Tilmeld dig nu for at se on demand-webseminaret med indsigt fra Microsoft-rapporten over digitalt forsvar for 2024.
CISO Insider: 3. udgave
Velkommen til vores tredje udgave i serien CISO Insider. Jeg hedder Rob Lefferts, og jeg leder Microsoft Defender- og Sentinel Engineering-teamet. Vi lancerede denne serie for omkring et år siden for at dele indsigter fra vores samtaler med nogle af dine peers samt fra vores egen forskning og erfaring med at arbejde i frontlinjen inden for cybersikkerhed.
Vores to første udgaver handlede om eskalerende trusler som ransomware, og hvordan sikkerhedsledere bruger automatisering og opkvalificering til at reagere effektivt på disse trusler midt i en vedvarende mangel på talent. Da CISO'er står over for et endnu større pres for at arbejde effektivt i dagens økonomiske usikkerhed, søger mange at optimere ved hjælp af cloudbaserede løsninger og integrerede administrerede sikkerhedstjenester. I denne udgave ser vi på nye sikkerhedsprioriteter i takt med, at organisationer skifter til en stadig mere cloudcentreret model, der medbringer alt i deres digitale ejendom fra systemer i det lokale miljø til IoT-enheder.
Den offentlige cloud tilbyder win-win-win med stærk grundlæggende sikkerhed plus omkostningseffektivitet plus skalerbar beregning, hvilket gør den til en vigtig ressource i en tid med stramme budgetter. Men med dette triple play følger et behov for at "passe på de huller", der opstår i forbindelsen mellem offentlige clouds og private clouds og systemer i det lokale miljø. Vi ser på, hvad sikkerhedsledere gør for at styre sikkerheden i grænseområderne mellem netværksenheder, slutpunkter, apps, clouds og administrerede tjenester. Endelig ser vi på to teknologier, der repræsenterer der vigtigste ved denne sikkerhedsudfordring, IoT og OT. Mødet mellem disse to polariserede teknologier, en ny og en ældre, der begge er introduceret i netværket uden tilstrækkelig indbygget sikkerhed, skaber en porøs kant, der er sårbar over for angreb.
3. udgave ser på disse tre cloudcentrerede sikkerhedsprioriteter:
Clouden en er sikker, men administrerer du dit cloudmiljø på en sikker måde?
Brugen af skyen er accelereret i takt med, at organisationer søger ny effektivitet som svar på både økonomiske begrænsninger og mangel på talent. CISO'er stoler på de offentlige cloudtjenester for deres grundlæggende sikkerhed, men clouden er kun så sikker som kundens evne til at styre grænsefladen mellem den offentlige cloud og den private infrastruktur. Vi ser på, hvordan sikkerhedsledere lukker hullet med en stærk sikkerhedsstrategi for cloud, for eksempel ved at sikre deres cloudapps og arbejdsbelastninger med værktøjer som administration af cloudniveau og CNAPP (skybaseret programbeskyttelse).
Et omfattende sikkerhedsniveau starter med synlighed og slutter med prioriteret risikostyring.
Med en accelereret ibrugtagning af cloud følger en spredning af tjenester, slutpunkter, apps og enheder. Ud over en strategi til styring af de kritiske cloud-forbindelsespunkter erkender CISO'er et behov for større synlighed og koordinering på tværs af deres voksende digitale fodaftryk, et behov for omfattende niveauadministration. Vi ser på, hvordan sikkerhedsledere udvider deres tilgang fra forebyggelse af angreb (stadig det bedste forsvar, så længe det virker) til risikostyring gennem omfattende værktøjer til niveauadministration, der hjælper med at opgøre aktiver og modellere forretningsrisici og selvfølgelig identitets- og adgangskontrol.
Støt dig til Nul tillid og hygiejne for at tæmme det meget forskelligartede, hypernetværkede IoT & OT-miljø.
Den eksponentielle vækst i forbundne IoT- og OT-enheder fortsætter med at resultere i sikkerhedsudfordringer, især på grund af vanskelighederne med at forene teknologier, der er en blanding af cloud-native, tredjepartsværktøjer og ældre udstyr, der er eftermonteret til netværk. Antallet af globale IoT-enheder forventes at nå 41,6 milliarder i 2025, hvilket skaber en udvidet angrebsoverflade for personer med ondsindede hensigter, der bruger sådanne enheder som indgangspunkter for cyberangreb. Disse enheder har en tendens til at blive brugt som sårbare punkter i et netværk. De kan være blevet introduceret ad hoc og forbundet til it-netværket uden klar vejledning fra sikkerhedsteamet, udviklet uden grundlæggende sikkerhed af en tredjepart, eller administreret utilstrækkeligt af sikkerhedsteamet på grund af udfordringer som proprietære protokoller og tilgængelighedskrav (OT). Få mere at vide om, hvordan mange it-ledere nu udvikler deres IoT/OT-sikkerhedsstrategi for at navigere i dette område med mange huller.
Clouden en er sikker, men administrerer du dit cloudmiljø på en sikker måde?
I en tid med mangel på talenter og stramme budgetter giver clouden mange fordele – omkostningseffektivitet, uendeligt skalerbare ressourcer, banebrydende værktøjer og mere pålidelig databeskyttelse, end de fleste sikkerhedsledere føler, de kan opnå i det lokale miljø. Mens CISO'er tidligere så cloudressourcer som en afvejning mellem større risikoeksponering og større omkostningseffektivitet, har de fleste af de sikkerhedsledere, vi taler med i dag, taget cloud til sig som det nye normale. De stoler på den stærke grundlæggende sikkerhed i cloudteknologi: "Jeg forventer, at udbydere af cloudtjenester har styr på deres identitets- og adgangsadministration, deres systemsikkerhed og deres fysiske sikkerhed," siger en CISO.
Men som de fleste sikkerhedsledere erkender, garanterer grundlæggende sikkerhed i clouden ikke, at dine data er sikre. Beskyttelsen af dine data i clouden afhænger i høj grad af, hvordan cloudtjenester implementeres sammen med systemer i det lokale miljø og egenudviklet teknologi. Risikoen opstår i hullerne mellem clouden og den traditionelle organisatoriske grænse, de politikker og teknologier, der bruges til at sikre clouden. Der opstår fejlkonfigurationer, som ofte efterlader organisationer udsatte og afhængige af, at sikkerhedsteams identificerer og lukker hullerne.
"Et stort antal brud skyldes fejlkonfiguration, at nogen utilsigtet kommer til at fejlkonfigurere noget eller ændre noget, så data kan lækkes."
Forsyningsvirksomheder – Vand, 1.390 medarbejdere
I 2023 vil 75 procent af bruddene på cloudsikkerheden være forårsaget af utilstrækkelig styring af identiteter, adgang og privilegier, en stigning fra 50 procent i 2020 (Fejlkonfiguration og sårbarheder er de største risici for cloudsikkerhed: Rapport | CSO Online). Udfordringen ligger ikke i selve sikkerheden i clouden, men i de politikker og kontroller, der bruges til at sikre adgangen. Som en CISO i finanssektoren udtrykker det: "Cloudsikkerhed er rigtig god, hvis den implementeres korrekt. Selve clouden og dens komponenter er sikre. Men du dykker ned i konfigurationen: Skriver jeg min kode korrekt? Konfigurerer jeg mine forbindelser korrekt op på tværs af virksomheden?" En anden sikkerhedsleder opsummerer udfordringen: "Fejlkonfigurationen af disse cloudtjenester er det, der åbner tjenesterne op for trusselsaktører." Efterhånden som flere sikkerhedsledere bliver opmærksomme på risikoen ved fejlkonfigurationer i clouden, har samtalen om cloudsikkerhed ændret sig fra "Er cloud sikker?" til "Bruger jeg clouden på en sikker måde?"
Hvad vil det sige at bruge clouden på en sikker måde? Mange af de ledere, jeg taler med, griber cloud-sikkerhedsstrategien an fra bunden og tackler de menneskelige fejl, der udsætter organisationen for risici som f.eks. identitetsbrud og fejlkonfigurationer. Dette er i tråd med vores anbefalinger, da sikring af identiteter og adaptiv styring af deres adgang er helt grundlæggende for enhver sikkerhedsstrategi for cloud.
Hvis nogen stadig er i tvivl, kan dette måske hjælpe: McAfee rapporterede, at 70 procent af de udsatte optegnelser – 5,4 milliarder, blev kompromitteret på grund af fejlkonfigurerede tjenester og portaler. Adgangshåndtering via identitetskontrol og implementering af stærk sikkerhedshygiejne kan gøre meget for at lukke hullerne. McAfee rapporterede ligeledes, at 70 procent af de udsatte optegnelser – 5,4 milliarder, blev kompromitteret på grund af fejlkonfigurerede tjenester og portaler. Adgangshåndtering via identitetskontrol og implementering af stærk sikkerhedshygiejne kan gøre meget for at lukke hullerne.
En robust sikkerhedsstrategi til cloud involverer disse bedste praksis:
1. Implementer en strategi for CNAPP (skybaseret programbeskyttelse) fra start til slut: Håndtering af sikkerhed med fragmenterede værktøjer kan medføre blinde vinkler i beskyttelsen og højere omkostninger. At have en alt-i-en-platform, der gør det muligt at integrere sikkerhed fra kode til cloud, er afgørende for at reducere den samlede cloud-angrebsoverflade og automatisere trusselsbeskyttelse. CNAPP-strategien omfatter følgende bedste praksis:
a. Prioritér sikkerhed fra starten i DevOps. Sikkerhed kan blive tilsidesat i jagten på at udvikle cloud-apps. Udviklere har et incitament til at løse et forretningsproblem hurtigt og mangler måske færdigheder inden for cloudsikkerhed. Det betyder, at apps kan sprede sig uden de rette regler for datagodkendelse. API'er er blevet et hovedmål for hackere, da organisationer ofte ikke kan holde styr på dem på grund af den hurtige udvikling af cloud-apps. Gartner identificerer "API sprawl" som et voksende problem og forudsiger, at i 2025 vil mindre end halvdelen af virksomhedens API'er være administreret (Gartner). Det er derfor vigtigt at implementere en DevSecOps-strategi så hurtigt som muligt.
b. Styrk cloudsikkerheden og ret fejlkonfigurationer. Fejlkonfigurationer er den mest almindelige årsag til brud på cloud-sikkerheden - se Cloud Security Alliances liste over de mest almindelige fejlkonfigurationer i konfigurationen af sikkerhedsgrupper. Selvom den mest almindelige frygt, vi hører, er at lade lager-ressourcerne være åbne for offentligheden, nævner CISO'er også andre områder, hvor der forsømmes: deaktiveret overvågning og logning, overdrevne tilladelser, ubeskyttede sikkerhedskopier osv. Kryptering er en vigtig sikring mod dårlig ledelse, og er afgørende for at reducere risikoen for ransomware. Værktøjer til administration af niveau for skysikkerhed tilbyder en anden forsvarslinje ved at overvåge cloud-ressourcer for eksponeringer og fejlkonfigurationer, før der sker et brud, så du kan reducere angrebsfladen proaktivt.
c. Automatiser registrering, respons og analyse af hændelser. Det er godt at identificere og rette fejlkonfigurationer, men vi er også nødt til at sikre, at vi har værktøjerne og processerne på plads til at opdage angreb, der sniger sig forbi forsvaret. Det er her, værktøjer til registrering af trusler og responsstyring kan hjælpe.
d. Få adgangsstyringen på plads. Multifaktorgodkendelse, enkeltlogon, rollebaseret adgangskontrol, tilladelsesstyring og certificeringer hjælper med at håndtere de to største risici for cloudsikkerhed: brugeren og fejlkonfigurerede digitale egenskaber. Mindst mulig adgang er bedste praksis for CIEM (rettighedsadministration for cloudinfrastruktur). Nogle ledere anvender en løsning til identitets adgangsadministration eller rettighedsadministration til at indføre aktive sikkerhedskontroller. En leder inden for finansielle tjenester læner sig op ad Cloud Access Security Broker (CASB) som en "vigtig bagstopper" til at administrere organisationens SaaS-tjenester og til at bevare kontrollen over deres brugere og data. CASB'en fungerer som et mellemled mellem brugere og cloud-apps, giver synlighed og håndhæver styringshandlinger gennem politikker. bagstop" til at administrere deres SaaS-tjenester og til at bevare kontrollen over deres brugere og data. CASB'en fungerer som et mellemled mellem brugere og cloud-apps, giver synlighed og håndhæver styringshandlinger gennem politikker.
En platform til skybaseret programbeskyttelse som den, der tilbydes i Microsoft Defender for Cloud , giver ikke kun synlighed på tværs af multi-cloud-ressourcer, men giver også beskyttelse på alle lag i miljøet, mens den overvåger for trusler og korrelerer alarmer til hændelser, der integreres med dit SIEM. Det strømliner undersøgelserne og hjælper dine SOC-teams med at være på forkant med alarmer på tværs af platforme.
Et gram forebyggelse – lukning af identitets- og fejlkonfigurationshuller – kombineret med robuste værktøjer til at reagere på angreb er langt fra nok til at sikre hele cloudmiljøet, fra virksomhedens netværk til cloudtjenester.
Et omfattende sikkerhedsniveau starter med synlighed og slutter med prioriteret risikostyring.
Skiftet til cloudcentreret it udsætter ikke kun organisationen for implementeringshuller, men også for en voksende række af netværksaktiver, enheder, apps, slutpunkter, samt for udsatte arbejdsbelastninger i clouden. Sikkerhedsledere håndterer deres position i dette miljø uden grænser med teknologier, der giver synlighed og prioriteret respons. Disse værktøjer hjælper organisationer med at kortlægge en opgørelse over aktiver, der dækker hele angrebsoverfladen, og som spænder over administrerede og ikke-administrerede enheder både inden for og uden for organisationens netværk. Ved hjælp af disse ressourcer kan CISO'er vurdere sikkerhedsniveauet for hvert enkelt aktiv samt dets rolle i virksomheden for at udvikle en prioriteret risikomodel.
I vores samtaler med sikkerhedsledere ser vi en udvikling fra grænsebaseret sikkerhed til en sikkerhedsbaseret tilgang, der omfavner et grænseløst økosystem.
Som en CISO udtrykker det: "For mig starter det hele med identiteten.... Vi ser ikke kun på det som den gamle, traditionelle sikkerhed, hvor grænsen er, men flytter det hele vejen ned til slutpunktet." (Forsyningsvirksomheder – Vand, 1.390 medarbejdere). "Identitet er blevet den nye grænse," kommenterer en FinTech CISO og spørger: "Hvad betyder identitet i denne nye model, hvor der ikke er noget udenfor og indenfor?" (FinTech, 15.000 medarbejdere).
I dette porøse miljø forstår CISO'erne, at det haster med omfattende administration af niveau. Men mange sætter spørgsmålstegn ved, om de har ressourcerne og den digitale modenhed til at føre denne vision ud i livet. Heldigvis er omfattende administration af niveau inden for rækkevidde for de fleste organisationer gennem en kombination af brancheafprøvede rammer (opdateret til nutidens behov) og sikkerhedsinnovation.
Få værktøjer i din cyberinfrastruktur, der gør det muligt at lave en opgørelse over aktiver. For det andet skal man se på, hvilke af dem der er kritiske, hvilke der udgør den største risiko for organisationen, og forstå, hvilke potentielle sårbarheder disse enheder har, og beslutte, om det er acceptabelt, om jeg skal opdatere eller isolere det.
Ken Malcolmson, Executive Security Advisor, Microsoft
Her er nogle bedste praksis og værktøjer, som sikkerhedsledere bruger til at styre deres position i et åbent, cloud-centreret miljø:
1. Opnå omfattende synlighed med en opgørelse over aktiver.
Synlighed er det første skridt i holistisk posture management. CISO'er spørger: "Ved vi overhovedet alt, hvad vi har derude som et første skridt? Har vi overhovedet synlighed, før vi kan komme til ledelsen?" En opgørelse over risikoaktiver omfatter IT-aktiver som netværk og applikationer, databaser, servere, cloudegenskaber, IoT-egenskaber samt de data og IP-aktiver, der er gemt på denne digitale infrastruktur. De fleste platforme, som Microsoft 365 eller Azure, har indbyggede værktøjer til opgørelse af aktiver, som kan hjælpe dig med at komme i gang.
Synlighed er det første skridt i holistisk posture management. CISO'er spørger: "Ved vi overhovedet alt, hvad vi har derude som et første skridt? Har vi overhovedet synlighed, før vi kan komme til ledelsen?" En opgørelse over risikoaktiver omfatter IT-aktiver som netværk og applikationer, databaser, servere, cloudegenskaber, IoT-egenskaber samt de data og IP-aktiver, der er gemt på denne digitale infrastruktur. De fleste platforme, som Microsoft 365 eller Azure, har indbyggede værktøjer til opgørelse af aktiver, som kan hjælpe dig med at komme i gang.
2. Vurdere sårbarhed og analysere risiko.
Når en organisation har en omfattende opgørelse over aktiver, er det muligt at analysere risikoen med hensyn til både interne sårbarheder og eksterne trusler. Dette trin afhænger i høj grad af konteksten og er unikt for hver organisation, en pålidelig risikovurdering afhænger af et stærkt partnerskab mellem sikkerheds-, IT- og datateams. Dette tværfunktionelle team udnytter automatiserede værktøjer til risikovurdering og -prioritering i deres analyse. For eksempel de værktøjer til risikoprioritering, der er integreret i Microsoft Entra ID, Microsoft Defender XRD og Microsoft 365. Automatiserede teknologier til risikovurdering og -prioritering kan også inkorporere ekspertvejledning til afhjælpning af hullerne samt kontekstafhængige oplysninger til effektiv trusselsrespons.
Når en organisation har en omfattende opgørelse over aktiver, er det muligt at analysere risikoen med hensyn til både interne sårbarheder og eksterne trusler. Dette trin afhænger i høj grad af konteksten og er unikt for hver organisation, en pålidelig risikovurdering afhænger af et stærkt partnerskab mellem sikkerheds-, IT- og datateams. Dette tværfunktionelle team udnytter automatiserede værktøjer til risikovurdering og -prioritering i deres analyse. For eksempel de værktøjer til risikoprioritering, der er integreret i Microsoft Entra ID, Microsoft Defender XRD og Microsoft 365. Automatiserede teknologier til risikovurdering og -prioritering kan også inkorporere ekspertvejledning til afhjælpning af hullerne samt kontekstafhængige oplysninger til effektiv trusselsrespons.
3. Prioriter risiko- og sikkerhedsbehov med modellering af forretningsrisici.
Med en klar forståelse af risikobilledet kan tekniske teams samarbejde med forretningsledere om at prioritere sikkerhedsinterventioner i forhold til forretningsbehov. Overvej hvert aktivs rolle, dets værdi for virksomheden og risikoen for virksomheden, hvis det kompromitteres, og stil spørgsmål som: "Hvor følsomme er disse oplysninger, og hvad ville konsekvenserne være for virksomheden, hvis de blev afsløret?" eller "Hvor missionskritiske er disse systemer - hvad ville konsekvenserne af nedetid være for virksomheden?" Microsoft tilbyder værktøjer til at understøtte en omfattende identifikation og prioritering af sårbarheder i henhold til modellering af forretningsrisici, herunder Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Ekstern angrebsoverfladeadministration til Microsoft Defender og Administration af håndtering af sikkerhedsrisici til Microsoft Defender.
Med en klar forståelse af risikobilledet kan tekniske teams samarbejde med forretningsledere om at prioritere sikkerhedsinterventioner i forhold til forretningsbehov. Overvej hvert aktivs rolle, dets værdi for virksomheden og risikoen for virksomheden, hvis det kompromitteres, og stil spørgsmål som: "Hvor følsomme er disse oplysninger, og hvad ville konsekvenserne være for virksomheden, hvis de blev afsløret?" eller "Hvor missionskritiske er disse systemer - hvad ville konsekvenserne af nedetid være for virksomheden?" Microsoft tilbyder værktøjer til at understøtte en omfattende identifikation og prioritering af sårbarheder i henhold til modellering af forretningsrisici, herunder Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Ekstern angrebsoverfladeadministration til Microsoft Defender og Administration af håndtering af sikkerhedsrisici til Microsoft Defender.
4. Lav en strategi for niveauadministration.
En opgørelse over aktiver, en risikoanalyse og en model for forretningsrisici danner grundlaget for en omfattende posture management. Denne synlighed og indsigt hjælper sikkerhedsteamet med at afgøre, hvordan de bedst kan allokere ressourcer, hvilke hærdningsforanstaltninger der skal anvendes, og hvordan man optimerer afvejningen mellem risiko og brugbarhed for hvert segment af netværket.
En opgørelse over aktiver, en risikoanalyse og en model for forretningsrisici danner grundlaget for en omfattende posture management. Denne synlighed og indsigt hjælper sikkerhedsteamet med at afgøre, hvordan de bedst kan allokere ressourcer, hvilke hærdningsforanstaltninger der skal anvendes, og hvordan man optimerer afvejningen mellem risiko og brugbarhed for hvert segment af netværket.
Løsninger til administration af niveau tilbyder synlighed og sårbarhedsanalyse, der hjælper organisationer med at forstå, hvor de skal fokusere deres indsats for at forbedre niveauet. Med denne indsigt kan de identificere og prioritere vigtige områder i deres angrebsflade.
Støt dig til Nul tillid og hygiejne for at tæmme det meget forskelligartede, hypernetværkede IoT og OT-miljø
De to udfordringer, vi har diskuteret - kløften mellem cloud-implementering og udbredelsen af cloud-forbundne enheder - skaber en perfekt storm af risici i IoT- og OT-enhedsmiljøer. Ud over den iboende risiko for en udvidet angrebsoverflade, som IoT- og OT-enheder introducerer, fortæller sikkerhedsledere mig, at de forsøger at rationalisere mødet mellem spirende IoT- og ældre OT-strategier. IoT er måske cloudbaseret, men disse enheder prioriterer ofte forretningshensyn over grundlæggende sikkerhed. OT har tendens til at være ældre udstyr, der administreres af leverandører, der er udviklet uden moderne sikkerhed og introduceret ad hoc på organisationens IT-netværk.
IoT- og OT-enheder hjælper organisationer med at modernisere arbejdsområder, blive mere datadrevne og lette kravene til personalet gennem strategiske skift som fjernstyring og automatisering. International Data Corporation (IDC) anslår, at der vil være 41,6 milliarder forbundne IoT-enheder i 2025, en vækstrate, der overstiger den for traditionelle IT-enheder.
Men med denne mulighed følger en betydelig risiko. Vores Cyber Signals-rapport fra december 2022, med titlen The Convergence of IT and Operational Technology, så på de risici for kritisk infrastruktur, som disse teknologier udgør.
De vigtigste resultater omfatter:
1. 75 % af de mest almindelige industrielle controllere i kundernes OT-netværk har sårbarheder af høj alvorlighed, der ikke er rettet.
2. Fra 2020 til 2022 var der en stigning på 78 % i afsløringer af meget alvorlige sårbarheder i industrielt kontroludstyr produceret af populære leverandører.
3. Mange enheder, der er offentligt synlige på internettet, kører software, der ikke understøttes. For eksempel bruges den forældede software Boa stadig i vid udstrækning i IoT-enheder og software development kits (SDK'er).
IoT-enheder udgør ofte det svageste led i den digitale ejendom. Fordi de ikke administreres, opdateres eller rettes på samme måde som traditionelle it-enheder, kan de fungere som en bekvem gateway for angribere, der forsøger at infiltrere it-netværket. Når IoT-enhederne først er åbnet, er de sårbare over for fjernkørsel af kode. En person med ondsindede hensigter kan få kontrol og udnytte sårbarheder til at implantere botnets eller malware i en IoT-enhed. På det tidspunkt kan enheden fungere som en åben dør til hele netværket.
Enheder med operativ teknologi udgør en endnu mere uhyggelig risiko, da mange af dem er kritiske for organisationens drift. OT-netværk, der tidligere var offline eller fysisk isoleret fra virksomhedens it-netværk, bliver i stigende grad blandet med it- og IoT-systemer. Vores undersøgelse fra november 2021 udført sammen med Ponemon Institute, med titlen The State of IoT/OT Cybersecurity in the Enterprise, viste, at over halvdelen af OT-netværk nu er forbundet til virksomhedens it-netværk (forretningsnetværk). En lignende andel af virksomhederne – 56 procent har internetforbundne enheder på deres OT-netværk til scenarier som fjernadgang.
"Næsten alle de angreb, vi har set det seneste år, startede med adgang til et it-netværk, som blev brugt i OT-miljøet".
David Atch, Microsoft Threat Intelligence, leder af IoT/OT Security Research
OT-forbindelse udsætter organisationer for risikoen for store forstyrrelser og nedetid i tilfælde af et angreb. OT er ofte kernen i virksomheden og giver personer med ondsindede hensigter et fristende mål, som de kan udnytte til at forårsage betydelig skade. Enhederne i sig selv kan være lette mål, da de ofte involverer gammelt udstyr, der ikke er sikkert fra starten, er fra før moderne sikkerhedspraksisser og kan have proprietære protokoller, der ikke kan ses af standard værktøjer til it-overvågning. Personer med ondsindede hensigter har en tendens til at udnytte disse teknologier ved at opdage udsatte internetvendte systemer, få adgang via medarbejderes loginoplysninger eller udnytte den adgang, der gives til tredjepartsleverandører og entreprenører. ICS-protokoller, der ikke overvåges er et almindeligt indgangspunkt for OT-specifikke angreb (Microsoft-rapport over digitalt forsvar 2022).
For at tackle den unikke udfordring med at håndtere IoT- og OT-sikkerhed på tværs af dette blandede kontinuum af forskellige enheder, der er forbundet på forskellige måder til it-netværket, følger sikkerhedsledere disse bedste praksis:
1. Opnå omfattende synlighed af enheder.
At forstå alle de aktiver, du har i et netværk, hvordan alt er forbundet, og den forretningsrisiko og eksponering, der er involveret i hvert forbindelsespunkt, er et kritisk fundament for effektiv IoT/OT-styring. En IoT- og OT-bevidst netværksregistrerings- og responsløsning (NDR) og et SIEM som Microsoft Sentinel kan også hjælpe med at give dig dybere indsigt i IoT/OT-enheder på dit netværk og overvåge dem for unormal adfærd såsom kommunikation med ukendte værter. (For flere oplysninger om håndtering af eksponerede ICS-protokoller i OT, se "Den unikke sikkerhedsrisiko ved IOT-enheder", Microsoft Security).
At forstå alle de aktiver, du har i et netværk, hvordan alt er forbundet, og den forretningsrisiko og eksponering, der er involveret i hvert forbindelsespunkt, er et kritisk fundament for effektiv IoT/OT-styring. En IoT- og OT-bevidst netværksregistrerings- og responsløsning (NDR) og et SIEM som Microsoft Sentinel kan også hjælpe med at give dig dybere indsigt i IoT/OT-enheder på dit netværk og overvåge dem for unormal adfærd såsom kommunikation med ukendte værter. (For flere oplysninger om håndtering af eksponerede ICS-protokoller i OT, se "Den unikke sikkerhedsrisiko ved IOT-enheder", Microsoft Security).
2. Segmentér netværk, og anvend Nul tillid-principper.
Segmentér netværk, hvor det er muligt, for at forhindre lateral bevægelse i tilfælde af et angreb. IoT-enheder og OT-netværk bør være eller isoleret fra virksomhedens it-netværk via firewalls. Når det er sagt, er det også vigtigt at antage, at din OT og it er konvergerede og opbygge Nul tillid-protokoller på tværs af angrebsoverfladen. I stigende grad er netværkssegmentering ikke mulig. For regulerede organisationer som f.eks. sundhedsvæsenet, forsyningsvirksomheder og produktionsvirksomheder er OT-IT-forbindelse kernen i forretningsfunktionen - tag f.eks. mammografimaskiner eller intelligente MRI-maskiner, der er forbundet til elektroniske patientjournalsystemer; intelligente produktionslinjer eller vandrensning, der kræver fjernovervågning. I disse tilfælde er Nul tillid afgørende.
Segmentér netværk, hvor det er muligt, for at forhindre lateral bevægelse i tilfælde af et angreb. IoT-enheder og OT-netværk bør være eller isoleret fra virksomhedens it-netværk via firewalls. Når det er sagt, er det også vigtigt at antage, at din OT og it er konvergerede og opbygge Nul tillid-protokoller på tværs af angrebsoverfladen. I stigende grad er netværkssegmentering ikke mulig. For regulerede organisationer som f.eks. sundhedsvæsenet, forsyningsvirksomheder og produktionsvirksomheder er OT-IT-forbindelse kernen i forretningsfunktionen - tag f.eks. mammografimaskiner eller intelligente MRI-maskiner, der er forbundet til elektroniske patientjournalsystemer; intelligente produktionslinjer eller vandrensning, der kræver fjernovervågning. I disse tilfælde er Nul tillid afgørende.
3. Anvend administation til IoT/OT-sikkerhedshygiejne.
Sikkerhedsteams kan lukke hullerne gennem nogle grundlæggende hygiejnepraksisser som:
Sikkerhedsteams kan lukke hullerne gennem nogle grundlæggende hygiejnepraksisser som:
- Fjernelse af unødvendige internetforbindelser og åbne porte, begrænsning eller afvisning af fjernadgang og brug af VPN-tjenester
- Håndtering af enhedssikkerhed ved at anvende opdatinger og ændre standardadgangskoder og porte
- Sørg for, at ICS-protokoller ikke er direkte eksponeret for internettet
Se "Den særlige risiko ved IoT/OT-enheder", Microsoft Security Insider, for handlingsorienteret vejledning i, hvordan man opnår dette niveau af indsigt og administration.
Interaktive indsigter
1. Brug en IoT/OT-bevist netværksregistrerings- og responsløsning (NDR) og en Security Information and Event Management-løsning (SIEM) eller en sikkerhedsorkestrerings- og responsløsning (SOAR) til at få dybere indsigt i IoT/OT-enheder på dit netværk, til at overvåge enheder for unormal eller uautoriseret adfærd, f.eks. kommunikation med ikke-genkendte værter
2. Beskyt teknikstationer ved at overvåge med EDR-løsninger (Slutpunktsregistrering og -svar)
3. Gør angrebsoverfladen mindre ved at fjerne unødvendige internetforbindelser og åbne porte, begrænse fjernadgang ved at blokere porte, nægte fjernadgang og bruge VPN-tjenester
4. Sørg for, at ICS-protokoller ikke er direkte eksponeret for internettet
5. Segmentér netværk for at begrænse en angribers evne til at bevæge sig lateralt og kompromittere aktiver efter indledende indtrængen. IoT-enheder og OT-netværk skal være isoleret fra virksomhedens IT-netværk vha. firewalls
6. Sørg for, at enheder er robuste ved hjælp af installation af programrettelser, ændring af standardadgangskoder og porte
7. Antag, at din OT og IT er konvergeret, og indbyg Nul tillid-protokoller i din angrebsoverflade
8. Sørg for organisatorisk tilpasning mellem OT og it ved at fremme større synlighed og teamintegration
9. Følg altid de bedste IoT/OT-sikkerhedspraksisser baseret på grundlæggende oplysninger om trusler
Efterhånden som sikkerhedsledere griber muligheden for at strømline deres digitale ejendom midt i eskalerende trusler og pres for at gøre mere med færre ressourcer, dukker clouden op som grundlaget for den moderne sikkerhedsstrategi. Som vi har set, opvejer fordelene ved en cloudcentreret tilgang i høj grad risiciene, især for organisationer, der anvender bedste praksis til at styre deres cloudmiljøer gennem en robust sikkerhedsstrategi for cloud, omfattende administration af niveau og specifikke taktikker til at lukke huller i IoT/OT-grænsen.
Se vores næste udgave for flere sikkerhedsanalyser og indsigter. Tak, fordi du læser CISO Insider!
Se "Den særlige risiko ved IoT/OT-enheder", Microsoft Security Insider, for handlingsorienteret vejledning i, hvordan man opnår dette niveau af indsigt og administration.
Al citeret Microsoft-research gør brug af uafhængige researchfirmaer til at kontakte sikkerhedsfagfolk i både kvantitative og kvalitative undersøgelser, hvor der tages hånd om beskyttelse af personlige oplysninger og analytisk grundighed. Citaterne og resultaterne, der er inkluderet i dette dokument, er, med mindre andet er angivet, et resultat af Microsoft-researchundersøgelser.
Følg Microsoft Security