritiskom da efikasno rade u današnje vreme privredne nesigurnosti, mnogi teže ka optimizaciji pomoću rešenja zasnovanih na tehnologiji oblaka i integrisanih upravljanih usluga bezbednosti. U ovom izdanju, osvrćemo se na nove prioritete u bezbednosti usled prelaska organizacija na model koji je sve više usredsređen na tehnologiju oblaka, zajedno sa svim digitalnim sredstvima, od lokalnih sistema do IoT uređaja.
Javni oblak nudi trostruke prednosti – jaku osnovnu bezbednost, isplativost i prilagodljivo računarstvo i zato je ključni resurs u vreme štednje. Međutim, te tri prednosti donose i potrebu za vođenjem računa o razlikama između javnog oblaka, privatnih oblaka i lokalnih sistema. Posmatramo šta istaknuti ljudi u bezbednosti rade da bi upravljali bezbednošću u graničnim prostorima između umreženih uređaja, krajnjih tačaka, aplikacija, oblaka i upravljanih usluga. Na kraju, posmatramo dve tehnologije koje predstavljaju vrhunac ovog bezbednosnog problema – IoT i OT. Spajanje te dve polarizovane tehnologije, pri čemu je jedna u začetku, a druga zastarela, a obe su uvedene u mrežu bez odgovarajuće ugrađene bezbednosti, stvara propusnu granicu podložnu napadima.
U 3. izdanju posmatramo tri prioriteta u bezbednosti usredsređenoj na tehnologiju oblaka:
Oblak je bezbedan, ali da li bezbedno upravljate okruženjem oblaka?
Usvajanje tehnologije oblaka se ubrzalo jer organizacije traže nove efikasnosti usled ekonomskih ograničenja i manjka stručnjaka. Vodeći direktori za bezbednost informacija imaju poverenja u usluge javnog oblaka zbog njihove osnovne bezbednosti, ali tehnologija oblaka je bezbedna samo ako klijent ume da upravlja interfejsom između javnog oblaka i privatne infrastrukture. Posmatramo kako istaknuti ljudi u bezbednosti otklanjaju propuste pomoću jake strategije za bezbednost oblaka. Na primer, tako što obezbeđuju aplikacije u oblaku i pakete funkcija pomoću alatki, kao što su upravljanje stanjem u oblaku i zaštita aplikacija u oblaku (CNAPP).
Sveobuhvatno stanje bezbednosti kreće od vidljivosti, a završava se upravljanjem prioritetnim rizikom.
Ubrzanje usvajanja tehnologije oblaka sa sobom nosi i nagli porast usluga, krajnjih tačaka, aplikacija i uređaja. Pored strategije za upravljanje kritičnim tačkama povezivanja u oblaku, vodeći direktori za bezbednost informacija prepoznaju i potrebu za većom vidljivošću i koordinacijom širom sve većeg digitalnog otiska – potrebu za upravljanjem sveobuhvatnim stanjem. Posmatramo kako istaknuti ljudi u bezbednosti proširuju pristup, od sprečavanja napada (što je i dalje najbolja odbrana pod uslovom da funkcioniše) do upravljanja rizikom pomoću alatki za upravljanje sveobuhvatnim stanjem, koje pomažu kod popisa resursa i modeliranja poslovnog rizika i, naravno, identitetom i kontrolom pristupa.
Oslonite se na model nulte pouzdanosti i higijenu da biste ukrotili neverovatno raznovrsno i veoma povezano okruženje interneta stvari & operativne tehnologije.
Sve brži rast povezanih IoT i OT uređaja i dalje pravi bezbednosne probleme, naročito zbog toga što je teško uskladiti tehnologije koje su mešavina alatki u oblaku nezavisnog proizvođača i zastarele opreme koja se koristi za umrežavanje. Prognozira se da će broj IoT uređaja u svetu dostići 41,6 milijardi do 2025. godine, čime se stvara veća površina napada za napadače koji te uređaje koriste kao ulazne tačke za kibernetičke napade. Ti uređaji se često targetiraju kao ranjive tačke u mreži. Možda su neplanski uvedeni i povezani na IT mrežu bez jasnih uputstava bezbednosnog tima, napravljeni od strane nezavisnog proizvođača bez osnovne bezbednosti ili je bezbednosni tim nepropisno upravljao njima zbog problema, kao što su protokoli u vlasništvu proizvođača i zahtevi o dostupnosti (OT). Saznajte koliko istaknutih ljudi u informacionim tehnologijama sada unapređuju bezbednosnu strategiju za IoT/OT kako bi upravljali tom granicom prepunom propusta.
Oblak je bezbedan, ali da li bezbedno upravljate okruženjem oblaka?
U vreme manjka stručnjaka i štednje, tehnologija oblaka nudi brojne pogodnosti – isplativost, beskonačno prilagodljive resurse, najmodernije alatke i pouzdaniju zaštitu podataka od one koja može lokalno da se postigne, po mišljenju većine istaknutih ljudi u bezbednosti. Premda su vodeći direktori za bezbednost informacija nekada mislili da resursi u oblaku nose veći rizik od izloženosti, ali da su isplativiji, većina istaknutih ljudi u bezbednosti sa kojima danas razgovaramo prihvatila je oblak kao novu normalnost. Imaju poverenja u jaku osnovnu bezbednost tehnologije oblaka: „Očekujem da dobavljači usluga u oblaku drže sve pod kontrolom u pogledu upravljanja identitetima i pristupom, bezbednosti sistema i fizičke bezbednosti“, rekao je jedan vodeći direktor za bezbednost informacija.
Međutim, kao što mnogi istaknuti ljudi u bezbednosti konstantuju, osnovna bezbednost tehnologije oblaka ne garantuje bezbednost vaših podataka – zaštita vaših podataka u oblaku mnogo zavisi od toga kako se usluge u oblaku primenjuju zajedno sa lokalnim sistemima i interno napravljenom tehnologijom. Rizik se javlja u prazninama između oblaka i tradicionalne granice organizacije – smernica i tehnologija koje se koriste za obezbeđenje oblaka. Pogrešne konfiguracije se dešavaju, zbog čega su organizacije često izložene i zavise od bezbednosnih timova u smislu uočavanja i otklanjanja propusta.
„Veliki broj proboja se dešava zbog pogrešnih konfiguracija, kada neko slučajno pogrešno konfiguriše nešto ili promeni nešto što dovodi do curenja podataka.“
Sektor komunalnih usluga – vodovod, 1390 zaposlenih
Do 2023. godine, 75% proboja bezbednosti u oblaku će biti posledica neodgovarajućeg upravljanja identitetima, pristupom i privilegijama, što je porast u odnosu na 50% iz 2020. godine (Pogrešna konfiguracija i ranjivosti su najveći rizici u bezbednosti u oblaku: Izveštaj | CSO Online). Problem ne leži u bezbednosti samog oblaka, već u smernicama i kontrolama koje se koriste za obezbeđenje pristupa. Kako jedan vodeći direktor za bezbednost informacija u finansijskim uslugama kaže: „Bezbednost u oblaku je veoma dobra ako se pravilno koristi. Sam oblak i njegove komponente su bezbedni. Međutim, stvar je u konfiguraciji: da li pravilno pišem kôd? Da li ispravno postavljam konektore širom preduzeća?“ Druga istaknuta osoba u bezbednosti rezimira problem: „Pogrešna konfiguracija tih usluga u oblaku predstavljaju vrata zlonamernim akterima ka njima.“ Kako sve više istaknutih ljudi u bezbednosti postaje svesno rizika pogrešne konfiguracije oblaka, kada se priča o bezbednosti u oblaku, više se ne postavlja pitanje „Da li je oblak bezbedan?“, već „Da li ja koristim oblak na bezbedan način?“.
Šta podrazumeva bezbedno korišćenje oblaka? Mnogi istaknuti ljudi sa kojima razgovaram pristupaju strategiji bezbednosti u oblaku od temelja i bave se ljudskim greškama koje izlažu organizaciju riziku, kao što su proboj identiteta i pogrešne konfiguracije. To je takođe u skladu sa našim preporukama –obezbeđivanje identiteta i prilagođeno upravljanje pristupima definitivno su osnova svake strategije bezbednosti u oblaku.
Ako vas to još uvek nije ubedilo, možda ovo hoće: Kompanija McAfee je objavila da je 70% izložene evidencije – 5,4 milijarde – bilo ugroženo zbog pogrešno konfigurisanih usluga i portala. Upravljanjem pristupom kroz kontrole identiteta i primenom jake bezbednosne higijene može mnogo da se postigne u pogledu otklanjanja propusta. Isto tako, kompanija McAfee je objavila da je 70% izložene evidencije – 5,4 milijarde – bilo ugroženo zbog pogrešno konfigurisanih usluga i portala. Upravljanjem pristupom kroz kontrole identiteta i primenom jake bezbednosne higijene može mnogo da se postigne u pogledu otklanjanja propusta.
Robusna strategija bezbednosti u oblaku podrazumeva ove najbolje prakse:
1. Primenite strategiju zaštite aplikacija u oblaku (CNAPP) s kraja na kraj: Upravljanje bezbednošću pomoću fragmentiranih alatki može da dovede do rupa u zaštiti i većih troškova. Sveobuhvatna platforma koja omogućava ugradnju bezbednosti od koda do oblaka ključna je za smanjenje ukupne površine napada u oblaku i automatizovanje zaštite od pretnji. Strategija CNAPP podrazumeva sledeće najbolje prakse:
a. Dajte prioritet bezbednosti od samog početka koristeći metodologiju DevOps. Bezbednost može da omane u žurbi da se naprave aplikacije u oblaku. Projektanti imaju motivaciju da brzo reše poslovni problem, ali možda nemaju veštine u vezi sa bezbednošću u oblaku. Zbog toga može da dođe do pojave velikog broja aplikacija bez odgovarajućih pravila o autorizaciji podataka. Programski interfejsi aplikacija su postali glavna meta hakera jer organizacije često ne mogu da ih isprate zbog brzine pravljenja aplikacija u oblaku. Gartner smatra da je „širenje programskih interfejsa aplikacija“ sve veći problem i predviđa da će se do 2025. godine kontrolisati manje od pola programskih interfejsa aplikacija preduzeća (Gartner). Zato je ključno da se strategija DevSecOps primeni što je pre moguće.
b. Ojačajte stanje bezbednosti u oblaku i popravite pogrešne konfiguracije. Pogrešne konfiguracije su najčešći uzrok proboja oblaka – pogledajte najčešće pogrešne konfiguracije u postavci bezbednosnih grupa organizacije Cloud Security Alliance . Premda su resursi za skladištenje otvoreni za javnost najčešći strah sa kojim se suočavamo, vodeći direktori za bezbednost informacija navode i druge oblasti koje se zanemaruju: onemogućeno nadgledanje i vođenje evidencije, previše dozvola, nezaštićene rezervne kopije itd. Šifrovanje je važna zaštita od lošeg upravljanja i ključno za smanjenje rizika od ransomvera. Alatke za upravljanje stanjem bezbednosti u oblaku nude još jednu liniju odbrane, a to je nadgledanje resursa u oblaku za slučaj izloženosti i pogrešnih konfiguracija pre napada, tako da proaktivno možete da smanjite površinu napada.
c. Automatizujte otkrivanje, reagovanje i analizu incidenata. Dobro je uočiti i popraviti pogrešne konfiguracije, ali moramo i da budemo sigurni da imamo alatke i procese za uočavanje napada koji zaobiđu odbranu. Tu mogu da pomognu alatke za upravljanje uočavanjem pretnje i reagovanjem na nju.
d. Steknite pravo da upravljate pristupom. Višestruka potvrda identiteta, jedinstveno prijavljivanje, kontrola pristupa na osnovu uloga, upravljanjem dozvolama i sertifikacije pomažu u upravljanju dvama najvećim rizicima za bezbednost u oblaku: korisnikom i pogrešno konfigurisanim digitalnim svojstvima. Najmanje pristupa je najbolja praksa u upravljanju pravima na infrastrukturu u oblaku (CIEM). Neki istaknuti ljudi se oslanjaju na rešenja za upravljanje pristupom identitetu ili upravljanje pravima kako bi postavili aktivne kontrolne bezbednosti. Jedna istaknuta osoba u finansijskim uslugama oslanja se na posrednika za bezbedan pristup u oblaku (CASB) kao „ključnu preventivu“ za upravljanje SaaS uslugama organizacije i održavanje kontrole nad korisnicima i podacima. CASB je posrednik između korisnika i aplikacija u oblaku, koji pruža vidljivost i sprovodi mere upravljanja preko smernica. preventivu“ za upravljanje SaaS uslugama organizacije i održavanje kontrole nad korisnicima i podacima. CASB je posrednik između korisnika i aplikacija u oblaku, koji pruža vidljivost i sprovodi mere upravljanja preko smernica.
Platforma za zaštitu aplikacija u oblaku, poput one koja se nudi u rešenju Microsoft Defender for Cloud, ne samo da nudi vidljivost širom resursa sa više oblaka, već nudi i zaštitu u svim slojevima okruženja, dok nadgleda da li ima pretnji i povezuje upozorenja u incidente, koji se integrišu sa vašim upravljanjem bezbednosnim informacijama i događajima. Time se olakšavaju istrage i pomaže SOC timovima da drže upozorenja širom platforme pod kontrolom.
Bolje sprečiti otklanjanjem propusta u identitetu i pogrešnoj konfiguraciji, zajedno sa robustnim alatkama za reagovanje na napad jer se tako uspešno obezbeđuje čitavo okruženje oblaka, od korporativne mreže do usluga u oblaku.
Sveobuhvatno stanje bezbednosti kreće od vidljivosti, a završava se upravljanjem prioritetnim rizikom.
Prelazak na IT usredsređene na tehnologiju oblaka ne samo da izlaže organizaciju propustima u primeni, već i naglom rastu niza umreženih resursa – uređaja, aplikacija, krajnjih tačaka – kao i izloženom paketu funkcija na oblaku. Istaknuti ljudi u bezbednosti upravljaju stanjem u ovom okruženju bez granica pomoću tehnologija koje pružaju vidljivost i daju prioritet reakciji. Te alatke pomažu organizacijama da mapiraju popis resursa koji obuhvata čitavu površinu napada, upravljane i neupravljane uređaje, kako unutar mreže organizacije, tako i van nje. Pomoću tih resursa, vodeći direktori za bezbednost informacija mogu da procene stanje bezbednosti svakog resursa, kao i njegovu ulogu u poslovanju da bi napravili model prioritetnih rizika.
U razgovorima sa istaknutim ljudima u bezbednosti, uočavamo prelazak sa bezbednosti zasnovane na granicama na pristup zasnovan na stanju bezbednosti, koji usvaja ekosistem bez granica.
Kako jedan vodeći direktor za bezbednost informacija kaže: „Za mene se stanje svodi na identitet... Više ne gledamo na to kao na staro tradicionalno stanje gde se nalazi granica, već sve to pomeramo do krajnje tačke.” (Sektor komunalnih usluga – vodovod, 1390 zaposlenih). „Identitet je postao nova granica”, komentariše vodeći direktor za bezbednost informacija u finansijskoj tehnologiji i pita: „Šta identitet predstavlja u ovom novom modelu, gde ne postoje spoljašnjost i unutrašnjost?“ (Finansijska tehnologija, 15.000 zaposlenih).
S obzirom na to propusno okruženje, vodeći direktori za bezbednost informacija razumeju hitnost za upravljanjem sveobuhvatnim stanjem, ali se mnogi pitaju da li imaju resurse i digitalnu zrelost da sprovedu tu viziju u praksi. Srećom, kombinovanjem okvira dokazanih u sektoru (ažuriranih za današnje potrebe) i bezbednosnih inovacija, upravljanje sveobuhvatnim stanjem je dostižno većini organizacija.
Nabavite alatke u kibernetičkoj infrastrukturi koje vam omogućavaju da popišete resurse. Kao drugo, pogledajte koje su kritične, koje su najrizičnije za organizaciju i probajte da shvatite koje su potencijalne ranjivosti tih uređaja i odlučite da li je to prihvatljivo – da li treba da ih zakrpite ili odvojite.
Ken Malkomson, izvršni savetnik za bezbednost, Microsoft
Slede neke od najboljih praksi i alatki koje istaknuti ljudi u bezbednosti koriste da upravljaju svojim stanjem u otvorenim okruženjima usredsređenim na tehnologiju oblaka:
1. Postignite sveobuhvatnu vidljivost pomoću popisa resursa.
Vidljivost je prvi korak ka upravljanju sveobuhvatnim stanjem. Vodeći direktori za bezbednost informacija pitaju: „Da li uopšte znamo šta sve imamo kao prvi korak? Da li uopšte imamo vidljivost pre nego što možemo da pređemo na upravljanje?“ Popis rizičnih resursa obuhvata IT sredstva, kao što su mreže i aplikacije, baze podataka, serveri, svojstva u oblaku, svojstva interneta stvari, kao i podatke i IP resurse koji se čuvaju u toj digitalnoj infrastrukturi. Većina platformi, kao što su Microsoft 365 ili Azure, sadrže ugrađene alatke za popis resursa koje mogu da pomognu sa prvim koracima.
Vidljivost je prvi korak ka upravljanju sveobuhvatnim stanjem. Vodeći direktori za bezbednost informacija pitaju: „Da li uopšte znamo šta sve imamo kao prvi korak? Da li uopšte imamo vidljivost pre nego što možemo da pređemo na upravljanje?“ Popis rizičnih resursa obuhvata IT sredstva, kao što su mreže i aplikacije, baze podataka, serveri, svojstva u oblaku, svojstva interneta stvari, kao i podatke i IP resurse koji se čuvaju u toj digitalnoj infrastrukturi. Većina platformi, kao što su Microsoft 365 ili Azure, sadrže ugrađene alatke za popis resursa koje mogu da pomognu sa prvim koracima.
2. Procenite ranjivost i analizirajte rizik.
Kada organizacija ima sveobuhvatan popis resursa, moguća je analiza rizika u pogledu unutrašnjih ranjivosti i spoljnih pretnji. Taj korak veoma zavisi od konteksta i jedinstven je za svaku organizaciju – pouzdana procena rizika zavisi od stabilnog partnerstva između timova za bezbednost, IT i podatke. Taj višefunkcionalni tim u analizi koristi alatke za automatsko ocenjivanje rizika i određivanje prioriteta među rizicima, na primer alatke za određivanje prioriteta među rizicima integrisane u Microsoft Entra ID, Microsoft Defender XDR i Microsoft 365. Tehnologije za automatsko ocenjivanje rizika i određivanje prioriteta među rizicima sadrže i stručni vodič za otklanjanje propusta, kao i kontekstualne informacije za efikasno reagovanje na pretnje.
Kada organizacija ima sveobuhvatan popis resursa, moguća je analiza rizika u pogledu unutrašnjih ranjivosti i spoljnih pretnji. Taj korak veoma zavisi od konteksta i jedinstven je za svaku organizaciju – pouzdana procena rizika zavisi od stabilnog partnerstva između timova za bezbednost, IT i podatke. Taj višefunkcionalni tim u analizi koristi alatke za automatsko ocenjivanje rizika i određivanje prioriteta među rizicima, na primer alatke za određivanje prioriteta među rizicima integrisane u Microsoft Entra ID, Microsoft Defender XDR i Microsoft 365. Tehnologije za automatsko ocenjivanje rizika i određivanje prioriteta među rizicima sadrže i stručni vodič za otklanjanje propusta, kao i kontekstualne informacije za efikasno reagovanje na pretnje.
3. Odredite prioritet među rizicima i bezbednosnim potrebama pomoću modeliranja poslovnog rizika.
Kada jasno razumeju pejzaž rizika, tehnički timovi mogu da rade sa poslovnim liderima na određivanju prioriteta među bezbednosnim intervencijama u pogledu poslovnih potreba. Razmotrite ulogu svakog resursa, njegov značaj za poslovanje i rizik po poslovanje ako se ugrozi i postavljajte pitanja u stilu: „Koliko su osetljive ove informacije i kako bi njihova izloženost uticala na poslovanje?“ ili „Koliko su ovi sistemi značajni za misiju – kako bi zastoj uticao na poslovanje?“ Microsoft nudi alatke kao pomoć u sveobuhvatnom uočavanju ranjivosti i određivanju prioriteta među njima u skladu sa modeliranjem poslovnog rizika, kao što su Microsoft Secure Score, Microsoft ocena usaglašenosti, Azure Secure Score, Microsoft Defender upravljanje spoljnom površinom napada i Upravljanje ranjivostima za Microsoft Defender.
Kada jasno razumeju pejzaž rizika, tehnički timovi mogu da rade sa poslovnim liderima na određivanju prioriteta među bezbednosnim intervencijama u pogledu poslovnih potreba. Razmotrite ulogu svakog resursa, njegov značaj za poslovanje i rizik po poslovanje ako se ugrozi i postavljajte pitanja u stilu: „Koliko su osetljive ove informacije i kako bi njihova izloženost uticala na poslovanje?“ ili „Koliko su ovi sistemi značajni za misiju – kako bi zastoj uticao na poslovanje?“ Microsoft nudi alatke kao pomoć u sveobuhvatnom uočavanju ranjivosti i određivanju prioriteta među njima u skladu sa modeliranjem poslovnog rizika, kao što su Microsoft Secure Score, Microsoft ocena usaglašenosti, Azure Secure Score, Microsoft Defender upravljanje spoljnom površinom napada i Upravljanje ranjivostima za Microsoft Defender.
4. Napravite strategiju za upravljanje stanjem.
Popis resursa, analiza rizika i model poslovnog rizika čine osnovu upravljanja sveobuhvatnim stanjem. Vidljivost i uvid pomažu bezbednosnom timu da odluče kako da najbolje raspodele resurse, koje mere jačanja moraju da se primene i kako da se optimizuje balans između rizika i upotrebljivosti za svaki segment mreže.
Popis resursa, analiza rizika i model poslovnog rizika čine osnovu upravljanja sveobuhvatnim stanjem. Vidljivost i uvid pomažu bezbednosnom timu da odluče kako da najbolje raspodele resurse, koje mere jačanja moraju da se primene i kako da se optimizuje balans između rizika i upotrebljivosti za svaki segment mreže.
Rešenja za upravljanje stanjem nude analizu vidljivosti i ranjivosti da bi pomogla organizacijama da shvate na šta da usmere trud ka poboljšanju stanja. Uz taj uvid, mogu da uoče važne oblasti u površinama napada i da odrede prioritet među njima.
Oslonite se na model nulte pouzdanosti i higijenu da biste ukrotili neverovatno raznovrsno i veoma povezano okruženje interneta stvari operativne tehnologije
Dva problema o kojima smo razgovarali – propusti u primeni tehnologije oblaka i nagli porast uređaja povezanih na oblak – stvaraju plodno tlo za rizik u okruženjima IoT i OT uređaja. Pored prirodnog rizika proširene površine napada koju su uzrokovali IoT i OT uređaji, istaknuti ljudi u bezbednosti mi kažu da pokušavaju da osmisle strategije za spajanje interneta stvari, koji je u začetku, i zastarele operativne tehnologije. IoT jeste u oblaku, ali ti uređaji često daju prioritet poslovnoj ekspeditivnosti nauštrb osnovne bezbednosti, a OT je često zastarela oprema kojom upravlja spoljni dobavljač i koja je napravljena bez moderne bezbednosti i neplanski uvedena u IT mrežu organizacije.
IoT i OT uređaji pomažu organizacijama da modernizuju radni prostor, da se više oslanjaju na podatke i da smanje zahteve prema zaposlenima kroz strateške promene, kao što su daljinsko upravljanje i automatizacija. International Data Corporation (IDC) procenjuje da će biti 41,6 milijardi povezanih IoT uređaja do 2025. godine, što je stopa rasta veća od stope tradicionalnih IT uređaja.
Međutim, ova prilika donosi i značajan rizik. Naš izveštaj „Cyber Signals“ od decembra 2022. godine „Spajanje IT i operativne tehnologije“razmatra rizik po kritičnu infrastrukturu koji te tehnologije nose.
Ovo su ključni nalazi:
1. Sedamdeset i pet posto najčešćih industrijskih kontrolera u OT mrežama klijenata ima veoma ozbiljne, nezakrpljene ranjivosti.
2. Od 2020. do 2022. godine, zabeležen je porast od 78% u otkrivanju veoma ozbiljnih ranjivosti u industrijskoj opremi za kontrolu koju su proizveli popularni dobavljači.
3. Mnogi uređaji koji su javno vidljivi na internetu koriste nepodržane softvere. Na primer, zastareli softver Boa se još uvek naširoko koristi za IoT uređaje i komplete za razvoj programa (SDK).
IoT uređaji su često najslabija karika u digitalnim sredstvima. Pošto se njima ne upravlja, ne ažuriraju se i ne krpe se na isti način kao tradicionalni IT uređaji, mogu da posluže kao pogodan prolaz napadačima koji žele da se infiltriraju u IT mrežu. Kada im se pristupi, IoT uređaji su podložni daljinskim izvršenjima kodova. Napadač može da preuzme kontrolu i iskoristi ranjivosti da bi ubacio botnete ili malver u IoT uređaj. U tom trenutku, uređaj može da posluži kao otvorena vrata ka celoj mreži.
Uređaji operativne tehnologije predstavljaju još zloslutniji rizik jer su mnogi ključni za rad organizacije. Nekada su bili van mreža ili fizički odvojeni od korporativne IT mreže, a sada se OT mreže sve više mešaju sa IT i IoT sistemima. U našoj studiji iz novembra 2021. godine sprovedenoj zajedno sa institutom Ponemon Stanje kibernetičke bezbednsoti interneta stvari i operativne tehnologije u velikim preduzećimaotkrili smo da je više od pola OT mreža sada povezano sa korporativnim IT (poslovnim) mrežama. Sličan udeo kompanija – 56 posto ima uređaje povezane na internet na OT mreži, na primer, radi daljinskog pristupa.
„Skoro svaki napad koji smo videli prošle godine počeo je prvo sa pristupom IT mreži, koji je iskorišćen za pristup OT okruženju.“
Dejvid Ač, Microsoft informacije o pretnjama, rukovodilac istraživanja bezbednosti na internetu stvari i u operativnoj tehnologiji
Mogućnost povezivanja operativne tehnologije izlaže organizacije riziku od velikih smetnji i zastoja u slučaju napada. OT je često srž poslovanja, pa je samim tim primamljiva meta za napadače, koju mogu da iskoriste da izazovu znatnu štetu. Sami uređaji mogu da budu lake mete jer često sadrže brownfield ili zastarelu opremu koja nije bezbedna zbog načina na koji je projektovana, napravljena je pre modernih bezbednosnih praksi i može da ima protokole u vlasništvu proizvođača koji mogu da promaknu standardnim IT alatkama za nadgledanje. Napadači obično iskorišćavaju te tehnologije otkrivanjem izloženih sistema dostupnih na internetu, dobijanjem pristupa pomoću akreditiva za prijavu zaposlenih ili iskorišćavanjem pristupa datog spoljnim dobavljačima i izvođačima. ICS protokoli koji se ne nadgledaju jedna su od čestih ulaznih tačaka kod napada na operativnu tehnologiju (Microsoft izveštaj o digitalnoj bezbednosti za 2022.).
Da bi se izborili sa jedinstvenim problemom upravljanja bezbednošću interneta stvari i operativne tehnologije širom mešovitog kontinuuma različitih uređaja povezanih na različite načine na IT mrežu, istaknuti ljudi u bezbednosti se pridržavaju ovih najboljih praksi:
1. Postignite sveobuhvatnu vidljivost uređaja.
Razumevanje svih resursa unutar mreže, kako je sve međusobno povezano i poslovnog rizika i izloženosti na svakoj tački povezivanja predstavlja ključnu osnovu za efikasno upravljanje internetom stvari i operativnom tehnologijom. Rešenje za otkrivanje i reagovanje na mreži (NDR) sa poznavanjem interneta stvari i operativne tehnologije i SIEM, kao što je Microsoft Sentinel, takođe mogu da vam omoguće bolju vidljivost IoT/OT uređaja na vašoj mreži i nadgledanje za slučaj anomalnih ponašanja, kao što je komunikacija sa nepoznatim hostovima. (Za više informacija o upravljanju izloženim ICS protokolima u operativnoj tehnologiji, pogledajte „Jedinstveni bezbednosni rizik IOT uređaja“ Microsoft bezbednost).
Razumevanje svih resursa unutar mreže, kako je sve međusobno povezano i poslovnog rizika i izloženosti na svakoj tački povezivanja predstavlja ključnu osnovu za efikasno upravljanje internetom stvari i operativnom tehnologijom. Rešenje za otkrivanje i reagovanje na mreži (NDR) sa poznavanjem interneta stvari i operativne tehnologije i SIEM, kao što je Microsoft Sentinel, takođe mogu da vam omoguće bolju vidljivost IoT/OT uređaja na vašoj mreži i nadgledanje za slučaj anomalnih ponašanja, kao što je komunikacija sa nepoznatim hostovima. (Za više informacija o upravljanju izloženim ICS protokolima u operativnoj tehnologiji, pogledajte „Jedinstveni bezbednosni rizik IOT uređaja“ Microsoft bezbednost).
2. Segmentirajte mreže i primenite principe Nulta pouzdanost.
Kad god je moguće, segmentirajte mreže da biste sprečili bočna kretanja u slučaju napada. Uređaji za internet stvari i mreže za operativnu tehnologiju ne treba da budu povezani sa internetom i treba da se izoluju od korporativnih IT mreža zaštitnim zidovima. Isto tako je važno i da pretpostavite da su vaši OT i IT spojeni i da napravite protokole modela nulte pouzdanosti širom površine napada. Segmentacija mreže je sve manje izvodljiva. U regulisanim organizacijama, kao što su zdravstvo, komunalne usluge i proizvodnja, na primer, povezanost na relaciji OT–IT je ključna za funkcionisanje poslovanja. Uzmimo za primer mamografe ili pametnu MR koji se povezuju na elektronske zdravstvene kartone, pametne proizvodne linije ili prečišćivače vode za koje je neophodno daljinsko nadgledanje. U tim slučajevima, nulta pouzdanost je ključna.
Kad god je moguće, segmentirajte mreže da biste sprečili bočna kretanja u slučaju napada. Uređaji za internet stvari i mreže za operativnu tehnologiju ne treba da budu povezani sa internetom i treba da se izoluju od korporativnih IT mreža zaštitnim zidovima. Isto tako je važno i da pretpostavite da su vaši OT i IT spojeni i da napravite protokole modela nulte pouzdanosti širom površine napada. Segmentacija mreže je sve manje izvodljiva. U regulisanim organizacijama, kao što su zdravstvo, komunalne usluge i proizvodnja, na primer, povezanost na relaciji OT–IT je ključna za funkcionisanje poslovanja. Uzmimo za primer mamografe ili pametnu MR koji se povezuju na elektronske zdravstvene kartone, pametne proizvodne linije ili prečišćivače vode za koje je neophodno daljinsko nadgledanje. U tim slučajevima, nulta pouzdanost je ključna.
3. Koristite higijenu upravljanja bezbednošću interneta stvari i operativne tehnologije.
Bezbednosni timovi mogu da otklone propuste osnovnim higijenskim praksama, kao na primer:
Bezbednosni timovi mogu da otklone propuste osnovnim higijenskim praksama, kao na primer:
- uklanjanjem nepotrebnih internet veza i otvorenih portova, ograničavanjem ili odbijanjem udaljenog pristupa i korišćenjem VPN usluga
- upravljanjem bezbednošću uređaja primenom zakrpa i menjanjem podrazumevanih lozniki i portova
- obezbeđivanjem da ICS protokoli ne budu direktno izloženi internetu
Za akcioni vodič o postizanju tog nivoa uvida i upravljanja, pogledajte „Jedinstveni rizik IoT/OT uređaja“, Microsoft Security Insider.
Akcioni uvidi
1. Koristite rešenje za otkrivanje i reagovanje na mreži (NDR) sa poznavanjem interneta stvari/OT i upravljanje bezbednosnim informacijama i događajima (SIEM)/bezbednosnu orkestraciju i reagovanje (SOAR) da biste imali bolju vidljivost IoT/OT uređaja na vašoj mreži, nadgledali uređaje za slučaj anomalnih ili neovlašćenih ponašanja, kao što je komunikacija sa nepoznatim hostovima
2. Zaštitite inženjerske stanice praćenjem pomoću rešenja za otkrivanje i reagovanje na krajnjim tačkama (EDR)
3. Smanjite površinu napada uklanjanjem nepotrebnih internet veza i otvorenih portova, ograničavanjem udaljenog pristupa tako što ćete blokirati portove, odbijanjem udaljenog pristupa i korišćenjem VPN usluga
4. Postarajte se da ICS protokoli ne budu direktno izloženi internetu
5. Izvršite segmentiranje mreža kako biste ograničili mogućnost napadača da se kreće bočno i da nakon početnog upada ugrozi resurse. Uređaji za internet stvari i mreže za operativnu tehnologiju treba da se izoluju zaštitnim zidovima od korporativnih IT mreža
6. Postarajte se da uređaji budu izdržljivi tako što ćete primeniti zakrpe, promeniti podrazumevane lozinke i portove
7. Pretpostavite da su vaši OT i IT spojeni i napravite protokole modela nulte pouzdanosti na površini napada
8. Obezbedite da OT i IT budu organizaciono usklađeni pospešivanjem veće vidljivosti i integracije timova
9. Uvek primenjujte najbolje prakse za bezbednost interneta stvari/operativne tehnologije zasnovane na osnovnim informacijama o pretnji
Kako istaknuti ljudi u bezbednosti koriste priliku da unapređuju svoja digitalna sredstva uprkos sve većim pretnjama i pritiscima da postignu više pomoću manjeg broja resursa, tehnologija oblaka se pojavljuje kao osnova moderne bezbednosne strategije. Kao što smo videli, prednosti pristupa usredsređenog na tehnologiju oblaka veće su od rizika, naročito za organizacije koje koriste najbolje prakse da upravljaju okruženjima oblaka robustnom strategijom za bezbednost u oblaku, upravljanje sveobuhvatnim stanjem i konkretne taktike za otklanjanje propusta na granici između IoT i OT.
Pogledajte naše sledeće izdanje za još bezbednosnih analiza i uvida. Hvala vam što čitate CISO Insider!
Za akcioni vodič o postizanju tog nivoa uvida i upravljanja, pogledajte „Jedinstveni rizik IoT/OT uređaja“, Microsoft Security Insider.
Za sva navedena istraživanja kompanije Microsoft korišćene su nezavisne istraživačke firme za kontaktiranje stručnjaka za bezbednost radi kvantitativnih i kvalitativnih studija, uz obezbeđivanje zaštite privatnosti i analitičke temeljnosti. Citati i nalazi u ovom dokumentu predstavljaju rezultat studija iz istraživanja kompanije Microsoft ako nije navedeno drugačije.
Pratite Microsoft