Trace Id is missing

CISO Insider: 1. udgave

En mand, der kigger på en tablet på et lager.

Naviger i dagens trusselslandskab med eksklusiv analyse og anbefalinger fra sikkerhedsledere

Jeg hedder Rob Lefferts, og jeg leder Microsoft 365 Security Engineering-teamet. Mit team – og de Microsoft-sikkerhedsresearchteams, som vi samarbejder med, er uophørligt fokuserede på at afdække og bekæmpe de seneste trusselstendenser, som vores virksomhed, vores kunder og hele det globale samfund står over for.

Indtil nu har vi kun delt vores trusselsorienteringer internt, men vi har besluttet at begynde at udgive dem offentligt i form af CISO Insider. Vores mål er at bestyrke organisationer verden over med den mest opdaterede sikkerhedsindsigt og -vejledning for at beskytte dem selv og deres kunder mere effektivt mod cyberkriminalitet.

1. udgave lægger ud med tre emner, de fleste af os ofte tænker på:

  • Angrebstendenser: Når angreb ændrer sig, leverer de grundlæggende elementer stadig værdifuld beskyttelse
  • Risikoen ved at føre forretning: Håndtering af forsyningskædetrusler
  • Nye tilgange til at hjælpe med at adressere mangler på sikkerhedstalenter

COVID-19 har krævet, at organisationer måtte øge afhængigheden af fleksibilitet på arbejdspladsen og sætte fart på digital transformation – og disse ændringer har naturligvis krævet nogle ændringer med hensyn til sikkerhedstaktik. Perimeteren har udvidet sig og er stadigt mere hybrid ved at spænde over flere clouds og platforme. Selvom nye teknologier har været en stor gevinst for mange organisationer ved at muliggøre produktivitet og vækst selv i udfordrende tider, har forandringerne også givet en mulighed for cyberkriminelle, som arbejder på at udnytte sårbarhederne i stadigt mere komplekse digitale miljøer.

Stigningen i phishingangreb med relation til fjernarbejde er noget, de sikkerhedsfagfolk, jeg taler med, ofte tænker på – og noget vi også har set afspejlet i vores research. I en Microsoft-undersøgelse af sikkerhedsledere, der blev udført i 2020, fortalte 55 procent os, at deres organisationer havde registreret en stigning i phishingangreb siden pandemiens begyndelse, og 88 procent sagde, at phishingangreb havde påvirket deres organisationer. Jeg hører også jævnligt om stigende ransomwareangreb, hvordan malware forbliver en konsekvent trussel, og hvordan kompromittering af identiteter fortsætter med at være en større udfordring, der plager sikkerhedsteams.

Derudover ved vi, at angreb fra nationalstater er stadigt mere aggressive og vedholdende. NOBELIUM-forsyningskædeangrebet, der gjorde brug af SolarWinds-platformen, var en af de mange nye angreb, der har skrevet overskrifter i det seneste år. Selvom spændende nye teknikker er det, der ofte fange nyhedscyklussen, fortæller CISO'er mig regelmæssigt, at selv disse avancerede trusselsaktører, som de fleste cyberkriminelle har en tendens til at fokusere på muligheder for angreb med lave omkostninger og høj værdi.

"Hvis nationalstater angriber mig og min virksomhed, er det en lynnedslagsbegivenhed. Det kan ske, jeg er bekymret for det, men ikke lige så meget, som jeg bekymrer mig om mine dagligdagsaktiviteter, min grundlæggende sikkerhed".
CISO for finansielle tjenester

For at illustrere denne pointe lidt mere: Vi har set en stigning i nationalstatsangriberes brug af password spray-angreb. At være en sikkerhedsleder handler om at administrere risiko og prioritet – og mange ledere fortæller mig, at bestyrkelse af cyberhygiejne med henblik på at forebygge de mest almindelige angrebsveje, særligt på tværs af deres stigende digitale aftryk, er deres vigtigste prioritet. Og vores data og research understøtter dette synspunkt – vi anslår, at grundlæggende sikkerhedshygiejne stadig beskytter mod 98 % af angreb (se side 124 i Microsoft-rapport over digitalt forsvar, oktober 2021).

De fleste sikkerhedsledere, jeg taler med, er enige om de grundlæggende trin til en god sikkerhedsstrategi:

  • Implementering af multifaktorgodkendelse (MFA) og en registreringspolitik
  • Opnåelse af synlighed over deres miljø
  • Brugeruddannelse
  • At have styr på opdateringer og håndtering af sikkerhedsrisici
  • Administration og beskyttelse af alle enheder
  • Beskyttelse af konfigurationer for ressourcer og arbejdsbelastninger, både lokalt og i clouden
  • Sikring af backup i tilfælde af worst case-genoprettelsesscenarier
"Til slut er det for det meste af tiden … en dum adgangskode på en privilegeret konti, eller det er at nogen ikke implementerede et certifikat på et bestemt påkrævet slutpunkt".
CISO i Sundheds­sektoren

Du mener måske, at det er nemt at tale om grundlæggende sikkerhedstrin, men meget sværere at implementere dem i den virkelige verden, særligt når et team er overbebyrdet og underbemandet. Men jeg vil hævde, at det at være en sikkerhedsleder handler om at håndtere både risiko og prioritering – og der gør fokus på det grundlæggende til en særdeles pragmatisk tilgang. Alt for ofte er sikkerhedshændelser ikke et spørgsmål om HVIS men HVORNÅR. Der findes hundredvis af alarmerende cybersikkerhedsstatistikker, f.eks. om cirka 4.000 cyberkriminalitetsangreb, der udføres hver dag blot i USA, og mere end 30.000 websteder der dagligt hackes verden over.

Jeg tor på, at den bedste forsvarslinje er at tage en balanceret tilgang og investere i hændelsesregistrering og respons sammen med forebyggelse.

Selvom det kan virke svært af investere i nye forebyggelsesniveauer, mens du stadig forsøger at holde trit med stigende krav til registrering og respons, er det at finde den rigtige balance mellem de to indsatser både afgørende og gavnligt. En Ponemon Institute- og IBM Security-undersøgelse fra 2021 fandt frem til, at organisationer uden et hændelsesresponsteam eller en fastlagt plan så den gennemsnitlige omkostning ved databrud stige med 55 procent. Sikkerhedsteams, som kan balancere stærk forebyggelse med en strategi, der inkluderer svar på hændelse og investeringer i registrerings- og afhjælpningsværktøjer, vil være godt positioneret til at klare det, der vil komme.

Bundlinjen?

Tag en balanceret tilgang – får styr på det grundlæggende, og hav en plan for mulige brud.
  • Investering i grundlæggende cyberhygiejne og udvidelse af den til det voksende digitale miljø er en afgørende strategi for at hjælpe med at beskytte din virksomhed mod, at et angreb i det hele taget ankommer.
  • Selvom disse større angreb ikke finder sted hver dag, er det vigtigt at være forberedt og klar. Selvom de grundlæggende ting er vigtige, har fremadtænkende organisationer øjnene rettet mod en veldokumenteret og testet plan for, hvad de skal gøre efter et brud.

Og vores næste emne, som CISO'er tænker meget på i denne tid: forsyningskæder og de iboende trusler, de udviser. Udvidelse af sikkerhedsperimeteren uden for sikkerhedsorganisationen og it som følge af en stadigt mere forbundet og kompleks forsyningskæde er en realitet i dagens forretningsmiljø. En rapport fra Sonatype fra september 2021 identificerede en stigning i forsyningskædeangreb på 650 procent fra år til år fra 2020.

Ja, du læste rigtigt – 650 %!

Og nye forretningsrealiteter – f.eks. hybridarbejde og forsyningskædeforstyrrelser af alle typer, der rammer alle brancher – har skubbet sikkerheds- og identitetsgrænserne endnu mere.
1.013

Gennemsnitligt antal leverandører i en virksomheds forsyningskæde

Kilde: BlueVoyant,

"CISO Supply Chain", 2020

64 %

af virksomheder hævder at outsource mere end en fjerdedel af deres daglige forretningsopgaver til leverandører, der kræver adgang til deres virksomhedsdata

Kilde: (ISC)2, "Securing the Partner Ecosystem", 2019

Det er ikke så mærkeligt, at sikkerhedsledere er mere opmærksomme på forsyningskæderisici – alle dele af forsyningskæden er ikke kun afgørende for en virksomheds drift, men forstyrrelser på et hvilket som helst sted i kæden kan også være skadelige på en lang række måder.

Efterhånden som sikkerhedsledere udvider outsourcing til leverandører for apps, infrastruktur og menneskelig kapital, leder de efter mere effektive strukturer og værktøjer til at hjælpe dem med at vurdere og afbøde risiko på tværs af leverandørniveauer. Fordi dette tal på 650 procent er skræmmende – og vi er alle udsatte.

CISO'er fortæller mig, at selvom traditionelle vurderingsforanstaltninger kan være effektive med hensyn til at reducere risiko i løbet af udvælgelsesprocessen eller ved gennemgange, kæmper deres teams med de iboende mangler ved punktvise vurderinger, herunder:

  • Leverandørvurderingsprocesser inkluderer ofte kun et spørgeskema eller en "tjekliste", der ikke adresser alle de risici, der er en del af dagens forsyningskæder.
  • Når en leverandør er blevet onboardet, er der kun en punktvis vurderingscyklus, ofte årligt eller ved kontraktfornyelse.
  • Ofte har forskellige afdelinger inden for den samme virksomhed forskellige processer og funktioner involveret og ingen tydelig måde, hvorpå de kan dele oplysninger på tværs af interne teams
"Nøgleleverandører er dem, som vi i stor udstrækning er afhængige af eller dem, som støtter os mest med hensyn til at nå vores vision. Enhver forstyrrelse af trivslen for begge typer leverandører kan have en betydelig negativ indvirkning på vores organisation".
CIO inden for videnskabelig research

Disse foranstaltninger betyder, at organisationer ganske enkelt ikke kan håndhæve overholdelse og afbøde risiko i realtid. Som følge heraf er det meget sværere for sikkerhedsteams at reagere på unormal adfærd, f.eks. ved at sætte kompromitteret ekstern software i karantæne eller blokere lækkede administrator-legitimationsoplysninger fra at få adgang til deres netværk. Hvis nylige angreb har lært os noget, er det, at selv den bedste cybersikkerhedshygiejne og dedikation til det grundlæggende for at identificere, måle og afbøde risiko ikke helt kan fjerne muligheden for, at trusler sniger sig ind i forsyningskæderne.

"Vi har årlige afstemninger med nøgleleverandører, og afhængigt af leverandørernes niveauplacering kommer vi tilbage hvert andet år, hvert tredje år, og udfører en vurdering igen. Men en vurdering giver dig kun punktvise oplysninger. Den validerer ikke kontrolmiljøet hele året".
Medlem af Microsoft Supply Chain Management Customer Advisory Board

Så hvordan kan du håndtere dine forsyningskæderisici, samtidig med at du forbliver agil og produktiv? Det viser sig, at mange sikkerhedsledere går til forsyningskædetrusler på i stor udstrækning samme måde som med cyberangreb – med fokus på de stærke grundlæggende ting og forbedring af synlighed.

Eftersom der er så mange forskellige typer risici forbundet med leverandørøkosystemet, er der ingen tydelig standardisering, "bedste praksisser" eller endda teknologi til at håndtere dem. Men mange sikkerhedsledere læner sig op ad en Nul tillid-model som deres tilgang til at reducere deres risikoeksponering og hjælpe med at beskytte mod de sårbarheder, der konsekvent står bag forsyningskædetrusler – f.eks. kompromitterede legitimationsoplysninger tilhørende tredjepartsbrugere, malwareinficerede enheder, skadelig kode og meget mere.

Nul tillid er en proaktiv, integreret tilgang til sikkerhed på tværs af alle lag i den digitale ejendom, der eksplicit og løbende verificerer hver transaktion, sikrer færrest muligt privilegier og benytter efterretninger, forudgående registrering og respons på trusler i realtid.

Vi hører jævnligt fra sikkerhedsledere, at de har været i stand til at reducere indvirkningen fra større forsyningskædeangreb og forbedre den generelle effektivitet af forsyningskædens drift ved at implementere robuste Nul tillid-strategier. Faktum er, at ifølge en nylig undersøgelse fra Ponemon Institute og IBM Security så organisationer med modne Nul tillid-udrulninger omkring 40 procent lavere gennemsnitlig omkostning ved et brud sammenlignet med dem, der ikke havde udrullet Nul tillid.
"Nul tillid har gjort os i stand til at oprette en struktur og bygge adgangsmodaliteter til at beskytte alle kritiske aktiver i vores organisation".
Beslutningstager inden for sikkerhed i Sundheds­sektoren
"Jeg vil sige, at vi har set på vores Nordstjerne, og som minimum er det fra et kontrolperspektiv lidt som at gå mere mod Nul tillid. I stedet for potentielt at stille alle disse spørgsmål og så forsøge at håndtere "hvordan styrer jeg alt for dette område", skal du blot vælge det modsatte og starte uden noget, og så kun åbne præcis det, der er behov for. Så, jeg mener, at … Nul tillid får et nyt liv i branchen".
CISO inden for produktion af hurtigt omsættelige forbrugsvarer

Antag brud

Selvom de to første principper hjælper med at reducere sandsynligheden for en kompromittering, hjælper antagelse af brud organisationer med at forberede sig på hurtigt at registrere og reagere på et brud ved at opbygge processer og systemer, som om det allerede er sket. I praksis betyder dette brug af redundante sikkerhedsmekanismer, indhentning af systemtelemetri, brug af det til at registrere afvigelser, og hvor end det er muligt, at forbinde denne indsigt med automation, der lader dig forebygge, reagere på og afhjælpe næsten i realtid. CISO'er fortæller mig, at de investerer i at implementere robuste overvågningssystemer, der kan hjælpe dem med at registrere ændringer i miljøer – f.eks. en kompromitteret IoT-enhed, der forsøger at åbne unødvendige forbindelser til andre enheder – for hurtigt at identificere og inddæmme et angreb.

Ledere, som jeg taler med om Nul tillid, er enige i, at det er en god struktur for at skabe grundlæggende cyberhygiejne – og det inkluderer supply chain management.

Lad os se på, hvordan sikkerhedsledere gør brug af Nul tillid-principper for at beskytte deres forsyningskæder.

Eksplicit bekræftelse

Eksplicit bekræftelse betyder, at vi bør undersøge alle relevante aspekter af adgangsanmodninger i stedet for at antage tillid baseret på en svag forsikring, f.eks. netværksplacering. I tilfældet med forsyningskæder udnytter personer med ondsindede hensigter normalt huller i eksplicit bekræftelse – f.eks. ved at finde meget privilegerede leverandørkonti, der ikke er beskyttet med multifaktorgodkendelse, eller ved at injicere skadelig kode i et program, der er tillid til. Sikkerhedsteams bestyrker deres bekræftelsesmetoder og udvider deres sikkerhedspolitikkrav til deres tredjepartsbrugere.

Brug mindst privilegeret adgang

Når du har opnået det første princip, hjælper mindst privilegeret adgang med at sikre, at der kun gives tilladelse for at nå specifikke forretningsmål fra det relevante miljø og på relevante enheder. Dette hjælper med at reducere mulighederne for lateral bevægelse ved at begrænse, hvor meget en kompromitteret ressource (bruger, slutpunkt, app eller netværk) kan få adgang til andre i miljøet. Sikkerhedsledere fortæller os, at de prioriterer kun at forsyne leverandører og tredjeparter med den adgang, de har brug for, når de har brug for den, og fortsat gennemgå og vurdere adgangsanmodninger og -politikker inden for organisationens forsyningskæde for at reducere kontakten med vigtige systemer og ressourcer.

"Målet er at forbedre vores generelle sikkerhedsniveau, men det handler om at reducere friktion i slutbrugeroplevelsen og gøre livet nemmere for dem".
Beslutningstager inden for sikkerhed i servicebranchen

Bundlinjen?

Det store antal leverandører og de mange udfordringer, der er en del af distribuerede forsyningskæder, gør det endnu vigtigere at administrere proaktivt. Med de nylige globale databrud er sikkerhedsledere ivrige efter at finde måder, hvorpå de kan afbøde leverandørrisiko, og Nul tillid-principper giver en solid strategi og struktur til at administrere leverandørøkosystemet.
  • En Nul tillid-tilgang hjælper med at sikre, at kun de rette personer får det rette adgangsniveau på tværs af din organisation, samtidig med at både sikkerheden og slutbrugerproduktiviteten løftes.
  • Selvom der er mange måde at komme i gang med Nul tillid på, bør indførsel af multifaktorgodkendelse være en topprioritet set med udgangspunkt i et leverandørøkosystem og risikohåndtering.
  • Vurder modenheden af din organisations Nul tillids-fase, og få målrettet vejledning til milepæle samt en organiseret liste med ressourcer og løsninger for at få fremdrift på din Nul tillid-rejse.

Vi har alle hørt om The Great Resignation. Over 40 procent af den globale arbejdsstyrke overvejer at forlade deres arbejdsgiver i år – og sikkerhedsledere og deres teams føler sig allerede underbemandede. Jeg taler ofte med CISO'er om, hvordan tingene går generelt, og det at have råd til, finde og fastholde førende talenter er en af deres største bekymringer. Og hivs førende talenter forlader virksomheden, står de over for enten at skulle finde nye førende talenter eller opkvalificere dem, der er tilbage. Mere effektiv, integreret og automatiseret teknologi kan hjælpe, men der er langt fra nok.

Sikkerheds-buzzwords er blevet en del af hverdagssproget, nu hvor cyberangreb jævnligt viser sig i nyhederne – og disse angreb (og nyhederne om dem) kan påvirke en økonomi kraftigt. Men gæt engang! Det er ikke alt sammen dårlige nyheder. Eftersom cybersikkerhed er blevet et velkendt emne på tværs af alle områder i en organisation, hører vi, at konceptet "sikkerhed er alles job" begynder at give genlyd på tværs af organisationer. Særligt med nye hybridarbejdsmodeller og sikkerhedsparametre, der føres ind på mange nye måder, gør sikkerhedsledere nu i stigende grad brug af innovative metoder til at holde alle sikre, selv hvis de mangler talenter og færdigheder. Ikke at "udrette mere med mindre", men at "udrette mere med noget andet" – det er det innovative sikkerhedsledere koncentrerer sig om i disse dage.

"Det er en udfordring, som alle står over for, det er svært at finde talenter, det er svært at fastholde talenter. Det er et tveægget sværd: Når du udvikler talent, gør du dem for dyre at beholde, så der er bestemt nogle udfordringer der".
CISO for juridiske tjenester

Selvom mangel på talenter og færdigheder bestemt ikke er noget positivt, er der et lille lysglimt – skabelsen af en sikkerhedskultur bliver en realitet. Mange CISO'er fortæller os, at en af de mest effektive måder at adressere deres sikkerhedsudfordringer på midt i bemandingsudfordringer, er at opbygge en sikkerhedskultur, hvor sikkerhed er alles job. CISO'er er generelt fortalere for denne idé om, at hele organisationen kan tage ansvar for sikkerhed, særligt eftersom de står foran personalemangel eller finansieringsudfordringer.

Udviklingsteams, systemadministratorer, og ja, også slutbrugere, skal forstå de sikkerhedspolitikker, der har relation til dem. Deling af oplysninger er grundlæggende, og sikkerhedsteams finder stadigt nye måder, hvorpå de samarbejder med udviklere, administratorer og forretningsprocesejere for at forstå risici og udvikle politikker og procedurer, der gavner hele organisationen.

Talentmangel og manglende færdigheder (særligt i cybersikkerhedsprofessionen, der undergår konstant forandring) får CISO'er til at lede efter nye og innovative måder, hvorpå de kan være et skridt foran. En strategi, vi fortsætter med at høre om, er en fremvoksende "inddragelse" af medarbejdere, der ikke er fra sikkerhedsteamet. CISO'er søger særligt at benytte hele organisationen, med fokus på oplæring af slutbrugere til at være en del af løsningen og at opbygge support fra tilstødende teams.

Boost og forbedring af slutbrugerkendskab til sikkerhedstrusler – f.eks. sikring af, at de forstår phishing og tegnene på diskrete angreb – rækker langt i forhold til at give sikkerhedsteamet folk i marken, særligt som en "spydspidsstrategi", hvor slutbrugere ofte er indgangspunktet for et angreb. Jeg siger ikke, at slutbrugere på magisk vis kan oplæres til at fange alt, men når slutbrugerne er forberedte og årvågne, kan det drastisk reducere sikkerhedsteamets belastning.

"Du har måske hørt udtrykket 'sikkerhed er alles ansvar'. Det er fint, men egentlig … kun indtil der sker noget. Når det kommer til it, har vi involveret medlemmer af it som repræsentanter for sikkerhed. Vi har udnævnt medlemmer fra forskellige teams, nærmere betegnet udviklingsteams, arkitekturteams og infrastrukturteams, som får ekstra oplæring i sikkerhed. De får lov til at deltage i nogle af mine sikkerhedsmøder, og de bliver repræsentanten for deres gruppe i sikkerhed, foruden at være repræsentanter for sikkerhed tilbage i deres gruppe".
CISO for juridiske tjenester

En anden strategi er at involvere it som en del af sikkerhed. Når it-teamet holdes nært forbundet til sikkerhedsteamet, og det sikres, at it-teamet er orienteret om sikkerhedsstrategier, hjælper det mange sikkerhedsledere med at udvide deres mission til alle organisationens områder.

En grundlæggende måde, hvorpå CISO'er udvider deres teams og gør brug at it til at hjælpe med at sikre et robust sikkerhedsniveau, er at give vejledning og hjælp til automation og andre proaktive arbejdsproces- og opgavestyringsstrategier.

"Så hvis du ser på sikkerhedsverdenen, sikkerhedspersonalet, så er det ikke dem der stopper mange af angrebene, det gør it-folkene. Sikkerhedspersoner udruller for eksempel ikke opdateringer. Personerne på it-siden (er dem der) opdaterer. Sikkerhed administrer ikke aktivstyringslageret. Det gør it.   Og der er mange ting, og afhængigt af hvilken organisation, du er i, administreres firewalls normalt af et netværksteam, ikke nødvendigvis et sikkerhedsteam. Så meget af det, du gør, er at hjælpe de personer, der faktisk har til opgave at udføre de beskyttende ting, og vi opkvalificerer dem, vi giver dem værktøjerne til at automatisere noget af det arbejde, de udfører.
  Vi giver dem 'hvorfor', og ikke kun 'hvad', og nogle gange inspirerer og påvirker forståelsen af 'hvorfor' til at gøre 'hvad'".
CISO for juridiske tjenester

Bundlinjen?

Det er ikke nyt at være kreativ med ressourcer. Men udvikling af et bredere team via systematisk oplæring og interaktion med teams ved siden af sikkerhed er en innovativ måde, hvorpå CISO'er letter noget af byrden ved mangler på talenter og vigtige færdigheder.
  • Synergiskabelse med andre teams og inddragelse medarbejdere uden for sikkerhedsteamet hjælper med at udvide indflydelsessfæren og holde virksomheden sikker.
  • De fleste sikkerhedsledere er enige i, at oplæring af brugere i at genkende phishing og almindelige sikkerhedsproblemer er en strategi, der er tiden og indsatsen værd.

Al citeret Microsoft-research gør brug af uafhængige researchfirmaer til at kontakte sikkerhedsfagfolk i både kvantitative og kvalitative undersøgelser, hvor der tages hånd om beskyttelse af personlige oplysninger og analytisk grundighed. Citaterne og resultaterne, der er inkluderet i dette dokument, er, med mindre andet er angivet, et resultat af Microsoft-researchundersøgelser.

Relaterede artikler

Cyber Signals: Problem 1

Identitet er den nye slagmark. Få indsigt i fremkommende cybertrusler, og hvilke trin du skal tage for at beskytte din organisation bedre.

CISO Insider Issue 2

I denne udgave af CISO Insider hører vi CISO'er fortælle om det, de oplever i frontlinjen – fra mål til taktikker – og hvad de gør for at medvirke til at forhindre og reagere på angreb. Vi hører også om, hvordan ledere benytter sig af XDR og automatisering til at skalere deres forsvar mod sofistikerede trusler.

Cyber Signals Problem 2: Extortion Economics

Hør fra frontlinjeeksperter om udviklingen af ransomware som en service. Fra programmer og nyttedata til adgangsmæglere og samarbejdspartnere – lær om de værktøjer, taktikker og mål, som cyberkriminelle foretrækker, og få hjælp til at beskytte din organisation.