Đăng ký tham dự hội thảo trực tuyến vào ngày 30 tháng 10 để biết thông tin chuyên sâu về Báo cáo Phòng vệ số Microsoft năm 2024.
CISO Insider: Vấn đề số 3
Chào mừng bạn đến với vấn đề thứ ba của loạt bài CISO Insider. Tôi là Rob Lefferts và lãnh đạo nhóm kỹ sư Microsoft Defender và Sentinel. Chúng tôi đã ra mắt loạt bài này khoảng một năm trước để chia sẻ những hiểu biết sâu sắc từ các cuộc thảo luận của chúng tôi với một vài đồng nghiệp cũng như từ nghiên cứu và kinh nghiệm của chính chúng tôi khi làm việc trực tiếp với khách hàng về an ninh mạng.
Trong hai số đầu tiên, chúng tôi xem xét các mối đe dọa ngày càng gia tăng như mã độc tống tiền và cách các nhà lãnh đạo bảo mật đang sử dụng các cơ hội tự động hóa và nâng cao kỹ năng để giúp ứng phó hiệu quả với các mối đe dọa trong bối cảnh tình trạng thiếu nhân tài đang diễn ra. Khi CISOs phải đối mặt với nhiều áp lực hơn để hoạt động hiệu quả trong bối cảnh kinh tế bất ổn ngày nay, nhiều người đang tìm cách tối ưu hóa bằng cách sử dụng các giải pháp dựa trên đám mây và các dịch vụ bảo mật được quản lý tích hợp. Trong số này, chúng tôi thảo luận về các ưu tiên bảo mật nổi lên khi các tổ chức chuyển sang mô hình lấy đám mây làm trung tâm cùng mọi cấu phần trong tài sản kỹ thuật số của họ từ hệ thống tại chỗ đến thiết bị IoT.
Nền tảng điện toán đám mây công cộng mang lại lợi ích đôi bên cùng có lợi về bảo mật nền tảng mạnh mẽ cộng với hiệu quả chi phí và tính toán khả năng mở rộng, khiến nó trở thành nguồn lực quan trọng trong thời điểm ngân sách thắt chặt. Nhưng với mối quan hệ ba bên này cần phải “lưu ý đến những khoảng trống” nảy sinh trong mối liên hệ giữa nền tảng điện toán đám mây công cộng và riêng tư cũng như các hệ thống tại chỗ. Chúng tôi xem xét các nhà lãnh đạo bảo mật đang làm gì để quản lý bảo mật trong không gian giới hạn giữa các thiết bị nối mạng, điểm cuối, ứng dụng, đám mây và dịch vụ được quản lý. Cuối cùng, chúng tôi xem xét hai công nghệ đại diện cho đỉnh cao của thách thức bảo mật này, IoT và CNVH. Sự giao thoa của hai công nghệ phân cực này - một công nghệ mới ra đời và thừa tự còn lại, cả hai đều được đưa vào mạng mà không có biện pháp bảo mật tích hợp đầy đủ - tạo ra một lỗ hổng dễ bị tấn công.
Số 3 thảo luận về ba ưu tiên bảo mật lấy đám mây làm trung tâm sau:
Đám mây được bảo mật; nhưng bạn có đang quản lý môi trường đám mây của mình một cách an toàn không?
Tiến trình áp dụng đám mây đã được đẩy mạnh cùng với việc các tổ chức tìm kiếm những khả năng mới nhằm đáp ứng hạn chế về kinh tế và thiếu hụt nhân tài. CISOs tin tưởng dịch vụ đám mây công cộng bởi khả năng bảo mật nền tảng của những dịch vụ này, nhưng đám mây chỉ an toàn khi khách hàng có khả năng quản lý giao diện giữa nền tảng điện toán đám mây công cộng và cơ sở hạ tầng riêng tư. Chúng tôi xem xét cách các nhà lãnh đạo bảo mật đang thu hẹp khoảng cách bằng chiến lược bảo mật đám mây bền vững - ví dụ, bằng cách bảo mật các ứng dụng và khối lượng công việc trên đám mây với các công cụ như quản lý vị thế đám mây và nền tảng bảo vệ ứng dụng trên nền tảng đám mây (CNAPP).
Một vị thế bảo mật toàn diện bắt đầu bằng khả năng hiển thị và kết thúc bằng việc quản lý rủi ro được ưu tiên.
Việc tiếp nhận đám mây tăng tốc sẽ dẫn đến sự gia tăng nhanh chóng của các dịch vụ, điểm cuối, ứng dụng và thiết bị. Ngoài chiến lược quản lý các điểm kết nối đám mây quan trọng, CISOs đang nhận thấy nhu cầu về khả năng hiển thị và phối hợp tốt hơn trên phạm vi dấu ấn kỹ thuật số đang mở rộng - nhu cầu quản lý vị thế toàn diện. Chúng tôi xem xét cách các nhà lãnh đạo bảo mật đang mở rộng phương pháp tiếp cận từ việc ngăn chặn các cuộc tấn công (vẫn là biện pháp phòng thủ tốt nhất, miễn là nó hoạt động) đến quản lý rủi ro thông qua các công cụ quản lý vị thế toàn diện giúp kiểm kê tài sản và lập mô hình rủi ro kinh doanh - và tất nhiên, danh tính và kiểm soát truy cập.
Dựa vào Zero Trust và duy trì để chế ngự môi trường vô cùng đa dạng, siêu kết nối của IoT & CNVH.
Sự tăng trưởng theo cấp số nhân của các thiết bị được kết nối IoT và CNVH liên tục đặt ra những thách thức về bảo mật - đặc biệt là gặp khó khăn trong việc tương thích các công nghệ là sự kết hợp giữa các công cụ ứng dụng trên nền tảng đám mây từ bên thứ ba và thiết bị thừa tự được trang bị thêm cho mạng. Số lượng thiết bị IoT toàn cầu dự kiến sẽ đạt 41,6 tỷ vào năm 2025, tạo ra diện tích bề mặt tấn công mở rộng cho những kẻ tấn công sử dụng các thiết bị đó làm điểm bắt đầu cho các cuộc tấn công mạng. Các thiết bị này có xu hướng được coi là điểm khả năng bị tổn thương trong mạng lưới. Chúng có thể đã được đưa vào bằng cách đặc biệt và được kết nối với mạng lưới CNTT mà không có sự chỉ đạo rõ ràng từ nhóm bảo mật; được phát triển mà không có sự bảo mật cơ bản bởi bên thứ ba; hoặc được nhóm bảo mật quản lý không đầy đủ do những thách thức như giao thức độc quyền và yêu cầu về tính khả dụng (CNVH). Tìm hiểu xem có bao nhiêu nhà lãnh đạo công nghê thông tin hiện đang phát triển chiến lược bảo mật IoT/CNVH của họ để dẫn hướng lợi thế còn nhiều lỗ hổng này.
Đám mây được bảo mật; nhưng bạn có đang quản lý môi trường đám mây của mình một cách an toàn không?
Vào thời điểm thiếu hụt nhân tài và ngân sách thắt chặt, đám mây mang lại nhiều lợi ích - hiệu quả về chi phí, tài nguyên có thể mở rộng vô hạn, công cụ tiên tiến, và khả năng bảo vệ dữ liệu đáng tin cậy hơn hầu hết các nhà lãnh đạo bảo mật cảm thấy họ có thể đạt được tại chỗ. Trong khi CISOs từng coi tài nguyên đám mây là sự cân bằng giữa rủi ro lớn hơn và hiệu quả chi phí cao hơn, thì hầu hết các nhà lãnh đạo bảo mật mà chúng tôi nói chuyện ngày nay đều coi đám mây là một điều bình thường mới. Họ tin tưởng vào khả năng bảo mật nền tảng vững chắc của công nghệ đám mây: “Tôi kỳ vọng rằng các nhà cung cấp dịch vụ điện toán đám mây sẽ có tổ chức ổn định về quản lý truy cập và danh tính, bảo mật hệ thống và bảo vệ tài sản vật lý,” một CISO cho biết.
Nhưng như hầu hết các nhà lãnh đạo bảo mật đều nhận ra, bảo mật nền tảng đám mây không đảm bảo dữ liệu của bạn được an toàn - việc bảo vệ dữ liệu của bạn trên đám mây phụ thuộc rất nhiều vào cách triển khai dịch vụ đám mây cùng với các hệ thống tại chỗ và công nghệ nội bộ. Rủi ro phát sinh từ khoảng cách giữa đám mây và ranh giới tổ chức truyền thống, các chính sách, và công nghệ được sử dụng để bảo mật đám mây. Sai cấu hình xảy ra, thường khiến các tổ chức bị lộ và phải phụ thuộc vào các nhóm bảo mật để xác định và thu hẹp các lỗ hổng.
“Một số lượng lớn các vi phạm là do sai cấu hình, ai đó vô tình định cấu hình sai hoặc thay đổi thứ gì đó khiến dữ liệu bị rò rỉ.”
Tiện ích – Nước, 1.390 nhân viên
Đến năm 2023, 75% vi phạm bảo mật đám mây sẽ do quản lý danh tính, quyền truy cập và đặc quyền không đầy đủ, tăng từ mức 50% vào năm 2020 (Sai cấu hình và lỗ hổng rủi ro lớn nhất trong bảo mật đám mây: Báo cáo | CSO Trực tuyến). Thách thức không tồn tại ở tính bảo mật của đám mây, mà ở các chính sách và biện pháp kiểm soát được sử dụng để bảo mật quyền truy nhập. Như dịch vụ tài chính CISO đã nói, “Bảo mật đám mây rất tốt nếu được triển khai đúng cách. Bản thân nền tảng điện toán đám mây và các thành phần của chúng đều được bảo mật. Nhưng bạn sẽ vào phần cấu hình: tôi có viết mã đúng cách không? Tôi có đang thiết lập trình kết nối trên toàn doanh nghiệp một cách chính xác không?” Một nhà lãnh đạo bảo mật khác tóm tắt thách thức: “Việc sai cấu hình các dịch vụ đám mây đó là nguyên nhân khiến dịch vụ này trở thành cơ hội cho các tác nhân đe dọa.” Khi ngày càng có nhiều nhà lãnh đạo bảo mật nhận thức được rủi ro do sai cấu hình đám mây, cuộc trò chuyện xung quanh vấn đề bảo mật đám mây đã chuyển từ “Đám mây có an toàn không?” thành “Tôi có đang sử dụng đám mây một cách an toàn không?”
Việc sử dụng đám mây một cách an toàn có nghĩa là gì? Nhiều nhà lãnh đạo mà tôi trò chuyện tiếp cận chiến lược bảo mật đám mây ngay từ đầu, giải quyết các lỗi của con người khiến tổ chức gặp rủi ro như vi phạm danh tính và sai cấu hình. Điều này cũng phù hợp với đề xuất của chúng tôi - bảo mật danh tính và quản lý một cách thích ứng quyền truy cập là điều hoàn toàn cơ bản đối với bất kỳ chiến lược bảo mật đám mây nào.
Đối với bất kỳ ai vẫn còn băn khoăn, có thể điều này sẽ giúp ích: McAfee báo cáo rằng 70% hồ sơ bị lộ - 5,4 tỷ - đã bị xâm phạm do các dịch vụ và cổng thông tin bị sai cấu hình. Quản lý quyền truy cập thông qua kiểm soát danh tính và thực hiện duy trì bảo mật mạnh mẽ có thể phải mất một chặng đường dài để thu hẹp khoảng cách. McAfee cũng báo cáo tương tự rằng 70% hồ sơ bị lộ - 5,4 tỷ - đã bị xâm phạm do các dịch vụ và cổng thông tin bị sai cấu hình. Quản lý quyền truy cập thông qua kiểm soát danh tính và thực hiện duy trì bảo mật mạnh mẽ có thể phải mất một chặng đường dài để thu hẹp khoảng cách.
Chiến lược bảo mật đám mây mạnh mẽ bao gồm các biện pháp thực hành tốt nhất sau:
1. Triển khai chiến lược đầu cuối bảo vệ ứng dụng trên nền tảng đám mây (CNAPP): Quản lý bảo mật bằng các công cụ phân mảnh có thể gây ra điểm mù trong bảo vệ và chi phí cao hơn. Việc có một nền tảng tất cả trong một cho phép bạn nhúng bảo mật từ mã vào đám mây là rất quan trọng để giảm bề mặt tấn công tổng thể trên đám mây và tự động hóa việc bảo vệ khỏi mối đe dọa. Chiến lược CNAPP bao gồm các phương pháp hay nhất sau:
a. Ưu tiên bảo mật ngay từ đầu trong DevOps. Bảo mật có thể bị ảnh hưởng khi vội vàng phát triển ứng dụng đám mây. Các nhà phát triển có sự thúc đẩy để giải quyết vấn đề kinh doanh một cách nhanh chóng và có thể thiếu kỹ năng bảo mật đám mây. Kết quả là các ứng dụng có thể sinh sôi nảy nở mà không có quy tắc cấp phép dữ liệu phù hợp. API đã trở thành mục tiêu hàng đầu của tin tặc, vì các tổ chức thường không thể theo dõi chúng do tốc độ phát triển ứng dụng đám mây. Gartner xác định “API lan rộng” là một vấn đề ngày càng gia tăng, dự đoán rằng đến năm 2025, chưa đến một nửa số API doanh nghiệp sẽ được quản lý (Gartner). Do đó điều quan trọng là phải triển khai chiến lược DevSecOps càng nhanh càng tốt.
b. Tăng cường tình trạng bảo mật đám mây và khắc phục các cấu hình sai. Cấu hình sai là nguyên nhân phổ biến nhất gây ra sự cố trên đám mây - hãy xem Cloud Security Alliance’s các cấu hình sai cài đặt nhóm bảo mật phổ biến nhất. Mặc dù việc để tài nguyên lưu trữ mở cho công chúng là nỗi sợ hãi phổ biến nhất mà chúng tôi nghe thấy, CISOs cũng trích dẫn các lĩnh vực bị xao nhãng khác: vô hiệu hóa giám sát và ghi nhật ký, thừa quyền truy nhập, bản sao lưu không được bảo vệ, v.v. Việc mật mã hóa là một biện pháp phòng ngừa quan trọng chống lại việc quản lý yếu kém - và rất quan trọng để giảm nguy cơ bị mã độc tống tiền tấn công. Các công cụ quản lý vị thế bảo mật trên đám mây cung cấp một tuyến phòng thủ khác bằng cách giám sát tài nguyên đám mây để phát hiện các trường hợp bị lộ và sai cấu hình trước khi xảy ra vi phạm, do đó bạn có thể chủ động giảm bề mặt tấn công.
c. Tự động phát hiện, ứng phó và phân tích sự cố. Việc xác định và sửa các cấu hình sai là điều tuyệt vời nhưng chúng tôi cũng cần đảm bảo có sẵn các công cụ và quy trình để phát hiện các cuộc tấn công vượt qua được hệ thống phòng thủ. Đây là nơi các công cụ quản lý phát hiện và phản hồi mối đe dọa có thể trợ giúp.
d. Nhận quyền quản lý quyền truy cập. Xác thực đa yếu tố, đăng nhập một lần, kiểm soát quyền truy cập dựa trên vai trò, quản lý quyền và chứng nhận giúp quản lý hai rủi ro lớn nhất đối với bảo mật đám mây: người dùng và các thuộc tính kỹ thuật số bị sai cấu hình. Ít quyền truy cập nhất là phương pháp hay nhất về quản lý quyền sử dụng cơ sở hạ tầng đám mây (CIEM). Một số nhà lãnh đạo dựa vào giải pháp quản lý quyền truy cập hoặc quản lý quyền sử dụng để áp dụng các biện pháp kiểm soát bảo mật tích cực. Một nhà lãnh đạo dịch vụ tài chính dựa vào trình cung cấp bảo mật truy nhập đám mây (CASB) như một “cản trở chính” để quản lý các dịch vụ SaaS của tổ chức và duy trì quyền kiểm soát người dùng và dữ liệu. CASB đóng vai trò trung gian giữa người dùng và ứng dụng đám mây, cung cấp khả năng hiển thị và thực thi các hành động quy chế thông qua các chính sách. cản trở” để quản lý các dịch vụ SaaS của họ và duy trì quyền kiểm soát người dùng và dữ liệu của họ. CASB đóng vai trò trung gian giữa người dùng và ứng dụng đám mây, cung cấp khả năng hiển thị và thực thi các hành động quy chế thông qua các chính sách.
Nền tảng bảo vệ ứng dụng trên nền tảng đám mây giống như được cung cấp trong Microsoft Defender cho điện toán đám mây không chỉ cung cấp khả năng hiển thị điện toán đa đám mây, mà còn cung cấp khả năng bảo vệ ở tất cả các lớp của môi trường đồng thời giám sát các mối đe dọa và cảnh báo tương quan về các sự cố tích hợp với SIEM của bạn. Điều này hợp lý hóa các cuộc điều tra và giúp nhóm SOC của bạn đón đầu các cảnh báo trên nhiều nền tảng.
Một chút phòng ngừa - thu hẹp khoảng cách danh tính và sai cấu hình - kết hợp với các công cụ mạnh mẽ để ứng phó với cuộc tấn công sẽ góp phần bảo vệ toàn bộ môi trường đám mây, từ mạng công ty đến các dịch vụ đám mây.
Một vị thế bảo mật toàn diện bắt đầu bằng khả năng hiển thị và kết thúc bằng việc quản lý rủi ro được ưu tiên.
Việc chuyển sang CNTT lấy đám mây làm trung tâm không chỉ khiến tổ chức gặp phải những lỗ hổng trong quá trình triển khai mà còn dẫn đến hàng loạt tài sản nối mạng như thiết bị, ứng dụng, điểm cuối, cũng như khối lượng công việc trên đám mây ngày càng gia tăng. Các nhà lãnh đạo bảo mật đang quản lý tình thế của họ trong môi trường không có vành đai này bằng các công nghệ mang lại khả năng hiển thị và phản hồi ưu tiên. Những công cụ này giúp các tổ chức lập bản đồ kiểm kê tài sản bao trùm toàn bộ bề mặt tấn công, mở rộng các thiết bị được quản lý và không được quản lý cả trong và ngoài mạng của tổ chức. Bằng cách sử dụng các tài nguyên này, CISOs có thể đánh giá vị thế bảo mật của từng tài sản cũng như vai trò của nó trong doanh nghiệp để phát triển mô hình rủi ro được ưu tiên.
Trong cuộc trò chuyện với các nhà lãnh đạo bảo mật, chúng tôi nhận thấy sự phát triển từ bảo mật dựa trên phạm vi sang cách tiếp cận dựa trên vị thế bảo mật bao trùm một hệ sinh thái không biên giới.
Như một CISO đã nói, “Đối với tôi, vị thế phụ thuộc vào danh tính…. Chúng tôi không coi nó giống như vị thế truyền thống cũ là nơi có vành đai mà di chuyển nó xuống tận điểm cuối.” (Tiện ích-Nước, 1.390 nhân viên). “Danh tính đã trở thành vành đai mới,” CISO FinTech nhận xét, đặt câu hỏi: “Danh tính có ý nghĩa gì trong mô hình mới này, nơi không có bên ngoài và bên trong?” (FinTech, 15.000 nhân viên).
Với môi trường nhiều lỗ hổng này, CISOs hiểu được tính cấp thiết của việc quản lý vị thế toàn diện - nhưng nhiều người đặt câu hỏi liệu họ có đủ nguồn lực và sự trưởng thành về mặt kỹ thuật số để đưa tầm nhìn này vào thực tế hay không. May mắn thay, thông qua sự kết hợp của các khuôn khổ đã được chứng minh trong ngành (được cập nhật cho nhu cầu ngày nay) và đổi mới về bảo mật, hầu hết các tổ chức đều có thể quản lý vị thế toàn diện.
Nhận công cụ trong cơ sở hạ tầng mạng cho phép bạn thực hiện kiểm kê tài sản. Thứ hai, hãy xem cái nào trong số đó là quan trọng, cái nào có rủi ro lớn nhất đối với tổ chức và hiểu những lỗ hổng tiềm ẩn của những thiết bị này và quyết định xem điều này có thể chấp nhận được hay không - tôi có cần vá hoặc cách ly nó hay không.
Ken Malcolmson, Cố vấn điều hành an ninh, Microsoft
Dưới đây là một số phương pháp hay nhất và công cụ mà các nhà lãnh đạo bảo mật đang sử dụng để quản lý trạng thái của họ trong môi trường mở, lấy đám mây làm trung tâm:
1. Đạt được khả năng hiển thị toàn diện với kiểm kê tài sản.
Tầm nhìn là bước đầu tiên trong quản lý vị thế tổng thể. CISOs đang hỏi: “Chúng ta có biết tất cả những gì chúng ta có ở bước đầu tiên không? Chúng ta thậm chí có khả năng hiển thị trước khi có thể tiếp cận quản lý không?” Kiểm kê tài sản rủi ro bao gồm các tài sản CNTT như mạng lưới và ứng dụng, cơ sở dữ liệu, máy chủ, thuộc tính đám mây, thuộc tính IoT, cũng như dữ liệu và tài sản IP được lưu trữ trên cơ sở hạ tầng kỹ thuật số này. Hầu hết các nền tảng, như Microsoft 365 hoặc Azure, đều bao gồm các công cụ kiểm kê tài sản tích hợp sẵn có thể giúp bạn bắt đầu.
Tầm nhìn là bước đầu tiên trong quản lý vị thế tổng thể. CISOs đang hỏi: “Chúng ta có biết tất cả những gì chúng ta có ở bước đầu tiên không? Chúng ta thậm chí có khả năng hiển thị trước khi có thể tiếp cận quản lý không?” Kiểm kê tài sản rủi ro bao gồm các tài sản CNTT như mạng lưới và ứng dụng, cơ sở dữ liệu, máy chủ, thuộc tính đám mây, thuộc tính IoT, cũng như dữ liệu và tài sản IP được lưu trữ trên cơ sở hạ tầng kỹ thuật số này. Hầu hết các nền tảng, như Microsoft 365 hoặc Azure, đều bao gồm các công cụ kiểm kê tài sản tích hợp sẵn có thể giúp bạn bắt đầu.
2. Đánh giá khả năng bị tổn thương và phân tích rủi ro.
Khi một tổ chức có bản kiểm kê tài sản toàn diện, tổ chức có thể phân tích rủi ro đối với cả các lỗ hổng nội bộ và các mối đe dọa bên ngoài. Bước này phụ thuộc nhiều vào bối cảnh và dành riêng cho mỗi tổ chức – việc đánh giá rủi ro đáng tin cậy phụ thuộc vào mối quan hệ hợp tác chặt chẽ giữa các nhóm bảo mật, CNTT và dữ liệu. Nhóm đa chức năng này tận dụng các công cụ tính điểm rủi ro và ưu tiên tự động trong phân tích - ví dụ: các công cụ ưu tiên rủi ro được tích hợp vào Microsoft Entra ID, Microsoft Defender XDR, và Microsoft 365. Các công nghệ xếp hạng và chấm điểm rủi ro tự động cũng có thể kết hợp hướng dẫn của chuyên gia để khắc phục các lỗ hổng cũng như thông tin theo ngữ cảnh để ứng phó hiệu quả với mối đe dọa trên mạng.
Khi một tổ chức có bản kiểm kê tài sản toàn diện, tổ chức có thể phân tích rủi ro đối với cả các lỗ hổng nội bộ và các mối đe dọa bên ngoài. Bước này phụ thuộc nhiều vào bối cảnh và dành riêng cho mỗi tổ chức – việc đánh giá rủi ro đáng tin cậy phụ thuộc vào mối quan hệ hợp tác chặt chẽ giữa các nhóm bảo mật, CNTT và dữ liệu. Nhóm đa chức năng này tận dụng các công cụ tính điểm rủi ro và ưu tiên tự động trong phân tích - ví dụ: các công cụ ưu tiên rủi ro được tích hợp vào Microsoft Entra ID, Microsoft Defender XDR, và Microsoft 365. Các công nghệ xếp hạng và chấm điểm rủi ro tự động cũng có thể kết hợp hướng dẫn của chuyên gia để khắc phục các lỗ hổng cũng như thông tin theo ngữ cảnh để ứng phó hiệu quả với mối đe dọa trên mạng.
3. Ưu tiên rủi ro và nhu cầu bảo mật với mô hình rủi ro kinh doanh.
Với sự hiểu biết rõ ràng về bối cảnh rủi ro, các nhóm kỹ thuật có thể làm việc với các lãnh đạo doanh nghiệp để ưu tiên các biện pháp can thiệp bảo mật phù hợp với nhu cầu kinh doanh. Xem xét vai trò của từng tài sản, giá trị của nó đối với doanh nghiệp và rủi ro đối với doanh nghiệp nếu nó bị xâm phạm, đặt các câu hỏi như, 'Thông tin này nhạy cảm đến mức nào và mức rủi ro của nó đối với doanh nghiệp là gì?” hoặc “Các hệ thống này quan trọng như thế nào - tác động của việc ngưng hoạt động hệ thống đối với doanh nghiệp là gì?” Microsoft cung cấp các công cụ hỗ trợ việc nhận dạng toàn diện và ưu tiên các lỗ hổng theo mô hình rủi ro kinh doanh, bao gồm Microsoft điểm bảo mật, Microsoft điểm tuân thủ, Azure điểm bảo mật, Quản lý bề mặt tấn công từ bên ngoài dành cho Microsoft Defender, và Quản lý lỗ hổng bảo mật dành cho Microsoft Defender.
Với sự hiểu biết rõ ràng về bối cảnh rủi ro, các nhóm kỹ thuật có thể làm việc với các lãnh đạo doanh nghiệp để ưu tiên các biện pháp can thiệp bảo mật phù hợp với nhu cầu kinh doanh. Xem xét vai trò của từng tài sản, giá trị của nó đối với doanh nghiệp và rủi ro đối với doanh nghiệp nếu nó bị xâm phạm, đặt các câu hỏi như, 'Thông tin này nhạy cảm đến mức nào và mức rủi ro của nó đối với doanh nghiệp là gì?” hoặc “Các hệ thống này quan trọng như thế nào - tác động của việc ngưng hoạt động hệ thống đối với doanh nghiệp là gì?” Microsoft cung cấp các công cụ hỗ trợ việc nhận dạng toàn diện và ưu tiên các lỗ hổng theo mô hình rủi ro kinh doanh, bao gồm Microsoft điểm bảo mật, Microsoft điểm tuân thủ, Azure điểm bảo mật, Quản lý bề mặt tấn công từ bên ngoài dành cho Microsoft Defender, và Quản lý lỗ hổng bảo mật dành cho Microsoft Defender.
4. Tạo một chiến lược quản lý vị thế.
Kiểm kê tài sản, phân tích rủi ro và mô hình rủi ro kinh doanh là cơ sở để quản lý vị thế toàn diện. Khả năng hiển thị và thông tin chuyên sâu này giúp nhóm bảo mật xác định chỉ định tài nguyên tốt nhất, những biện pháp tăng cường nào cần được áp dụng, và cách tối ưu hóa sự cân bằng giữa rủi ro và khả năng sử dụng cho từng phân đoạn của mạng lưới.
Kiểm kê tài sản, phân tích rủi ro và mô hình rủi ro kinh doanh là cơ sở để quản lý vị thế toàn diện. Khả năng hiển thị và thông tin chuyên sâu này giúp nhóm bảo mật xác định chỉ định tài nguyên tốt nhất, những biện pháp tăng cường nào cần được áp dụng, và cách tối ưu hóa sự cân bằng giữa rủi ro và khả năng sử dụng cho từng phân đoạn của mạng lưới.
Các giải pháp quản lý vị thế cung cấp khả năng hiển thị và phân tích khả năng bị tổn thương để giúp các tổ chức hiểu được nơi cần tập trung nỗ lực cải thiện vị thế của họ. Với thông tin chuyên sâu này, họ có thể xác định và ưu tiên các khu vực quan trọng trên bề mặt tấn công.
Dựa vào Zero Trust và duy trì để chế ngự môi trường vô cùng đa dạng, siêu kết nối của IoT và CNVH
Hai thách thức chúng ta đã thảo luận - khoảng cách triển khai đám mây và sự phổ biến của các thiết bị kết nối đám mây - đang tạo ra một cơn bão rủi ro hoàn hảo trong môi trường thiết bị IoT và CNVH. Ngoài rủi ro vốn có về diện tích bề mặt tấn công mở rộng do các thiết bị IoT và CNVH tạo ra, các nhà lãnh đạo bảo mật cho biết rằng họ đang cố gắng hữu tỷ hóa sự giao thoa của các chiến lược IoT non trẻ và CNVH thừa tự. IoT có thể là ứng dụng trên nền tảng đám mây, nhưng các thiết bị này thường ưu tiên lợi ích kinh doanh hơn là bảo mật cơ bản; CNVH có xu hướng là thiết bị thừa tự do nhà cung cấp quản lý được phát triển mà không có biện pháp bảo mật hiện đại và được đưa vào mạng lưới CNTT của tổ chức một cách đặc biệt.
Các thiết bị IoT và CNVH đang giúp các tổ chức hiện đại hóa không gian làm việc, điều khiển dữ liệu nhiều hơn, và giảm bớt nhu cầu đối với nhân viên thông qua những thay đổi chiến lược như quản lý từ xa và tự động hóa. Công cụ kết nối cơ sở dữ liệu Internet (IDC) ước tính sẽ có 41,6 tỷ thiết bị IoT được kết nối vào năm 2025, tốc độ tăng trưởng vượt xa tốc độ tăng trưởng của các thiết bị CNTT truyền thống.
Nhưng đi kèm với cơ hội này là rủi ro đáng kể. Báo cáo Cyber Signals tháng 12 năm 2022 của chúng tôi, Sự giao thoa của CNTT và CNVH, đã xem xét các rủi ro đối với cơ sở hạ tầng quan trọng do các công nghệ này gây ra.
Những phát hiện chính bao gồm:
1. 75% bộ điều khiển công nghiệp phổ biến nhất trong mạng CNVH của khách hàng có lỗ hổng ở mức độ nghiêm trọng cao, chưa được vá.
2. Từ năm 2020 đến năm 2022, số vụ tiết lộ lỗ hổng ở mức độ nghiêm trọng cao trong thiết bị điều khiển công nghiệp do các nhà cung cấp phổ biến sản xuất đã tăng 78%.
3. Nhiều thiết bị hiển thị công khai trên internet đang chạy phần mềm không được hỗ trợ. Ví dụ, phần mềm Boa lỗi thời vẫn được sử dụng rộng rãi trong các thiết bị IoT và bộ công cụ phát triển phần mềm (SDKs).
Các thiết bị IoT thường là liên kết yếu nhất trong tài sản kỹ thuật số. Vì chúng không được quản lý, cập nhật hoặc vá lỗi giống như các thiết bị CNTT truyền thống, nên chúng có thể đóng vai trò là cổng thuận tiện cho những kẻ tấn công tìm cách xâm nhập vào mạng CNTT. Sau khi được truy cập, các thiết bị IoT dễ bị thực thi mã từ xa. Kẻ tấn công có thể giành quyền kiểm soát và khai thác các lỗ hổng để cấy botnet hoặc phần mềm độc hại vào thiết bị IoT. Tại thời điểm đó, thiết bị có thể đóng vai trò như một cánh cửa mở cho toàn bộ mạng lưới.
Các thiết bị Công nghệ Vận hành thậm chí còn tiềm ẩn nhiều rủi ro nguy hiểm hơn, trong đó có nhiều thiết bị rất quan trọng đối với hoạt động của tổ chức. Về mặt lịch sử ngoại tuyến hoặc bị cô lập về mặt vật lý với mạng CNTT của công ty, mạng CNVH ngày càng được kết hợp với các hệ thống CNTT và IoT. Nghiên cứu tháng 11 năm 2021 của chúng tôi được thực hiện với Viện Ponemon, Tình trạng an ninh mạng IoT/CNVH trong doanh nghiệp, nhận thấy rằng hơn một nửa số mạng CNVH hiện được kết nối với mạng CNTT (doanh nghiệp) của công ty. Một tỷ lệ tương tự các công ty - 56 phần trăm - có thiết bị kết nối Internet trên mạng CNVH của họ cho các tình huống như truy cập từ xa.
“Hầu hết mọi cuộc tấn công mà chúng tôi thấy trong năm qua đều bắt đầu từ quyền truy cập ban đầu vào mạng CNTT được tận dụng trong môi trường CNVH.”
David Atch, Microsoft Threat Intelligence, Trưởng bộ phận nghiên cứu bảo mật IoT/CNVH
Kết nối CNVH khiến các tổ chức có nguy cơ bị gián đoạn lớn và ngừng hoạt động trong trường hợp bị tấn công. CNVH thường là cốt lõi của hoạt động kinh doanh, cung cấp cho những kẻ tấn công một mục tiêu hấp dẫn mà chúng có thể khai thác để gây ra thiệt hại đáng kể. Bản thân các thiết bị có thể là mục tiêu dễ dàng vì chúng thường liên quan đến thiết bị cũ hoặc thiết bị thừa tự không được bảo mật theo thiết kế, có trước các biện pháp bảo mật hiện đại, và có thể có các giao thức độc quyền khiến các công cụ giám sát CNTT tiêu chuẩn khó có thể nhìn thấy. Những kẻ tấn công có xu hướng khai thác những công nghệ này bằng cách khám phá các hệ thống truy cập Internet bị lộ, giành quyền truy cập thông qua thông tin đăng nhập của nhân viên hoặc khai thác quyền truy cập được cấp cho nhà cung cấp và nhà thầu bên thứ ba. Các giao thức ICS không được giám sát là một điểm xâm nhập phổ biến cho các cuộc tấn công dành riêng cho CNVH (Báo cáo Phòng vệ số Microsoft 2022).
Để giải quyết thách thức duy nhất trong việc quản lý bảo mật IoT và CNVH trên toàn bộ các thiết bị khác nhau được kết nối liên tục theo những cách khác nhau với mạng CNTT, các nhà lãnh đạo bảo mật đang tuân theo các phương pháp hay nhất sau:
1. Đạt được khả năng hiển thị thiết bị toàn diện.
Hiểu tất cả tài sản bạn có trong mạng lưới, cách mọi thứ được kết nối với nhau, cũng như rủi ro kinh doanh và rủi ro liên quan tại mỗi điểm kết nối là nền tảng quan trọng để quản lý IoT/CNVH hiệu quả. Giải pháp phát hiện và phản hồi mạng nhận biết IoT và CNVH (NDR) cũng như SIEM như Microsoft Sentinel cũng có thể giúp bạn hiểu rõ hơn về các thiết bị IoT/CNVH trên mạng của mình và giám sát để phát hiện các hành vi bất thường, chẳng hạn như giao tiếp với các máy chủ lạ. (Để biết thêm thông tin về việc quản lý các giao thức ICS bị lộ trong CNVH, hãy xem “Rủi ro bảo mật duy nhất của thiết bị ICNVH,” Microsoft Security).
Hiểu tất cả tài sản bạn có trong mạng lưới, cách mọi thứ được kết nối với nhau, cũng như rủi ro kinh doanh và rủi ro liên quan tại mỗi điểm kết nối là nền tảng quan trọng để quản lý IoT/CNVH hiệu quả. Giải pháp phát hiện và phản hồi mạng nhận biết IoT và CNVH (NDR) cũng như SIEM như Microsoft Sentinel cũng có thể giúp bạn hiểu rõ hơn về các thiết bị IoT/CNVH trên mạng của mình và giám sát để phát hiện các hành vi bất thường, chẳng hạn như giao tiếp với các máy chủ lạ. (Để biết thêm thông tin về việc quản lý các giao thức ICS bị lộ trong CNVH, hãy xem “Rủi ro bảo mật duy nhất của thiết bị ICNVH,” Microsoft Security).
2. Phân đoạn mạng lưới và sử dụng nguyên tắc Zero Trust.
Bất cứ nơi nào có thể, hãy phân đoạn mạng để ngăn chặn cuộc tấn công qua mạng theo phương thức mở rộng phạm vi trong trường hợp bị tấn công. Các thiết bị IoT và mạng CNVH phải được cách ly hoặc cách ly khỏi mạng CNTT của công ty thông qua tường lửa. Điều đó nói lên rằng, điều quan trọng là phải đảm bảo CNVH và CNTT của bạn được giao thoa và xây dựng các giao thức Zero Trust trên bề mặt tấn công. Càng ngày, việc phân đoạn mạng càng không khả thi. Đối với các tổ chức được quản lý như chăm sóc sức khỏe, tiện ích và sản xuất, kết nối CNVH-CNTT là cốt lõi của chức năng kinh doanh - ví dụ: máy chụp x-quang tuyến vú hoặc MRI thông minh kết nối với hệ thống hồ sơ sức khỏe điện tử (EHR); dây chuyền sản xuất thông minh hoặc lọc nước cần giám sát từ xa. Trong những trường hợp này, Zero Trust là rất quan trọng.
Bất cứ nơi nào có thể, hãy phân đoạn mạng để ngăn chặn cuộc tấn công qua mạng theo phương thức mở rộng phạm vi trong trường hợp bị tấn công. Các thiết bị IoT và mạng CNVH phải được cách ly hoặc cách ly khỏi mạng CNTT của công ty thông qua tường lửa. Điều đó nói lên rằng, điều quan trọng là phải đảm bảo CNVH và CNTT của bạn được giao thoa và xây dựng các giao thức Zero Trust trên bề mặt tấn công. Càng ngày, việc phân đoạn mạng càng không khả thi. Đối với các tổ chức được quản lý như chăm sóc sức khỏe, tiện ích và sản xuất, kết nối CNVH-CNTT là cốt lõi của chức năng kinh doanh - ví dụ: máy chụp x-quang tuyến vú hoặc MRI thông minh kết nối với hệ thống hồ sơ sức khỏe điện tử (EHR); dây chuyền sản xuất thông minh hoặc lọc nước cần giám sát từ xa. Trong những trường hợp này, Zero Trust là rất quan trọng.
3. Sử dụng duy trì quản lý bảo mật IoT/CNVH.
Các đội an ninh có thể thu hẹp khoảng cách thông qua một số biện pháp duy trì cơ bản như:
Các đội an ninh có thể thu hẹp khoảng cách thông qua một số biện pháp duy trì cơ bản như:
- Loại bỏ các kết nối internet không cần thiết và các cổng mở, hạn chế hoặc từ chối truy cập từ xa và sử dụng các dịch vụ VPN
- Quản lý bảo mật thiết bị bằng cách áp dụng các bản vá cũng như thay đổi mật khẩu và cổng mặc định
- Đảm bảo các giao thức ICS không được tiếp xúc trực tiếp với internet
Để tìm hiểu hướng dẫn có thể thực thi về cách đạt được mức độ hiểu biết sâu sắc và quản lý này, hãy xem “Rủi ro duy nhất của Thiết bị IoT/CNVH”, Microsoft Security Insider.
Thông tin chuyên sâu có thể thực thi
1. Sử dụng giải pháp phát hiện và phản hồi mạng nhận biết IoT/CNVH (NDR) và giải pháp quản lý sự kiện và thông tin bảo mật (SIEM)/điều phối và phản hồi bảo mật (SOAR) để có được khả năng hiển thị sâu hơn về các thiết bị IoT/CNVH trên mạng của bạn, giám sát các thiết bị để phát hiện hành vi bất thường hoặc trái phép, chẳng hạn như giao tiếp với máy chủ lạ
2. Bảo vệ các trạm kỹ thuật bằng cách giám sát với các giải pháp phát hiện và phản hồi điểm cuối (EDR)
3. Giảm bề mặt tấn công bằng cách loại bỏ các kết nối internet không cần thiết và các cổng mở, hạn chế truy cập từ xa bằng cách chặn cổng, từ chối truy cập từ xa và sử dụng dịch vụ VPN
4. Đảm bảo các giao thức ICS không bị lộ trực tiếp trên internet
5. Phân đoạn mạng để hạn chế khả năng kẻ tấn công di chuyển ngang và xâm phạm tài sản sau lần xâm nhập ban đầu. Các thiết bị IoT và mạng CNVH cần được cách ly khỏi mạng CNTT của công ty thông qua tường lửa
6. Đảm bảo thiết bị hoạt động mạnh mẽ bằng cách áp dụng các bản vá, thay đổi mật khẩu và cổng mặc định
7. Giả sử CNVH và CNTT của bạn được giao thoa và xây dựng các giao thức Zero Trust vào bề mặt tấn công của bạn
8. Đảm bảo sự liên kết tổ chức giữa CNVH và CNTT bằng cách thúc đẩy khả năng hiển thị và tích hợp nhóm tốt hơn
9. Luôn tuân theo các biện pháp bảo mật IoT/CNVH tốt nhất dựa trên thông tin về mối đe dọa cơ bản
Khi các nhà lãnh đạo bảo mật nắm bắt cơ hội để hợp lý hóa tài sản kỹ thuật số của họ trong bối cảnh các mối đe dọa ngày càng gia tăng và áp lực phải làm được nhiều hơn với ít tài nguyên hơn, đám mây đang nổi lên như nền tảng của chiến lược bảo mật hiện đại. Như chúng ta đã thấy, lợi ích của cách tiếp cận lấy đám mây làm trung tâm lớn hơn nhiều so với rủi ro - đặc biệt đối với các tổ chức áp dụng các biện pháp thực hành tốt nhất để quản lý môi trường đám mây của họ thông qua chiến lược bảo mật đám mây mạnh mẽ, quản lý vị thế toàn diện và các chiến thuật cụ thể để thu hẹp khoảng cách tại IoT /cạnh CNVH.
Hãy xem vấn đề tiếp theo của chúng tôi để biết thêm về phân tích bảo mật và thông tin chuyên sâu. Cảm ơn vì đã đọc CISO Insider!
Để tìm hiểu hướng dẫn có thể thực thi về cách đạt được mức độ hiểu biết sâu sắc và quản lý này, hãy xem “Rủi ro duy nhất của Thiết bị IoT/CNVH”, Microsoft Security Insider.
Tất cả nghiên cứu được trích dẫn của Microsoft đều sử dụng các công ty nghiên cứu độc lập để liên hệ với các chuyên gia bảo mật cho cả nghiên cứu định lượng và định tính, đảm bảo bảo vệ quyền riêng tư và tính nghiêm ngặt trong phân tích. Các trích dẫn và nghiên cứu trong tài liệu này, trừ khi có quy định khác, là kết quả nghiên cứu của Microsoft.
Theo dõi Microsoft Security