Få insikter direkt från experterna i Microsoft Threat Intelligence-podden. Lyssna nu.
CISO Insider: Utgåva 3
Välkommen till utgåva 3 av CISO Insider-serien. Jag heter Rob Lefferts och leder ingenjörsteamet för Microsoft Defender och Sentinel. Vi lanserade den här serien för ungefär ett år sedan så att vi skulle kunna dela insikter dels från våra diskussioner med några av dina likar och dels från vår egen forskning och erfarenhet av att arbeta vid cybersäkerhetens frontlinje.
De två första sakerna vi tog upp var dels det eskalerande hot som utpressningstrojaner utgör och dels hur säkerhetsansvariga använder automations- och kompetensutvecklingsmöjligheter för att kunna reagera effektivt på dessa hot mitt i den rådande bristen på kompetens. Med IT-säkerhetschefer som är än mer pressade att arbeta effektivt i den rådande ekonomiska osäkerheten, är det många som vill optimera med hjälp av molnbaserade lösningar och integrerade hanterade säkerhetstjänster. I det här numret tittar vi närmare på de säkerhetsprioriteringar som växer fram när organisationerna övergår till en alltmer molninriktad modell som tar med sig allt till sin digitala egendom, från lokala system till IoT-enheter.
Det offentliga molnet erbjuder en win-win-win-lösning med en stark grundläggande säkerhet, kostnadseffektivitet och skalbar datoranvändning, vilket gör det till en nyckelresurs i en tid då stramare budgetar råder. Men med den här trippellösningen följer ett behov av att hantera de luckor som uppstår i förbindelsen mellan det offentliga molnet, privata moln och lokala system. Vi studerar vad olika säkerhetsansvariga gör för att hantera säkerheten i trösklarna mellan nätverksanslutna enheter, slutpunkter, appar, moln och hanterade tjänster. Slutligen tittar vi på två tekniker som representerar spjutspetsen i denna säkerhetsutmaning, nämligen IoT och DT. Sammanstrålningen av dessa två polariserade teknologier – den ena i början av sin utveckling och den andra av äldre snitt, vilka båda saknar tillräcklig inbyggd nätverkssäkerhet – skapar en porös yta som är sårbar för attacker.
I utgåva 3 tittar vi närmare på dessa tre molninriktade säkerhetsprioriteringar:
Molnet är säkert, men hanterar du din molnmiljö på ett säkert sätt?
Användningen av molnet har accelererat i takt med att organisationer söker nya effektivitetsvinster för att kunna balansera såväl ekonomiska begränsningar som en brist på kompetens. IT-säkerhetscheferna litar på de offentliga molntjänsterna på grund av deras grundläggande säkerhet, men molnet är inte säkrare än vad som följer av kundens förmåga att hantera gränssnittet mellan det offentliga molnet och den privata infrastrukturen. Vi tittar på hur säkerhetsansvariga överbryggar gapet med en stark molnsäkerhetsstrategi – exempelvis genom att säkra sina molnappar och arbetsbelastningar med verktyg som hantering av molnsäkerhetsstatus och skydd för molnbaserade program (CNAPP).
En omfattande säkerhetsstatus börjar med synlighet och slutar med prioriterad riskhantering.
Med den ökande användningen av molnet följer en mängd tjänster, slutpunkter, appar och enheter. Förutom att man måste ha en strategi för att hantera de kritiska anslutningspunkterna till molnet, så inser IT-säkerhetscheferna att det behövs större synlighet och samordning i deras växande digitala miljö – ett behov av en omfattande statushantering. Vi tittar på hur de säkerhetsansvariga anammar ett bredare tillvägagångssätt från att förutom att förebygga attacker (fortfarande det bästa försvaret, så länge det fungerar) även hantera risker med hjälp av kraftfulla verktyg för statushantering som underlättar inventeringen av tillgångar och modelleringen av affärsrisker – och, naturligtvis, göra identitets- och åtkomstkontroller.
Tämj den oerhört vildvuxna hypernätsverksbaserade IoT & DT- miljön med hjälp av Nolltillit och hygien.
Den exponentiella tillväxten av anslutna IoT- och DT-enheter erbjuder även fortsättningsvis säkerhetsutmaningar – särskilt med tanke på svårigheten att förena teknologier som är en blandning av molnbaserade verktyg från tredje part och äldre utrustning som är ombyggd för nätverk. Antalet globala IoT-enheter beräknas nå 41,6 miljarder år 2025, vilket innebär en utökad attackyta för de angripare som använder dessa enheter som ingångspunkter för cyberattacker. Attackerna riktas ofta in dessa enheter, som utgör nätverkens sårbarhetspunkter. De kan ha introducerats ad hoc och anslutits till IT-nätverket utan några tydliga anvisningar från säkerhetsteamet, utvecklats utan grundläggande säkerhet av tredje part eller hanterats otillräckligt av säkerhetsteamet på grund av utmaningar som egenutvecklade protokoll och krav på tillgänglighet (DT). Lär dig hur många IT-ledare som nu arbetar med att utveckla IoT-/DT-säkerhetsstrategier som ska täppa till denna säkerhetslucka.
Molnet är säkert, men hanterar du din molnmiljö på ett säkert sätt?
I en tid av kompetensbrist och stramare budgetar erbjuder molnet många fördelar – kostnadseffektivitet, oändligt skalbara resurser, avancerade verktyg och mer tillförlitligt dataskydd än vad de flesta säkerhetsansvariga tror att de kan uppnå lokalt. Medan IT-säkerhetschefer brukade se molnresurser som en avvägning mellan större riskexponering och högre kostnadseffektivitet, så har de flesta av de säkerhetsansvariga som vi talar med idag anammat molnet som det nya normala. De litar på molnteknikens starka grundläggande säkerhet: ”Jag förväntar mig att molntjänsteleverantörerna har ordning på torpet när det gäller identitets- och åtkomsthantering, systemsäkerhet och fysisk säkerhet”, säger en IT-säkerhetschef.
Men som de flesta säkerhetsansvariga inser, så garanterar inte molnets grundsäkerhet att din data är säkra – skyddet av dina data i molnet beror till stor del på hur molntjänsterna implementeras tillsammans med lokala system och egenutvecklad teknologi. Riskerna uppstår i glappet mellan molnet och organisationernas traditionella yttre gränser och de policyer och tekniker som används för att skydda molnet. Det händer att felkonfigurationer uppstår, vilket ofta innebär att organisationerna exponeras och blir beroende av säkerhetsteamens förmåga att identifiera och täppa till luckorna.
”Ett stort antal intrång beror på felkonfigurationer, som att någon oavsiktligt har felkonfigurerat något eller ändrat något som orsakar dataläckage.”
Allmännyttig verksamhet – vattenförsörjning, 1 390 anställda
År 2023 kommer 75 % av molnets säkerhetsöverträdelser att orsakas av otillräcklig hantering av identiteter, åtkomst och privilegier, vilket är en ökning från 50 % 2020 (Felkonfiguration och sårbarheter är de största riskerna vad gäller molnsäkerhet: Rapport | CSO Online). Utmaningen ligger inte i själva molnets säkerhet, utan i de policyer och kontroller som används för att säkra åtkomsten. Som en IT-säkerhetschef för en finansiell tjänst uttrycker det: ”Molnsäkerhet är mycket bra om den är har placerats ut korrekt. Molnet i sig och dess komponenter är säkra. Men sen börjar man konfigurera: skriver jag koden korrekt? Konfigurerar jag mina anslutningsprogram korrekt för hela företaget?” En annan säkerhetsansvarig summerar utmaningen: ”Det är felkonfigurationen av dessa molntjänster som öppnar dem för hotaktörerna.” I takt med att alltfler säkerhetsansvariga blir medvetna om riskerna med att felkonfigurera molnet, så har debatten kring molnsäkerheten skiftat från ”Är molnet säkert?” till ”Använder jag molnet på ett säkert sätt?”
Vad innebär det att använda molnet på ett säkert sätt? Många av de ansvariga som jag har pratat med närmar sig molnsäkerhetsstrategin från grunden och hanterar de fel som uppstått genom den mänskliga faktorn och som utsätter organisationerna för risker, t.ex. identitetsintrång och felkonfigurationer. Detta ligger också i linje med våra rekommendationer – att skydda identiteter och hantera deras åtkomst adaptivt är absolut avgörande för alla molnsäkerhetsstrategier.
För den som fortfarande tvekar, så kanske detta kan vara till hjälp: McAfee rapporterade att 70 procent av alla exponerade poster – 5,4 miljarder – komprometterades på grund av felkonfigurerade tjänster och portaler. Att hantera åtkomst genom identitetskontroller och implementera en stark säkerhetshygien kan räcka långt när det gäller att täppa till luckorna. McAfee rapporterade likaledes att 70 procent av alla exponerade poster – 5,4 miljarder – komprometterades på grund av felkonfigurerade tjänster och portaler. Att hantera åtkomst genom identitetskontroller och implementera en stark säkerhetshygien kan räcka långt när det gäller att täppa till luckorna.
En robust molnsäkerhetsstrategi omfattar följande:
1. Implementera en strategi plattform för skydd av molnbaserade program (CNAPP) från slutpunkt till slutpunkt: Att hantera säkerhet med fragmenterade verktyg kan leda till döda vinklar i skyddet och därmed till högre kostnader. Att ha en allt-i-ett-plattform med vilken du kan bädda in säkerhet hela vägen från kod till molnet är av avgörande betydelse om du vill minska den totala molnattackytan och automatisera hotskyddet. Strategin för skydd av molnbaserade program inbegriper följande metoder:
a. Prioritera säkerheten redan från början i DevOps. Det kan vara lätt att glömma bort säkerheten när man har bråttom med att utveckla appar. Utvecklarnas incitament är ofta att snabbt lösa ett visst affärsproblem, och de kan sakna kompetens när det gäller molnsäkerhet. Resultatet kan då bli att appar som saknar lämpliga regler för dataauktorisering sprids. API:er har blivit ett primärt mål för hackare, eftersom många organisationer inte alltid har så bra koll på dem med tanke på takten i utvecklandet av molnappar. Gartner identifierar ”API-oreda” som ett växande problem, och förutsäger att 2025 kommer mindre än hälften av företagens API:er att hanteras (Gartner). Därför är det viktigt att implementera en DevSecOps-strategi så snabbt som möjligt.
b. Stärk molnsäkerhetsstatusen och åtgärda felkonfigurationer. Felkonfigurationer är den vanligaste orsaken till molnintrång. Spana in Cloud Security Alliances lista över de vanligaste felkonfigurationerna av säkerhetsgruppsinställningar. Även om rädslan lämna lagringsresurser öppna för allmänheten är det som oftast för på tal, så nämner IT-säkerhetscheferna också andra försummade områden: inaktiverad övervakning och loggning, för frikostiga behörigheter, oskyddade säkerhetskopior osv. Kryptering är ett viktigt skydd mot undermålig hantering – och av avgörande betydelse när det gäller att minska risken för utpressningstrojaner. Verktygen för hantering av molnsäkerhetsstatus erbjuder en annan försvarslinje, och används för att söka efter säkerhetsrisker och felkonfigurationer i molnresurserna innan de utsätts för intrång, för att på så sätt proaktivt minska attackytan.
c. Automatisera identifiering, besvarande och analys av incidenter. Att identifiera och åtgärda felkonfigurationer är bra, men vi måste också se till att vi har verktyg och processer på plats som kan identifiera attacker när de väl har tagit sig förbi försvaret. Det är här som verktygen för hotidentifiering och svarshantering kan vara till stor hjälp.
d. Skaffa åtkomsthanteringsrättigheter. Med multifaktorautentisering, enkel inloggning, rollbaserad åtkomstkontroll, behörighetshantering och certifieringar kan vi hantera de två största riskfaktorerna för molnsäkerheten: nämligen användaren och felkonfigurerade digitala egenskaper. Minsta rättighet är en metod för berättigandehantering för molninfrastruktur (CIEM). Vissa ansvariga förlitar sig på en lösning för hantering av identitetsåtkomst eller berättigandehantering när de inför aktiva säkerhetskontroller. En ansvarig för finansiella tjänster förlitar sig på säkerhetsförmedling för molnåtkomst (CASB) som ett viktigt skyddsnät vid hantering av organisationens SaaS-tjänster och för att upprätthålla kontrollen över användare och data. Säkerhetsförmedlingen för molnåtkomst fungerar som en mellanhand mellan användare och molnappar, tillhandahåller synlighet och framtvingar styrningsåtgärder genom policyer, vilket fungerar som ett viktigt skyddsnät vid hantering av en organisations SaaS-tjänster och för att upprätthålla kontrollen över dess användare och data. Säkerhetsförmedlingen för molnåtkomst fungerar som en mellanhand mellan användare och molnappar, tillhandahåller synlighet och framtvingar styrningsåtgärder genom policyer.
En plattform för skydd för molnbaserade program lik den som tillhandahålls i Microsoft Defender för molnet erbjuder inte bara synlighet i flera molnresurser, utan ger också skydd på miljöns alla nivåer samtidigt som den övervakar med avseende på hot och kopplar varningar till incidenter som integreras med din SIEM. Detta effektiviserar undersökningarna och hjälper dina säkerhetscenterteam att ligga steget före de plattformsöverskridande varningarna.
Redan med en gnutta förebyggande arbete – som att täppa till identitets- och felkonfigurationsluckor – i kombination med robusta verktyg för att besvara attacker så är man på god väg att säkra hela molnmiljön, från företagsnätverket till molntjänsterna.
En omfattande säkerhetsstatus börjar med synlighet och slutar med prioriterad riskhantering.
Övergången till molninriktad IT exponerar organisationen inte bara för implementeringsluckor, utan också för en växande mängd nätverkstillgångar – enheter, appar, slutpunkter – och för utsatta molnarbetsbelastningar. Säkerhetsansvariga hanterar statusen i denna perimeterfria miljö med tekniker som tillhandahåller synlighet och prioriterad respons. Dessa verktyg hjälper organisationerna att mappa en tillgångsinventering för hela attackytan som spänner över såväl hanterade som ohanterade enheter både inom och utanför organisationens nätverk. Genom att använda dessa resurser kan IT-säkerhetscheferna bedöma varje tillgångs säkerhetsstatus och roll i verksamheten, så att en prioriterad riskmodell kan utvecklas.
I våra samtal med säkerhetsansvariga ser vi en utveckling från perimeterbaserad säkerhet till en säkerhetsstatusbaserad strategi som omfattar ett gränslöst ekosystem.
Som en IT-säkerhetschef uttryckte det: ”För mig handlar statusen om identiteten… Vi ser inte på det enbart som den gamla traditionella statusen, där perimetern är utan hela vägen ned till slutpunkten.” (Allmännyttig verksamhet – vattenförsörjning, 1 390 anställda). ”Identiteten har blivit den nya perimetern”, observerar en IT-säkerhetschef hos FinTech CISO, och frågar: “Vad innebär identitet i den här nya modellen där det varken finns en utsida eller en insida?” (FinTech, 15 000 anställda).
Med denna porösa miljö i åtanke så inser IT-säkerhetscheferna vikten av att ha en omfattande statushantering – men många ifrågasätter om de har de resurser och den digitala mognad som krävs för att omsätta denna vision i praktiken. Genom en kombination av branschbeprövade ramverk (uppdaterade efter dagens behov) och säkerhetsinnovation, så är lyckligtvis en omfattande statushantering inom räckhåll för de flesta organisationer.
Skaffa de verktyg till din cyberinfrastruktur som du behöver för att göra en tillgångsinventering. För det andra måste du kartlägga vilka av dessa tillgångar som är kritiska, och som utgör den största risken för organisationen och förstå vilka de potentiella sårbarheterna är för dessa enheter. Därefter måste du avgöra om detta är en acceptabel nivå, eller om du måste göra en korrigering eller isolera risken.
Ken Malcolmson, chefssäkerhetsrådgivare, Microsoft
Här är några metoder och verktyg som säkerhetsansvariga använder för statushantering i öppna molninriktade miljöer:
1. Uppnå omfattande synlighet med en tillgångsinventering.
Synlighet är det första steget i en holistisk hållningshantering. IT-säkerhetschefer ställer sig frågan: ”Har vi ens koll på allt vi har där ute för att ta detta första steg? Har vi ens den synlighet som krävs för att genomföra denna hantering?” En riskinventering av tillgångar omfattar IT-tillgångar som nätverk och program, databaser, servrar, molnegenskaper, IoT-egenskaper såväl som de data och IP-tillgångar som lagras i denna digitala infrastruktur. Flertalet plattformar, som Microsoft 365 och Azure, har inbyggda verktyg för tillgångshantering, med vars hjälp du kan komma igång.
Synlighet är det första steget i en holistisk hållningshantering. IT-säkerhetschefer ställer sig frågan: ”Har vi ens koll på allt vi har där ute för att ta detta första steg? Har vi ens den synlighet som krävs för att genomföra denna hantering?” En riskinventering av tillgångar omfattar IT-tillgångar som nätverk och program, databaser, servrar, molnegenskaper, IoT-egenskaper såväl som de data och IP-tillgångar som lagras i denna digitala infrastruktur. Flertalet plattformar, som Microsoft 365 och Azure, har inbyggda verktyg för tillgångshantering, med vars hjälp du kan komma igång.
2. Utvärdera sårbarheter och analysera risk.
När en organisation väl har genomfört en omfattande tillgångsinventering kan man analysera riskerna med avseende på såväl interna sårbarheter som externa hot. Det här steget är i hög grad beroende av sammanhanget och är därför unikt för varje organisation – en tillförlitlig riskutvärdering är beroende av ett starkt partnerskap mellan säkerhets-, IT- och datateamen. Det här tvärfunktionella teamet använder sig av automatiserade riskpoäng och prioriteringsverktyg i sin analys – exempelvis de riskprioriteringsverktyg som är inbyggda i Microsoft Entra ID, Microsoft Defender XDR och Microsoft 365. De automatiserade teknikerna för riskpoäng och prioritering kan även omfatta expertvägledning, med vars hjälp du kan åtgärda luckorna, och kontextuell information med vars hjälp du kan besvara hoten på ett effektivt sätt.
När en organisation väl har genomfört en omfattande tillgångsinventering kan man analysera riskerna med avseende på såväl interna sårbarheter som externa hot. Det här steget är i hög grad beroende av sammanhanget och är därför unikt för varje organisation – en tillförlitlig riskutvärdering är beroende av ett starkt partnerskap mellan säkerhets-, IT- och datateamen. Det här tvärfunktionella teamet använder sig av automatiserade riskpoäng och prioriteringsverktyg i sin analys – exempelvis de riskprioriteringsverktyg som är inbyggda i Microsoft Entra ID, Microsoft Defender XDR och Microsoft 365. De automatiserade teknikerna för riskpoäng och prioritering kan även omfatta expertvägledning, med vars hjälp du kan åtgärda luckorna, och kontextuell information med vars hjälp du kan besvara hoten på ett effektivt sätt.
3. Prioritera risk- och säkerhetsbehoven med affärsriskmodellering.
Om de tekniska teamen har en tydlig förståelse för risklandskapet kan de tillsammans med företagsledarna prioritera säkerhetsåtgärderna med hänsyn till affärsbehoven. Studera varje tillgångs roll, hur värdefull den är för verksamheten och hur stor risken skulle vara för företaget om den skulle komprometteras, och ställ frågor som ”Hur känslig är denna information och vilka skulle konsekvenserna bli för företaget om den skulle komma i orätta händer?” eller ”Hur verksamhetskritiska är dessa system – hur skulle företaget påverkas av ett driftstopp?” Microsoft tillhandahåller verktyg som stöder omfattande identifiering och prioritering av sårbarheter enligt olika affärsriskmodeller, t.ex. Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Microsoft Defender – hantering av extern attackyta och Microsoft Defender – hantering av säkerhetsrisker.
Om de tekniska teamen har en tydlig förståelse för risklandskapet kan de tillsammans med företagsledarna prioritera säkerhetsåtgärderna med hänsyn till affärsbehoven. Studera varje tillgångs roll, hur värdefull den är för verksamheten och hur stor risken skulle vara för företaget om den skulle komprometteras, och ställ frågor som ”Hur känslig är denna information och vilka skulle konsekvenserna bli för företaget om den skulle komma i orätta händer?” eller ”Hur verksamhetskritiska är dessa system – hur skulle företaget påverkas av ett driftstopp?” Microsoft tillhandahåller verktyg som stöder omfattande identifiering och prioritering av sårbarheter enligt olika affärsriskmodeller, t.ex. Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Microsoft Defender – hantering av extern attackyta och Microsoft Defender – hantering av säkerhetsrisker.
4. Skapa en strategi för statushantering.
Tillgångsinventering, riskanalys och affärsriskmodell utgör grunden för en heltäckande statushantering. Denna synlighet och insikt hjälper säkerhetsteamet att avgöra hur resurserna bäst fördelas, vilka förstärkningsåtgärder som behöver göras och hur man ska optimera avvägningen mellan risk och användbarhet för varje enskilt nätverkssegment.
Tillgångsinventering, riskanalys och affärsriskmodell utgör grunden för en heltäckande statushantering. Denna synlighet och insikt hjälper säkerhetsteamet att avgöra hur resurserna bäst fördelas, vilka förstärkningsåtgärder som behöver göras och hur man ska optimera avvägningen mellan risk och användbarhet för varje enskilt nätverkssegment.
Statushanteringslösningar erbjuder synlighets- och sårbarhetsanalyser som hjälper organisationerna att förstå var de ska fokusera sina ansträngningar för att förbättra statusen. Med denna insikt kan de identifiera och prioritera viktiga attackyteområden.
Tämj den oerhört vildvuxna hypernätsverksbaserade IoT- och DT- miljön med hjälp av Nolltillit och hygien
De två utmaningarna vi har diskuterat – molnimplementeringsluckor och tillväxten av molnanslutna enheter – skapar en perfekt storm av risker i IoT- och DT-enhetsmiljöer. Förutom den inneboende risken för en utökad attackyta som IoT- och DT-enheterna utgör, så säger säkerhetsansvariga att de försöker rationalisera konvergensen av de framväxande IoT-strategierna och de äldre DT-strategierna. IoT kan vara molnbaserat, men dessa enheter prioriterar ofta affärsnytta framför grundläggande säkerhet. DT tenderar att vara leverantörsstyrd äldre utrustning som utvecklats utan modern säkerhet och introducerats ad hoc i organisationens IT-nätverk.
IoT- och DT-enheter hjälper organisationerna att modernisera arbetsytorna, att bli mer datadrivna och att underlätta för personalen genom strategiska förändringar som fjärrhantering och automatisering. IDC (International Data Corporation) uppskattar att det kommer att finnas 41,6 miljarder anslutna IoT-enheter år 2025, vilket är en tillväxttakt som överskrider den för traditionella IT-enheter.
Men med denna möjlighet följer betydande risker. I vår Cyber Signals-rapport för december 2022, Konvergensen av IT-teknik och driftteknik, tittade vi på vilka risker dessa tekniker innebär för den kritiska infrastrukturen.
De viktigaste slutsatserna är:
1. 75 % av de vanligaste industriella kontrollerna i kunders DT-nätverk har okorrigerade allvarliga sårbarheter.
2. Mellan 2020 och 2022 ökade antalet mycket allvarliga säkerhetsrisker med 78 % när det gällde industriell kontrollutrustning tillverkad av populära leverantörer.
3. På många av de enheter som syns offentligt på Internet körs programvara som inte stöds. Den föråldrade mjukvaran Boa används exempelvis fortfarande i stor utsträckning i IoT-enheter och SDK:er.
IoT-enheterna utgör ofta de svagaste länkarna i den digitala egendomen. Eftersom de inte hanteras, uppdateras eller korrigeras på samma sätt som traditionella IT-enheter kan de fungera som en bekväm gateway för angripare som vill infiltrera IT-nätverket. När IoT-enheterna väl har hittats är de mycket sårbara för fjärrkörning av kod. En angripare kan skaffa sig kontroll och utnyttja sårbarheter för att plantera botnät eller skadlig programvara i en IoT-enhet. I det läget kan enheten fungera som en öppen dörr till hela nätverket.
DT-enheter utgör en ännu allvarligare risk, eftersom många av dem har en avgörande betydelse för själva driften i verksamheten. DT-nätverken, som tidigare mest varit offline eller fysiskt isolerade från företagets IT-nätverk, kopplas nu i allt högre utsträckning ihop med IT- och IoT-system. I vår studie från november 2021, The State of IoT/OT Cybersecurity in the Enterprise, som vi genomförde tillsammans med Ponemon Institute, kunde vi konstatera att över hälften av DT-nätverken nu är anslutna till företagens IT- och affärsnätverk. En snarlik andel av företag, 56 %, har internetanslutna enheter i sina DT-nätverk, bl.a. för fjärråtkomst.
”Nästan alla angrepp vi har sett det senaste året har börjat med åtkomst till ett IT-nätverk som sedan användes i OT-miljön.”
David Atch, Microsoft Threat Intelligence, Head of IoT/OT Security Research
DT-anslutningen innebär att organisationerna riskerar att drabbas av stora störningar och driftstopp orsakade av attacker. DT utgör ofta kärnan i verksamheten, och är därför ett lockande mål som en angripare kan utnyttja för att orsaka betydande skada. Enheterna i sig kan vara enkla mål, eftersom de ofta utgörs av befintlig eller äldre utrustning som inte utformats med säkerhet i åtanke, inte är anpassad till modern säkerhetspraxis och som kan ha egenutvecklade protokoll som inte är synliga för vanliga IT-övervakningsverktyg. Angripare tenderar att utnyttja dessa tekniker genom att identifiera exponerade Internetanslutna system, få åtkomst genom anställdas inloggningsuppgifter eller utnyttja åtkomst till tredjepartsleverantörer och entreprenörer. Oövervakade ICS-protokoll är en vanlig startpunkt för DT-specifika attacker (Microsoft Digital Defense Report 2022).
När det gäller att ta itu med den unika utmaning det innebär att hantera IoT- och DT-säkerhet i detta varierade kontinuum av olika enheter, anslutna på alla möjliga sätt till IT-nätverket, så använder sig de säkerhetsansvariga av följande metoder:
1. Uppnå heltäckande enhetssynlighet.
Att förstå alla tillgångar i ett nätverk, hur allt är sammankopplat och vilken affärsrisken och exponeringen är vid varje enskild anslutningspunkt är av avgörande betydelse för en effektiv IoT-/DT-hantering. En IoT- och OT-medveten lösning för rapport om misslyckad leverans (NDR) och en SIEM som Microsoft Sentinel kan också hjälpa dig att bättre förstå IoT-/DT-enheterna i ditt nätverk och studera dem och se om de uppvisar några avvikande beteenden som exempelvis kommunikation med okända värdar. (Mer information om hur man hanterar exponerade ICS-protokoll i DT finns i ”Den unika säkerhetsrisken för IoT-enheter”, Microsoft Security).
Att förstå alla tillgångar i ett nätverk, hur allt är sammankopplat och vilken affärsrisken och exponeringen är vid varje enskild anslutningspunkt är av avgörande betydelse för en effektiv IoT-/DT-hantering. En IoT- och OT-medveten lösning för rapport om misslyckad leverans (NDR) och en SIEM som Microsoft Sentinel kan också hjälpa dig att bättre förstå IoT-/DT-enheterna i ditt nätverk och studera dem och se om de uppvisar några avvikande beteenden som exempelvis kommunikation med okända värdar. (Mer information om hur man hanterar exponerade ICS-protokoll i DT finns i ”Den unika säkerhetsrisken för IoT-enheter”, Microsoft Security).
2. Segmentera nätverk och tillämpa nolltillitsprinciper.
Segmentera nätverk närhelst det är möjligt, så att du kan förhindra laterala rörelser i händelse av en attack. IoT-enheter och DT-nätverk bör vara frånkopplade eller isolerade från företagets IT-nätverk med hjälp av brandväggar. Med det sagt är det också viktigt att anta att dina DT- och IT-enheter är konvergerade och skapar Nolltillitsprotokoll över hela attackytan. Nätverkssegmentering blir alltmer omöjligt. För reglerade verksamheter som exempelvis sjukvård, allmännyttiga företag och tillverkning utgör DT-IT-anslutningen själva kärnan i affärsfunktionen – tänk t.ex. på mammografiapparater eller smarta MRI-apparater som ansluter till elektroniska journalsystem (EPJ), smarta tillverkningslinjer eller vattenrening som kräver fjärrövervakning. I dessa fall är Nolltillit av avgörande betydelse.
Segmentera nätverk närhelst det är möjligt, så att du kan förhindra laterala rörelser i händelse av en attack. IoT-enheter och DT-nätverk bör vara frånkopplade eller isolerade från företagets IT-nätverk med hjälp av brandväggar. Med det sagt är det också viktigt att anta att dina DT- och IT-enheter är konvergerade och skapar Nolltillitsprotokoll över hela attackytan. Nätverkssegmentering blir alltmer omöjligt. För reglerade verksamheter som exempelvis sjukvård, allmännyttiga företag och tillverkning utgör DT-IT-anslutningen själva kärnan i affärsfunktionen – tänk t.ex. på mammografiapparater eller smarta MRI-apparater som ansluter till elektroniska journalsystem (EPJ), smarta tillverkningslinjer eller vattenrening som kräver fjärrövervakning. I dessa fall är Nolltillit av avgörande betydelse.
3. Tillämpa IoT-/DT-säkerhetshanteringshygien.
Säkerhetsteamen kan täppa till luckorna med hjälp av grundläggande hygienrutiner som:
Säkerhetsteamen kan täppa till luckorna med hjälp av grundläggande hygienrutiner som:
- Eliminera onödiga Internet-anslutningar och öppna portar, begränsa eller neka fjärråtkomst och använda VPN-tjänster
- Hantera enhetssäkerhet genom att applicera korrigeringar och ändra standardlösenord och portar
- Se till att ICS-protokoll inte exponeras direkt mot Internet
Om du vill ha handlingsbar vägledning om hur man uppnår denna nivå av insikt, kan du läsa ”Den unika säkerhetsrisken för IoT-enheter”, Microsoft Security Insider.
Uppföljningsbara insikter
1. Använd en IoT-/OT-medveten lösning för nätverksupptäckt och svar (NDR) och säkerhetsinformation och händelsehantering (SIEM)/lösning för säkerhetsorkestrering och åtgärdande (SOAR) för att uppnå större synlighet vad gäller IoT-/DT-enheterna i nätverket, övervaka enheter gällande avvikande eller oauktoriserat beteende, som kommunikation med okända värddatorer
2. Skydda tekniska stationer genom lösningar för identifiering och åtgärd på slutpunkt övervakning (EDR)
3. Minska attackytan genom att ta bort onödiga Internetanslutningar och öppna portar, begränsa fjärråtkomst genom att blockera portar, neka fjärråtkomst och använda VPN-tjänster
4. Se till att ICS-protokoll inte exponeras direkt mot Internet
5. Segmentera nätverk för att begränsa angripares förmåga att röra sig lateralt och kompromettera tillgångar efter intrånget. IoT-enheter och OT-nätverk ska isoleras från företagets IT-nätverk genom brandväggar
6. Gör enheter robusta genom att installera korrigeringar samt ändra standardlösenord och portar
7. Anta att dina DT- och IT-enheter är konvergerade och skapa Nolltillitsprotokoll för attackytan
8. Säkerställ en organisatorisk justering av DT och IT genom att främja större synlighet och teamintegration
9. Följ alltid rekommenderade metoder för IoT-/DT-säkerhet baserade på grundläggande hotinformation
När de säkerhetsansvariga tar tillfället i akt att effektivisera sina digitala egendomar mitt under eskalerande hot och krav på att producera mer med färre resurser, så framstår molnet alltmer som grunden för den moderna säkerhetsstrategin. Som vi har sett överväger fördelarna med ett molninriktat tillvägagångssätt avsevärt riskerna – särskilt för organisationer som använder rekommenderade metoder för att hantera sina molnmiljöer med en robust molnsäkerhetsstrategi, fullständig statushantering och specifika taktiker för att täppa till luckorna kring IoT/DT.
Mer säkerhetsanalys och insikter följer i nästa utgåva. Tack för att du läser CISO Insider!
Om du vill ha handlingsbar vägledning om hur man uppnår denna nivå av insikt, kan du läsa ”Den unika säkerhetsrisken för IoT-enheter”, Microsoft Security Insider.
All citerad Microsoft-forskning använder oberoende forskningsföretag för att kontakta säkerhetspersonal för både kvantitativa och kvalitativa studier, vilket säkerställer integritetsskydd och analytisk stringens. Citat och forskningsresultat som ingår i detta dokument är, om inte annat anges, ett resultat av Microsofts forskningsstudier.
Följ Microsoft