Trace Id is missing

CISO Insider: nummer 2

Ladda ned
Dela
En kvinna som tittar på en surfplatta i en industrilokal

Cyberbrottsekonomin driver på en snabb ökning av sofistikerade attacker. I det här numret berättar informationssäkerhetsansvariga (CISO) om vad de möter på frontlinjen.

Brev från Rob

Välkommen till det andra numret av CISO Insider. Jag heter Rob Lefferts och leder ingenjörsteamet för Microsoft 365 Defender och Sentinel. På Microsoft Security lyssnar vi på och lär oss av våra kunder när de navigerar i ett allt mer komplext säkerhetslandskap. Vi skapade CISO Insider för att dela med oss av rekommendationer från dina kollegor och från vår egen branschforskning. I det här andra numret följer vi upp de säkerhetsrisker vi lyfte fram i det första numret. Vi tittar närmare på cyberutpressning och de metoder som säkerhetsansvariga använder för att hantera laterala attacker med minimala avbrott för verksamheten och säkerhetsteamet.

nummer 1 diskuterade vi tre huvudfrågor för CISO:ar: anpassning till nya hottrender i en hybridmiljö med flera moln, hantering av hot i försörjningskedjan samt en lösning på bristen på kunnig säkerhetspersonal. I det här numret tar vi en närmare titt på denna perfekta storm av cyberriskfaktorer, och tar reda på hur organisationer utvecklar sin taktik för att avvärja eskalerande hot. Först undersöker vi den förändrade riskprofilen för utpressningstrojaner och bästa praxis som kan hjälpa till att förhindra dessa och andra laterala överträdelser som sprids i sidled i nätverket. Därefter tittar vi på två nyckelresurser som är avgörande inte bara för att förhindra en säkerhetsöverträdelse, utan också för att reagera snabbt under de första kritiska ögonblicken – utökad identifiering och åtgärd (XDR) och automatisering. Båda är användbara för att bemöta säkerhetsriskerna som vi behandlade i nummer 1: de utökade säkerhets- och identitetsgränserna hos dagens nätverk som är spridda över hybridarbets- och leverantörsekosystem, och bristen på personal för att övervaka och reagera på dessa hot.

Cyberbrottsekonomin ger vanliga cyberbrottslingar tillgång till bättre verktyg och automatisering, vilket gör att de kan skala attackerna och sänka kostnaderna. I kombination med de framgångsrika attackernas lönsamhet leder detta till en kraftig ökning av utpressningstrojaner (Microsofts rapport om digitalt försvar, 2021). Angripare har höjt insatserna genom att använda en modell med dubbel utpressning, där ett offer först krävs på en lösensumma och sedan utpressas med möjlig publicering av deras stulna data. Vi har också sett en ökning av attacker som riktas mot driftteknik i syfte att orsaka driftstörningar i kritisk infrastruktur. Vilken som CISO:ar anser har de allvarligaste konsekvenserna för verksamheten – verksamhetsavbrott eller dataexponering – beror på bransch och förberedelsenivå. I vilket fall som helst är förberedelser nyckeln till att hantera riskerna på båda fronterna. Förutom riskreduceringstaktik är framgångsrika förebyggande insatser som starkare slutpunktssäkerhet, identitetsskydd och kryptering nödvändiga med tanke på attackernas allvarlighetsgrad och hur ofta de sker.

CISO:ar tänker mer strategiskt på hur de ska hantera riskerna med utpressningstrojaner.

Angripare som använder utpressningstrojaner riktar in sig på dina mest värdefulla tillgångar där de tror att de kan pressa dig på mest pengar, oavsett om de har störst störande inverkan eller är mest värdefulla om de hålls som gisslan, eller mest känsliga om de publiceras.

Branschen är en avgörande faktor för en organisations riskprofil. Ansvariga inom tillverkningsindustrin nämner verksamhetsavbrott som det främsta problemet, CISO:ar för detaljhandel och finansiella tjänster prioriterar skyddet av känslig personligt identifierbar information, medan vårdorganisationer är lika sårbara på båda fronterna. Som svar flyttar säkerhetsansvariga aggressivt sin riskprofil bort från dataförlust och exponering genom förstärkning av perimetern, säkerhetskopiering av kritiska data, redundanta system och bättre kryptering.

Verksamhetsavbrott är nu i fokus för många ledare. Ett avbrott medför kostnader för verksamheten även om det är kortvarigt. En CISO för en vårdorganisation berättade nyligen för mig att utpressningstrojaner driftmässigt inte skiljer sig från ett stort strömavbrott. Även om ett adekvat reservsystem kan hjälpa till att återställa strömmen snabbt, har du fortfarande ett driftstopp som avbryter verksamheten. En annan CISO nämnde att de funderar på hur avbrott kan sträcka sig bortom deras huvudsakliga företagsnätverk till driftproblem som pipelineproblem eller den sekundära effekten av driftstörningar hos viktiga leverantörer som drabbats av utpressningstrojaner.

Avbrottshantering omfattar både redundanta system och segmentering för att minimera avbrott, vilket gör att organisationen kan flytta trafik till en annan del av nätverket medan det påverkade segmentet innesluts och återställs. Men även de mest robusta processerna för reservsystem eller haveriberedskap kan inte helt lösa hotet om verksamhetsavbrott eller dataexponering. Riskreducering stöds av förebyggande.

För att skydda din organisation från utpressningstrojaner rekommenderar vi att du gör följande:

  • Förbered dig på att försvara och återställa. Inför en intern kultur som baseras på Nolltillit med antagandet att en överträdelse ägt rum, samtidigt som du implementerar ett system för dataåterställning, säkerhetskopiering och säker åtkomst. Många säkerhetsansvariga har redan tagit det avgörande steget att mildra effekterna av en attack genom säkerhetskopior och kryptering, vilket kan förbättra skyddet mot dataförlust och exponering. Det är viktigt att skydda dessa säkerhetskopior mot avsiktlig radering eller kryptering av en angripare genom att konfigurera skyddade mappar. Med en inövad plan för affärskontinuitet/haveriberedskap (BC/DR) kan teamet ta de drabbade systemen offline snabbt och avbryta attackens framsteg. Då kan verksamheten återställas med minimal stilleståndstid. Med hjälp av Nolltillit och säker åtkomst kan en organisation försvara och återhämta sig genom att isolera attacken och göra det mycket svårare för angripare att röra sig i sidled i nätverket.
  •  Skydda identiteter från kompromettering. Minimera risken för stöld av autentiseringsuppgifter och laterala attacker genom att använda en strategi för privilegierad åtkomst. Ett viktigt steg i att försvara sig mot utpressningstrojaner är en omfattande granskning av organisationens autentiseringsuppgifter för nätverket. Privilegierade autentiseringsuppgifter är grundläggande för alla andra säkerhetsgarantier – en angripare som har kontroll över dina privilegierade konton kan undergräva alla andra säkerhetsgarantier. Microsofts rekommenderade strategi är att stegvis bygga ett ”closed loop”-system för privilegierad åtkomst som säkerställer att endast pålitliga ”rena” enheter, konton och mellanliggande system kan användas för privilegierad åtkomst till verksamhetens känsliga system. Microsofts rekommenderade strategi är att stegvis bygga ett ”closed loop”-system för privilegierad åtkomst som säkerställer att endast pålitliga ”rena” enheter, konton och mellanliggande system kan användas för privilegierad åtkomst till verksamhetens känsliga system.
  •  Förhindra, identifiera och vidta åtgärder mot hot. Hjälp till att bygga upp ett försvar mot hot på alla arbetsbelastningar genom att utnyttja heltäckande, integrerade funktioner för identifiering av hot och åtgärder. Punktlösningar i silor leder ofta till klyftor som hindrar och saktar ner identifieringen och åtgärderna mot tidiga utpressningsaktiviteter. Microsoft erbjuder integrerad SIEM och XDR som en heltäckande lösning för skydd mot hot med förstklassiga funktioner för skydd, identifiering och åtgärd över hela din digitala egendom med flera moln och flera plattformar.

Dessa tre bästa metoder samverkar för att bilda en heltäckande säkerhetsstrategi, med integrerad data-, identitets- och nätverkshantering som bygger på en Nolltillit-metod. För många organisationer kräver implementeringen av Nolltillit en bredare förändring av säkerheten. Medan de flesta säkerhetsansvariga väljer att använda Nolltillit, har vissa uttryckt oro över att en segmenterad miljö kan ha för stor störande inverkan på medarbetarnas eller säkerhetsteamets produktivitet för att det ska vara värt att gå över till kraftig segmentering för snabbt.

Även om varje organisation har sina egna krav som behöver tas i beaktande, vill jag säga att det är möjligt att få det bästa av båda världarna, åtkomst och säkerhet. Segmentering behöver inte innebära störande element. Vi ser denna fördel särskilt när organisationer kombinerar identitetshantering med säkerhetsomvandlingsinsatser som att implementera lösenordsfri autentisering, så att användarna inte behöver hantera en massa störande inloggningar. Bret Arsenault, Microsofts CISO, förklarar hur lösenordsfria lösningar underlättar säkerheten: ”Det är viktigt att skydda enheterna, men det är inte tillräckligt. Vi borde också fokusera på att skydda de enskilda personerna. Vi kan förbättra din upplevelse och din säkerhet genom att låta dig bli lösenordet.” Eftersom stulna autentiseringsuppgifter är startpunkten för de flesta attacker – till exempel berodde över 80 procent av webbappsintrången på stulna autentiseringsuppgifter enligt 2022 Verizon Data Breach Investigation Report (DBIR) – bidrar lösenordsfria lösningar också till att täppa till denna kritiska säkerhetslucka.

”Det är viktigt att skydda enheterna, men det är inte tillräckligt. Vi borde också fokusera på att skydda de enskilda personerna. Vi kan förbättra din upplevelse och din säkerhet genom att låta dig bli lösenordet.”
– Bret Arsenault, Microsofts CISO

Ett omfattande tillvägagångssätt för utpressningstrojaner kräver bra verktyg

Många av de CISO:ar jag pratar med använder en palettstrategi för att förebygga och identifiera attacker, och använder olika lager av leverantörslösningar som täcker sårbarhetstestning, perimetertestning, automatiserad övervakning, slutpunktssäkerhet, identitetsskydd osv. För vissa är detta avsiktlig redundans i hopp om att ett tillvägagångssätt med flera lager kommer att täcka alla hål, lite som att stapla schweizisk ost i hopp om att hålen inte hamnar i linje.

Vår erfarenhet har visat att denna mångfald kan komplicera reparationsåtgärderna och potentiellt skapa mer riskexponering. Som en CISO noterar är nackdelen med att installera flera lösningar bristen på synlighet på grund av fragmentering: ”Jag använder en bäst-i-klassen-metod, vilket i sig ger vissa utmaningar eftersom det då saknas en inblick i de sammanlagda riskerna. Du har alla dessa oberoende konsoler för att hantera hot och har inte en samlad överblick över vad som pågår hos dig.” (Vårdbranschen, 1 100 anställda) Med angripare som spinner ett komplext nät som sträcker sig över flera olika lösningar, kan det vara svårt att få en fullständig bild av din kill chain, identifiera omfattningen av komprometteringen och helt avlägsna de skadliga nyttolasterna. Att stoppa en pågående attack kräver att du kan se över flera vektorer för att identifiera, hindra och innesluta/åtgärda attacker i realtid.

Slutsats

Med hjälp av en omfattande, integrerad lösning kan du hantera säkerhetsrisker så att du kan minska din attackyta och urskilja de kritiska signalerna från bruset. Denna enkelhet är avgörande för organisationer som kämpar med att urskilja verkliga hot bland den stadiga strömmen av varningar och falska positiva identifieringar.

Få hjälp med att försvara dig mot utpressningstrojaner och andra avancerade attacker med XDR

Många säkerhetsansvariga satsar på utökad identifiering och åtgärd (XDR) för att få det plattformsoberoende fördelaktiga perspektivet. XDR hjälper till att koordinera signaler över hela ekosystemet – inte bara slutpunkter – för att underlätta snabbare identifiering och åtgärdande av avancerade hot.

XDR fungerar som identifiering och åtgärd på slutpunkt (EDR) men täcker ett större område. Hotidentifiering och incidentsvar utökas till hela den digitala miljön – till exempel identiteter, infrastruktur, appar, data, nätverk, moln, osv. Denna expansiva räckvidd är avgörande med tanke på hur avancerade moderna attacker är. De här attackerna utnyttjar dagens komplexa, distribuerade miljö för lateral spridning mellan domäner. Attacker sker i allt högre grad på ett icke-linjärt sätt och genomförs i sidled över olika moln, e-postkonton, SaaS-program, osv.

Med hjälp av XDR kan du sammanföra data från alla dina olika system så att du kan se hela incidenten från början till slut. Punktlösningar kan försvåra en heltäckande överblick eftersom de bara visar en del av attacken. De är också beroende av ett ofta överväldigat säkerhetsteam som måste korrelera flera hotsignaler från olika portaler manuellt. I slutändan kan detta göra det tidskrävande att helt åtgärda ett hot – och i vissa fall till och med omöjligt

Ta steget från EDR till XDR

Löftet om XDR förblir ouppfyllt av de flesta. Många CISO:ar vi pratar med har implementerat en kraftfull utgångspunkt med EDR. EDR är en beprövad tillgång: det har visat sig att nuvarande användare av identifiering och åtgärd på slutpunkt har identifierat och stoppat utpressningstrojaner snabbare.

Men eftersom XDR är en vidareutveckling av EDR förblir vissa CISO:ar skeptiska till nyttan med XDR. Är XDR bara EDR med några punktlösningar påhakade? Behöver jag verkligen använda en helt separat lösning? Eller kommer min EDR så småningom ha samma funktioner? Den nuvarande marknaden för XDR-lösningar skapar ytterligare förvirring eftersom leverantörerna tävlar om att lägga till XDR-erbjudanden i produktportföljerna. Vissa leverantörer utökar sitt EDR-verktyg för att införliva ytterligare hotdata medan andra är mer fokuserade på att bygga dedikerade XDR-plattformar. De senare är byggda från grunden för att leverera användningsklar integrering och funktioner centrerade kring säkerhetsanalytikerns behov, vilket lämnar färre luckor som ditt team behöver fylla manuellt.

Slutsats

XDR är så övertygande i dagens säkerhetsmiljö på grund av dess täckning och snabbhet när det gäller att upptäcka och innesluta hot. I takt med att utpressningstrojaner och andra skadliga attacker blir allt vanligare (en intervjuperson uppgav att hans organisation i genomsnitt attackeras *dagligen*), ser säkerhetsansvariga automatisering som ett mycket viktigt verktyg, som gör att de får övervakning dygnet runt och åtgärder i nästan realtid.

Använd automatisering för att ge teamets insatser större effekt

Inför en brist på kunnig säkerhetspersonal och ett behov av snabba åtgärder för att innesluta hot, har vi uppmuntrat ledare att ta i bruk automatisering så att medarbetarna kan fokusera på att försvara organisationen mot de allvarligaste hoten istället för att behöva hantera rutinmässiga uppgifter som att återställa lösenord. Intressant nog nämner många av de säkerhetsansvariga jag har pratat med att de inte drar full nytta av automatiserade funktioner ännu. En del säkerhetsansvariga är inte fullt medvetna om möjligheten, medan andra tvekar att ta till sig automatisering av rädsla för att tappa kontrollen, öka risken för felaktigheter eller offra insyn i hot. Det senare är en fullt berättigad oro. Men vi ser att de effektiva automatiseringsanvändarna faktiskt uppnår motsatsen – mer kontroll, färre falska positiva identifieringar, mindre brus och mer handlingsbara insikter – genom att implementera automatisering tillsammans med säkerhetsteamet för att vägleda och fokusera teamets insatser.

Automatisering täcker en rad funktioner, från grundläggande automatiserade administrativa uppgifter till smart maskininlärningsaktiverad utvärdering av risker. De flesta CISO:ar rapporterar att de har infört det förra, händelseutlöst eller regelbaserad automatisering, men färre har utnyttjat inbyggd artificiell intelligens och maskininlärningsfunktioner som möjliggör riskbaserade åtkomstbeslut i realtid. Självklart bidrar automatisering av rutinmässiga uppgifter till att ge säkerhetsteamet mer tid att fokusera på det mer strategiska tänkande som människor är bäst på. Men det är i det här strategiska området – där prioritering av svar på incident kan nämnas som ett exempel – som automatisering har störst potential att underlätta säkerhetsteamets arbete som en datatuggande, mönstermatchande, intelligent partner. Till exempel är AI och automatisering bra på att korrelera säkerhetssignaler för att stöda omfattande identifiering och åtgärdande av en säkerhetsöverträdelse. Ungefär hälften av säkerhetsexperterna som vi nyligen tillfrågade säger att de måste korrelera signaler manuellt.1   Detta är oerhört tidskrävande och gör det nästan omöjligt att reagera snabbt för att stoppa en attack. Med rätt tillämpning av automatisering – som korrelation av säkerhetssignaler – kan attacker ofta upptäckas i nästan realtid.

”Vi behöver AI eftersom vi har små vinstmarginaler och inte kan anställa för många personer.” 
– Restaurang- och hotellbranschen, 6 000 anställda

Vi har upptäckt att många säkerhetsteam underutnyttjar den automatisering som är inbyggd i befintliga lösningar som de redan använder. I många fall är det lika enkelt (och effektfullt!) att tillämpa automatisering som att konfigurera tillgängliga funktioner som ersättning av åtkomstprinciper med fasta regler med riskbaserade principer för villkorsstyrd åtkomst, utveckling av spelböcker för åtgärder, osv.

CISO:ar som väljer att avstå från möjligheterna med automatisering gör det ofta av misstro, med hänvisning till oro för att systemet gör oåterkalleliga fel utan mänsklig tillsyn. Några av de potentiella scenarierna är till exempel ett system som tar bort användardata på fel sätt, besvärar en chef som behöver tillgång till systemet, eller i värsta fall leder till förlust av kontroll eller synlighet om en säkerhetsrisk som har exploaterats.

”När vi ska ta i bruk saker som är automatiska skrämmer det mig ibland. Vad är det jag skriver över? Vad återställer jag från? Vad var det egentligen som ledde till den här åtgärden?” 
– Finansiella tjänster, 1 125 anställda

Men säkerhet brukar vara en avvägning mellan dagliga små olägenheter och det ständiga hotet om en katastrofal attack. Automatisering har potential att fungera som ett tidigt varningssystem för en sådan attack och dess olägenheter kan avhjälpas eller undvikas helt. Och dessutom körs automatisering när den är som bäst inte självständigt utan tillsammans med mänskliga operatörer, där dess artificiella intelligens både kan informera och kontrolleras av mänsklig intelligens.

För att säkerställa ett smidigt införande har vi lagt till lägen med enbart rapportering i våra lösningar för att kunna erbjuda en provkörning före lanseringen. Detta gör att säkerhetsteamet kan implementera automatisering i sin egen takt för att finjustera automatiseringsregler och övervaka de automatiserade verktygens prestanda.

Säkerhetsansvariga som använder automatisering mest effektivt implementerar det tillsammans med sitt team för att fylla luckor och fungera som en första försvarslinje. Som en CISO nyligen sa till mig, är det nästan omöjligt och oöverkomligt dyrt att ha ett säkerhetsteam fokuserat överallt hela tiden – och även om det var möjligt har säkerhetsteam ofta hög personalomsättning. Automatisering ger ett ständigt aktivt lager av kontinuitet och konsekvens för att stöda säkerhetsteamet i områden som kräver denna konsekvens, till exempel trafikövervakning och system för tidiga varningar. När automatisering används i denna stödjande roll bidrar den till att befria teamet från att manuellt behöva granska loggar och system så att de kan bli mer proaktiva. Automatisering ersätter inte människor – det här är verktyg som ger dina medarbetare möjlighet att prioritera varningar och fokusera sina insatser där de har störst betydelse.

Slutsats
Den mest kraftfulla försvarsstrategin kombinerar AI och automatiserade verktyg med säkerhetsteamets mer nyanserade vaksamhet och taktiska åtgärder. Utöver de omedelbara fördelarna med att slutföra uppgifter och vidta omedelbara åtgärder för att stoppa en attack, hjälper automatisering teamet att hantera sin tid och samordna resurser mer effektivt, så att de kan fokusera på undersökande och åtgärdande aktiviteter på högre nivå.

All citerad Microsoft-forskning använder oberoende forskningsföretag för att kontakta säkerhetspersonal för både kvantitativa och kvalitativa studier, vilket säkerställer integritetsskydd och analytisk stringens. Citat och forskningsresultat som ingår i detta dokument är, om inte annat anges, ett resultat av Microsofts forskningsstudier.

  1. [1]

    Microsofts forskningsstudie om CISO:ar och säkerhetsexperter 2021

CISO Insider Cybermotstånd Enheter och infrastruktur Utpressningstrojaner

Relaterade artiklar

CISO Insider nummer 1

Navigera i dagens hotlandskap med exklusiva analyser och rekommendationer från säkerhetsledare.
Mer information

Cyber Signals: utgåva 1

Identiteten är det nya slagfältet. Få insikter om framväxande cyberhot och vilka steg du kan vidta för att bli bättre på att skydda din organisation.
Mer information

Cyber Signals, utgåva 2: Affärsmodellen med utpressning

Hör om utvecklingen av utpressningstrojaner som en tjänst från experter i frontlinjen. Ta reda på mer om de verktyg, metoder och måltavlor cyberbrottslingarna utnyttjar, med beskrivningar av allt från program och nyttolaster till de aktörer som säljer och köper åtkomst, och få vägledning om hur du kan skydda din organisation.
Mer information