Trace Id is missing

CISO Insider: Nummer 1

Ladda ned
Dela
En man tittar på en surfplatta i ett lager.

Navigera i dagens hotlandskap med exklusiva analyser och rekommendationer från säkerhetsansvariga

Jag heter Rob Lefferts, och jag leder Microsoft 365 Security Engineering-teamet. Mitt team – och de Microsoft-säkerhetsforskningsteam vi samarbetar med – jobbar outtröttligt för att avslöja och bekämpa de senaste hottrenderna som vårt företag, våra kunder och hela det globala samfundet står inför.

Fram till nu har vi bara delat våra hotbeskrivningar internt, men vi har beslutat att börja publicera dem offentligt i form av CISO Insider. Vårt mål är att ge organisationer världen över den senaste informationen och vägledningen om säkerhet så att de kan skydda sig själva och sina kunder mer effektivt mot cyberbrott.

Vi inleder det här första numret med tre ämnen som är viktiga för många av oss:

  • Attacktrender: Attackerna förändras, men grundläggande säkerhet ger fortfarande ett värdefullt skydd
  • Risken med att göra affärer: Hantera hot mot försörjningskedjan
  • Nya tillvägagångssätt för att lösa bristen på kompetens inom säkerhet

Covid-19 har ökat organisationernas beroende av arbetsplatsflexibilitet och påskyndat den digitala omvandlingen, och dessa förändringar har naturligtvis också krävt vissa förändringar i säkerhetstaktik. Perimetern har utökats och blir allt mer hybrid, och den sträcker sig nu över flera moln och plattformar. Även om ny teknik har varit till fördel för många organisationer och möjliggjort produktivitet och tillväxt även i utmanande tider, har förändringarna också lett till nya möjligheter för cyberbrottslingar, som försöker exploatera de säkerhetsrisker som finns i allt mer komplexa digitala miljöer.

Ökningen av nätfiskeattacker i samband med distansarbete är ett stort bekymmer för de säkerhetsexperter jag pratar med – och detta återspeglas också i vår forskning. I en Microsoft-undersökning av säkerhetsansvariga som genomfördes 2020 berättade 55 procent för oss att deras organisationer hade identifierat en ökning av nätfiskeattacker sedan pandemins början, och 88 procent uppgav att nätfiskeattacker hade påverkat deras organisationer. Jag hör också regelbundet om ökningen av attacker med utpressningstrojaner, hur skadlig kod är ett konstant hot och hur identitetskompromettering fortsätter att vara en stor utmaning för säkerhetsteamen.

Dessutom vet vi att statligt understödda attacker blir allt mer aggressiva och ihållande. NOBELIUM-attacken mot försörjningskedjan, som utnyttjade SolarWinds-plattformen, var en av många nya attacker som skapade rubriker under det senaste året. Även om det ofta är spännande nya tekniker som dominerar nyhetsflödet, berättar CISO:ar regelbundet för mig att även dessa avancerade hotaktörer, som de flesta cyberbrottslingar, tenderar att fokusera på möjligheter till mycket lönsamma attacker med låga kostnader.

”Statligt understödda attacker mot mig och mitt företag är som ett blixtnedslag. Det kan hända och jag oroar mig för det, men inte lika mycket som jag oroar mig för mina dagliga aktiviteter, min grundläggande säkerhet.”
CISO inom finansiella tjänster

Detta illustreras också av att vi sett en ökning av nationella statsaktörer som drar nytta av lösenordsattacker. Att leda säkerhetsarbetet handlar om att hantera risker och prioritera – och många säkerhetschefer berättar att deras högsta prioritet är att stärka sin cyberhygien för att förhindra de vanligaste attackerna, särskilt med tanke på deras växande digitala fotavtryck. Våra data och vår forskning stöder denna uppfattning. Vi uppskattar att grundläggande säkerhetshygien fortfarande skyddar mot 98 procent av attackerna (se sida 124 i Microsofts rapport om digitalt försvar, oktober 2021).

De flesta säkerhetsansvariga jag pratar med är överens om de grundläggande stegen i en säkerhetsstrategi:

  • Implementering av multifaktorautentisering (MFA) och en registreringsprincip
  • Synliggörande av miljön
  • Användarutbildning
  • Koll på korrigering och hantering av säkerhetsrisker
  • Hantering och skydd av alla enheter
  • Säkra konfigurationer av lokala och molnbaserade resurser och arbetsbelastningar
  • Säkerställande av säkerhetskopiering i händelse av värsta tänkbara återställningsscenarier
”I slutändan är det för det mesta … ett dumt lösenord på ett privilegierat konto, eller att någon inte implementerade ett certifikat på en nödvändig slutpunkt.”
CISO inom vårdbranschen

Du kanske tänker att det är lätt att prata om grundläggande säkerhetssteg, men mycket svårare att implementera dem i verkligheten, särskilt när ett team är överbelastat och underbemannat. Men jag skulle hävda att säkerhetsledarens jobb handlar om att hantera både risk och prioritering – och det gör ett fokus på grunderna till ett väldigt pragmatiskt tillvägagångssätt. När det gäller säkerhetsincidenter är frågan allt för ofta inte OM, utan NÄR. Det finns hundratals alarmerande cybersäkerhetssiffror. Exempelvis begås 4 000 cyberbrottsattacker varje dag bara i USA, och mer än 30 000 webbplatser runt om i världen hackas dagligen.

Jag tror på att den bästa försvarslinjen är att använda ett balanserat tillvägagångssätt och att investera i identifiering och åtgärd av incidenter tillsammans med förebyggande.

Även om det kan verka svårt att investera i nya nivåer av förebyggande åtgärder samtidigt som man försöker hålla jämna steg med ökande krav på identifiering och åtgärd, är det både viktigt och fördelaktigt att hitta den rätta balansen mellan de två insatserna. Enligt en studie från Ponemon Institute och IBM Security från 2021 ökade den genomsnittliga kostnaden för dataläckor med 55 procent för organisationer som inte hade ett incidenthanteringsteam eller en plan på plats. Säkerhetsteam som kan balansera robust förebyggande med en strategi som omfattar incidentsvar och investeringar i identifierings- och reparationsverktyg, har goda förutsättningar för att klara av det oundvikliga.

Slutsatsen?

Använd ett balanserat tillvägagångssätt – få grunderna på plats och ha en plan för potentiella säkerhetsöverträdelser.
  • Investering i grundläggande cyberhygien och utökning av den till den växande digitala miljön är en viktig strategi för att skydda ditt företag mot att attacker sker i första hand.
  • Även om dessa stora attacker inte sker varje dag, är det viktigt att vara förberedd. Grundläggande säkerhetsåtgärder är avgörande, men framsynta organisationer strävar också efter att ha en väldokumenterad och beprövad plan för vad de ska göra efter en överträdelse.

Vi går vidare till nästa viktiga ämne för CISO:ar idag: försörjningskedjor och de hot som är förknippade med dem. Utökning av säkerhetsperimetern utanför säkerhetsorganisationen och IT till följd av en allt mer sammankopplad och komplex försörjningskedja är en realitet i dagens affärsmiljö. En rapport från Sonatype från september 2021 konstaterade att attackerna mot försörjningskedjan ökade med 650 procent på årsbasis från 2020.

Ja, du läste rätt – 650 %!

Och nya realiteter för verksamheter – som hybridarbete och olika typer av störningar i försörjningskedjan, som påverkar alla branscher – har flyttat gränserna för säkerhet och identitet ytterligare.
1 013

Genomsnittligt antal leverantörer i ett företags försörjningskedja

Källa: BlueVoyant,

”CISO Supply Chain”, 2020

64 %

av företagen säger att de outsourcar mer än en fjärdedel av sina dagliga verksamhetsuppgifter till leverantörer som behöver tillgång till deras verksamhetsdata

Källa: (ISC)2, ”Securing the Partner Ecosystem”, 2019

Det är inte så konstigt att säkerhetsansvariga är mer uppmärksamma på risker i försörjningskedjan. Varje länk i försörjningskedjan är inte bara viktig för verksamhetens drift, utan störningar var som helst i kedjan kan vara skadliga på en mängd olika sätt.

När säkerhetsansvariga utökar outsourcing till leverantörer för appar, infrastruktur och mänskligt kapital, letar de efter effektivare ramverk och verktyg för att hjälpa till att bedöma och minska risker på olika leverantörsnivåer. 650 procent är ju en skrämmande siffra – och vi är alla utsatta.

CISO:ar berättar för mig att även om traditionella granskningsåtgärder kan vara effektiva för att minska riskerna under urvalsprocessen eller under kontroller, brottas deras team med svagheterna i tidpunktsbaserade granskningar, bland annat:

  • Processen för granskning av leverantörer består ofta bara av ett frågeformulär eller en ”checklista”, och tar inte hänsyn till alla risker som är förknippade med dagens försörjningskedjor.
  • När en leverantör väl har registrerats baseras granskningscykeln bara på en viss tidpunkt, ofta årligen eller när kontrakt förnyas.
  • Ofta tillämpar olika avdelningar inom samma företag olika processer och funktioner, och det finns inget tydligt sätt att dela information mellan interna team
”Nyckelleverantörer är de som vi har ett stort beroende av eller de som stöder oss mest i att uppnå våra mål. Ett avbrott hos någon av dessa leverantörer skulle ha en betydande negativ inverkan på vår organisation.”
CIO inom vetenskaplig forskning

Dessa åtgärder innebär att organisationer helt enkelt inte kan säkerställa efterlevnad och minska riskerna i realtid. Följaktligen är det mycket svårare för säkerhetsteam att reagera på avvikande beteende, som att placera komprometterad extern programvara i karantän eller blockera läckta administratörsuppgifter från att komma åt deras nätverk. Om de senaste attackerna har lärt oss något så är det att inte ens den bästa cybersäkerhetshygienen och ett engagemang för grundläggande åtgärder för att identifiera, mäta och minimera risker helt kan eliminera möjligheten att hot smyger sig in i försörjningskedjorna.

”Vi har årliga kontroller med nyckelleverantörer, och beroende på leverantörens nivå återkommer vi vartannat år eller vart tredje år och gör om utvärderingen. Men utvärderingen ger dig bara information från just det ögonblicket. Den validerar inte kontrollmiljön året runt.”
Medlem i Microsoft Supply Chain Management Customer Advisory Board

Så hur kan du hantera dina risker i försörjningskedjan samtidigt som du upprätthåller agilitet och produktivitet? Många säkerhetsansvariga närmar sig hot mot försörjningskedjan på ungefär samma sätt som de gör cyberattacker – med fokus på starka grunder och förbättrad synlighet.

Eftersom det finns så många olika typer av risker förknippade med ekosystemet för leverantörer finns det ingen tydlig standardisering, ”bästa praxis” eller ens teknik för att hantera dem. Många säkerhetsansvariga förlitar sig på en Nolltillit-modell för att minska sin riskexponering och skydda mot de säkerhetsrisker som konsekvent ligger bakom hot mot försörjningskedjan, bland annat komprometterade autentiseringsuppgifter för tredjepartsanvändare, enheter som infekterats med skadlig programvara, skadlig kod med mera.

Nolltillit är en proaktiv och integrerad strategi för säkerhet på den digitala egendomens alla nivåer, som uttryckligen och kontinuerligt verifierar varje transaktion, säkerställer minst privilegierad åtkomst och utnyttjar hotinformation, avancerad identifiering och åtgärder mot hot i realtid.

Vi får regelbundet höra från säkerhetsansvariga att de har kunnat minska effekterna av stora attacker i försörjningskedjan och förbättra den övergripande effektiviteten i försörjningskedjans drift genom att implementera robusta Nolltillit-strategier. Enligt en nyligen genomförd studie av Ponemon Institute och IBM Security hade faktiskt organisationer som använde en välutvecklad Nolltillit-modell ungefär 40 procent lägre genomsnittlig kostnad vid en säkerhetsöverträdelse jämfört med de som inte tagit i bruk Nolltillit.
”Med hjälp av Nolltillit kunde vi skapa ett ramverk och bygga åtkomstmetoder för att skydda alla viktiga tillgångar i vår organisation.”
Beslutsfattare för säkerhet inom vårdbranschen
”Jag skulle säga att vi har tittat på vår ledstjärna, och åtminstone ur ett kontrollperspektiv lutar det mer mot Nolltillit. Istället för att ställa alla dessa frågor och sedan försöka ta itu med ”hur kontrollerar jag allt för just det här omfånget”, gör jag motsatsen och börjar med ingenting, och öppnar bara det som behövs. Så jag tror att … Nolltillit får nytt liv i branschen.”
CISO inom tillverkning av konsumentförpackade varor

Förutsätt intrång

Medan de två första principerna hjälper till att minska risken för kompromettering, kan ett antagande om intrång se till att organisationer är förberedda på att snabbt identifiera och hantera intrång genom att utforma processer och system som om det redan hade skett. I praktiken innebär det att du använder redundanta säkerhetsmekanismer, samlar in systemtelemetri, använder den för att upptäcka avvikande beteende, och när det är möjligt, kombinerar den informationen med automatisering så att du kan förhindra, besvara och åtgärda hot i nästan realtid. CISO:ar berättar för mig att de investerar i att implementera robusta övervakningssystem som kan hjälpa dem att upptäcka förändringar i miljön, till exempel en komprometterad IoT-enhet som försöker öppna onödiga anslutningar till andra enheter, för att snabbt identifiera och innesluta en attack.

Ledare jag pratar med om Nolltillit är överens om att det är ett mycket bra ramverk för att skapa grundläggande cyberhygien – och det innefattar även hantering av försörjningskedjan.

Låt oss ta en titt på hur säkerhetsansvariga använder Nolltillit-principer för att skydda sina försörjningskedjor.

Verifiera explicit

Explicit verifiering innebär att vi bör undersöka alla relevanta aspekter av åtkomstförfrågningar istället för att anta tillit baserat på en svag försäkran som nätverksplats. När det gäller försörjningskedjor utnyttjar angripare vanligtvis luckor i explicit verifiering, till exempel genom att hitta mycket privilegierade leverantörskonton som inte är skyddade med multifaktorautentisering eller genom att mata in skadlig kod i ett betrott program. Säkerhetsteamen stärker sina verifieringsmetoder och utökar säkerhetsprincipkraven till sina tredjepartsanvändare.

Använd minst privilegierad åtkomst

När du har uppnått den första principen kan minst privilegierad åtkomst säkerställa att behörigheter endast beviljas för att uppfylla specifika verksamhetsmål från lämpliga miljöer och på lämpliga enheter. Detta hjälper till att minimera möjligheter till laterala rörelser genom att begränsa hur mycket en komprometterad resurs (användare, slutpunkt, app eller nätverk) kan komma åt andra i miljön. Säkerhetsansvariga berättar för oss att de prioriterar att ge leverantörer och tredje part endast den åtkomst de behöver, när de behöver det, och att de kontinuerligt granskar och utvärderar åtkomstförfrågningar och principer inom organisationens försörjningskedja för att minimera kontakten med viktiga system och resurser.

”Målet är att förbättra vår säkerhetsstatus överlag, men det handlar mycket om att minska friktionen i slutanvändarupplevelsen och göra livet enklare för dem.”
Beslutsfattare för säkerhet inom besöksnäringen

Slutsatsen?

Det stora antalet leverantörer och mängden utmaningar som är förknippade med distribuerade försörjningskedjor gör det ännu viktigare att hantera proaktivt. Efter de senaste globala dataläckorna är säkerhetsansvariga måna om att hitta sätt att minska leverantörsrisker, och Nolltillit-principerna ger en robust strategi och struktur för att hantera ekosystemet för leverantörer.
  • Med hjälp av en Nolltillit-metod kan du säkerställa att endast rätt personer får rätt nivå av åtkomst i hela din organisation, samtidigt som både säkerhet och slutanvändarproduktivitet förbättras.
  • Det finns många sätt att komma igång med Nolltillit, men införandet av multifaktorautentisering bör ha högsta prioritet när det gäller ekosystem för leverantörer och riskhantering.
  • Utvärdera organisationens mognadsnivå för Nolltillit och få vägledning kring viktiga milstolpar samt en lista med utvalda resurser och lösningar som hjälper dig framåt i Nolltillit-processen.

Vi har alla hört om den stora uppsägningen. Över 40 procent av den globala arbetsstyrkan överväger att lämna sin arbetsgivare i år – och säkerhetsansvariga och deras team känner sig redan underbemannade. Jag pratar ofta med CISO:ar om hur det går överlag, och att ha råd med, rekrytera och behålla kompetensen är ett av deras största problem. Om de bästa talangerna lämnar dem, måste de antingen hitta nya talanger eller höja kompetensen hos de som är kvar. Mer effektiv, integrerad och automatiserad teknik kan hjälpa, men det är långt ifrån tillräckligt.

Säkerhetstermer har blivit en del av vardagsspråket eftersom cyberattacker dyker upp i nyheterna regelbundet – och dessa attacker (och nyheterna om dem) kan ha djupgående konsekvenser för företag. Men vet du vad? Det är inte bara dåliga nyheter. Eftersom cybersäkerhet har blivit så välkänt inom alla delar av en organisation hör vi att idén om att ”säkerheten är allas jobb” börjar få resonans i organisationer. Särskilt med tanke på nya hybridarbetsmodeller och säkerhetsperimetrar som utmanas på alla möjliga sätt behöver säkerhetsansvariga i allt högre grad hitta innovativa sätt att säkerställa säkerhet för alla, även med en brist på talanger och kompetensgap. Idag fokuserar innovativa säkerhetsansvariga inte på att ”göra mer med mindre”, utan på att ”göra mer med något annat”.

”Det är en utmaning som alla står inför. Det är svårt att hitta talanger och det är svårt att behålla dem. Det är ett tveeggat svärd – när man utvecklar kompetensen blir de för dyra att behålla, så det finns definitivt utmaningar.”
CISO inom juridiska tjänster

Även om bristen på talanger och kompetens inte är något positivt, finns det en liten ljusglimt – möjligheten att skapa en kultur som bygger på säkerhet håller på att bli en verklighet. Många CISO:ar berättar för oss att ett av de mest effektiva sätten att hantera säkerhetsutmaningar mitt i utmaningar med bemanning är att bygga upp en säkerhetskultur där säkerheten är allas jobb. CISO:ar förespråkar allt mer denna idé om att hela organisationen kan ta ansvar för säkerheten, särskilt när de står inför personalbrist eller finansieringsutmaningar.

Utvecklingsteam, systemadministratörer och ja, också slutanvändare, måste förstå säkerhetsprinciperna som relaterar till dem. Informationsdelning är grundläggande, och säkerhetsteam hittar allt fler nya sätt att samarbeta med utvecklare, administratörer och affärsprocessägare för att förstå risker och utveckla policyer och procedurer som gynnar hela organisationen.

Talang- och kompetensbrist (särskilt i det ständigt föränderliga cybersäkerhetsyrket) har fått CISO:ar att leta efter nya och innovativa sätt att ligga i framkant. En strategi vi fortsätter att höra om är en utveckling av att involvera medarbetare utanför säkerhetsteamet genom representanter. CISO:ar strävar efter att utnyttja hela organisationen och fokuserar särskilt på att utbilda slutanvändare till en del av lösningen och få stöd från närliggande team.

Att stärka och förbättra slutanvändarnas kunskap om säkerhetshot – som att se till att de förstår nätfiske och tecken på lömska attacker – kan vara till stor hjälp genom att ge säkerhetsteamet fler ögon och öron, särskilt som en ”spjutspetsstrategi” där slutanvändare ofta är startpunkten för en attack. Jag säger inte att slutanvändare magiskt kan utbildas till att fånga upp allt, men att ha förberedda och uppmärksamma användare kan minska belastningen på säkerhetsteam enormt.

”Du kanske har hört uttrycket ’säkerheten är allas ansvar’. Det är väl bra, men … bara tills något händer. När det gäller IT har vi utsett medarbetare på IT-avdelningen till säkerhetsrepresentanter. Vi har utsett medlemmar i olika team, mer specifikt utvecklingsteam, arkitekturteam och infrastrukturteam, som får extra säkerhetsutbildning. De får vara med på några av mina säkerhetsmöten, och de får representera sin grupp i säkerhetsteamet och sedan representera säkerhetsteamet i sin grupp.”
CISO inom juridiska tjänster

En annan strategi är att involvera IT-teamet i säkerhetsarbetet. Ett nära samarbete mellan IT-teamet och säkerhetsteamet och en IT-avdelning som informeras om säkerhetsstrategier gör det enklare för många säkerhetsansvariga att utöka sitt uppdrag till alla delar av organisationen.

Att ge vägledning och hjälp med automatisering och andra proaktiva strategier för arbetsflöden och uppgiftshantering är ett grundläggande sätt som CISO:ar utökar sina team och drar nytta av IT-avdelningen för att säkerställa en robust säkerhetsstatus.

”Om du tittar på säkerhetsvärlden är det inte säkerhetspersonalen som stoppar många av attackerna, det är IT-folket. Säkerhetspersonalen genomför till exempel inte korrigeringar. Det är medarbetarna på IT-sidan som uppdaterar och korrigerar. Säkerhetsteamet hanterar inte tillgångsinventeringen, det är IT-avdelningen som tar hand om den.   Det finns många olika exempel. Brandväggar hanteras vanligtvis av nätverksteamet, inte nödvändigtvis säkerhetsteamet, beroende på hur din organisation ser ut. Så mycket av det vi gör handlar om att hjälpa personerna som har till uppgift att faktiskt genomföra olika skyddsåtgärder. Vi utvecklar deras kompetens och ger dem verktyg för att automatisera en del av arbetet som de gör.
  Vi förklarar ’varför’ och inte bara ’vad’, och ibland inspirerar och påverkar förståelsen av ’varför’ till att ’vad’ uppnås.”
CISO inom juridiska tjänster

Slutsatsen?

Det är inget nytt att använda resurser kreativt. Men utvecklingen av ett bredare team genom systematisk utbildning och utnyttjande av team som ligger nära säkerhet är ett innovativt sätt för CISO:ar att lindra problemet med talangbrist och kompetensgap.
  • Genom att stärka samverkan med andra team och involvera medarbetare utanför säkerhetsteamet kan inflytandet utökas och företaget bli säkrare.
  • De flesta säkerhetsansvariga är överens om att utbildning av användare så att de känner igen nätfiske och vanliga säkerhetsproblem är en strategi som är värd all tid och allt arbete.

All citerad Microsoft-forskning använder oberoende forskningsföretag för att kontakta säkerhetspersonal för både kvantitativa och kvalitativa studier, vilket säkerställer integritetsskydd och analytisk stringens. Citat och forskningsresultat som ingår i detta dokument är, om inte annat anges, ett resultat av Microsofts forskningsstudier.

Relaterade artiklar

Cyber Signals: utgåva 1

Identitet är det nya slagfältet. Få insikter om framväxande cyberhot och vilka steg du kan vidta för att bli bättre på att skydda din organisation.
Mer information

CISO Insider nummer 2

I den här utgåvan av CISO Insider hör vi IT-säkerhetsexperter berätta om vad de upplever på frontlinjen – från mål till taktik – och vad de gör för att medverka till att förhindra och reagera på angrepp. Vi får också veta hur ledare drar nytta av XDR och automatisering för att skalanpassa sitt försvar mot sofistikerade hot.
Mer information

Cyber Signals, utgåva 2: Affärsmodellen med utpressning

Hör om utvecklingen av utpressningstrojaner som en tjänst från experter i frontlinjen. Ta reda på mer om de verktyg, metoder och måltavlor cyberbrottslingarna utnyttjar, med beskrivningar av allt från program och nyttolaster till de aktörer som säljer och köper åtkomst, och få vägledning om hur du kan skydda din organisation.
Mer information