Leidke tasuta küberturbe detektiivimängus üles oma vastased. Mängige kohe.
CISO Insider: 3. väljaanne
Tere tulemast lugema meie CISO Insideri sarja kolmandat numbrit. Olen Rob Lefferts ja juhin Microsoft Defenderi ja Sentineli tehnilisi meeskondi. Käivitasime selle sarja umbes aasta tagasi, et jagada ülevaateid mõne teie kaaslasega peetud aruteludest, samuti oma uurimistööst ja küberturvalisuse eesliinil töötamise kogemusest.
Meie kaks esimest probleemi käsitlesid selliste ohtude eskaleerumist nagu lunavara ja seda, kuidas turbejuhid kasutavad automatiseerimist ja oskuste tõstmise võimalusi, et aidata nendele ohtudele tõhusalt reageerida keset jätkuvat tööjõu puudust. Kuna CISO-d seisavad tänapäeva majandusliku ebakindluse tingimustes silmitsi veelgi suurema survega tõhusalt tegutseda, soovivad paljud oma tööd optimeerida pilvepõhiste lahenduste ja integreeritud hallatud turbeteenuste abil. Selles numbris vaatleme esilekerkivaid turbeprioriteete, kui organisatsioonid lähevad üle üha enam pilvekesksele mudelile, tuues kaasa kõik oma digivara kohapealsetest süsteemidest IoT-seadmeteni.
Avalik pilv pakub mõlemale poolele kasulikku tugevat põhiturvet, kulutõhusust ja skaleeritavat andmetöötlust, muutes selle eelarve karmistumise ajal võtmeressursiks. Kuid selle kolmikmänguga kaasneb vajadus meeles pidada lünki, mis tekivad seoses lõhega avaliku pilve ja privaatpilvede ning kohapealsete süsteemide vahel. Vaatame, mida turbejuhid teevad, et hallata turvalisust võrguseadmete, lõpp-punktide, rakenduste, pilvede ja hallatavate teenuste vahel. Lõpuks vaatleme kahte tehnoloogiat, mis esindavad selle turbeprobleemi tippu, IoT ja OT. Nende kahe vastandliku tehnoloogia – üks tekkiv ja teine ammune – lähenemine, kus mõlemad on võrku viidud ilma piisava sisseehitatud turvalisuseta, loob aukudega serva, mis on rünnete suhtes haavatav.
3. numbris vaadeldakse kolme pilvekeskset turbeprioriteeti:
Pilv on turvaline; aga kas haldate oma pilvkeskkonda turvaliselt?
Pilve kasutuselevõtt on kiirenenud, kuna organisatsioonid otsivad uusi tõhususaid lahendusi vastuseks nii majanduslikele piirangutele kui ka tööjõu puudusele. CISO-d usaldavad avalikke pilvteenuseid oma põhiturvalisuse tagamisel, kuid pilv on ainult nii turvaline, kuivõrd on kliendi võime hallata avaliku pilve ja privaatse taristu vahelist liidest. Vaatleme, kuidas turbejuhid kaotavad lõhe tugeva pilvturbestrateegiaga – näiteks turvavad oma pilvrakendusi ja töökoormusi selliste tööriistadega nagu pilvseisundi haldus ja pilvepõhise rakenduse kaitseplatvorm (CNAPP).
Terviklik turvalisus algab nähtavusest ja lõpeb prioriteetse riskijuhtimisega.
Kiirendatud pilve kasutuselevõtuga kaasneb teenuste, lõpp-punktide, rakenduste ja seadmete hulk. Lisaks kriitiliste pilvühenduspunktide haldamise strateegiale tunnistavad CISO-d vajadust suurema nähtavuse ja koordineerimise järele kogu laieneva digitaalse jalajälje ulatuses – vajadust tervikliku seisundihalduse järele. Vaatleme, kuidas turbejuhid laiendavad oma lähenemist rünnete ennetamisest (enamasti parim kaitse, kuni see toimib) riskijuhtimiseni kõikehõlmavate seisundihaldustööriistade abil, mis aitavad inventeerida varasid ja modelleerida äririske – ja loomulikult identiteedi- ning juurdepääsukontroll.
Toetuge täisusaldamatusele ja hügieenile, et taltsutada IoT & OT metsikut ja mitmekesist, hüpervõrgustunud keskkonda.
Ühendatud IoT ja OT-seadmete eksponentsiaalne kasv esitab jätkuvalt turbeprobleeme – eriti arvestades raskusi tehnoloogiate ühildamisel, mis on segu pilvepõhistest, kolmanda osapoole tööriistadest ja võrkude loomiseks kohandatud pärandseadmetest. Prognoositakse, et 2025. aastaks ulatub ülemaailmsete IoT-seadmete arv 41,6 miljardini, luues laiendatud ründepinna ründajatele, kes kasutavad selliseid seadmeid küberrünnakute sisenemispunktidena. Neid seadmed sihitakse tavaliselt kui võrgu haavatavuse punkte. Need võivad olla ad hoc kasutusele võetud ja IT-võrku ühendatud ilma turbemeeskonna selge juhiseta; välja töötatud ilma põhjaliku turvalisuseta kolmanda osapoole poolt; või turbemeeskonna poolt ebapiisavalt hallatud selliste väljakutsete tõttu nagu patenteeritud protokollid ja kättesaadavusnõuded (OT). Siit saate teada, kui paljud IT-juhid arendavad praegu oma IoT/OT-turbestrateegiat, et sellel lünklikul servaalal navigeerida.
Pilv on turvaline; aga kas haldate oma pilvkeskkonda turvaliselt?
Talentide nappuse ja eelarve karmistamise ajal pakub pilv palju eeliseid – kulutõhusus, lõputult skaleeritavad ressursid, tipptasemel tööriistad ja usaldusväärsem andmekaitse, kui enamik turbejuhte arvab, et suudab kohapeal saavutada. Kui varem pidasid CISOd pilvressursse kompromissiks suurema riskile avatuse ja suurema kuluefektiivsuse vahel, siis enamik turbejuhte, kellega täna räägime, on pilve omaks võtnud kui uue normaalsuse. Nad usaldavad pilvtehnoloogia tugevat alusturvalisust: „Ma eeldan, et pilvteenuste pakkujatel on identiteedi- ja juurdepääsuhalduse, süsteemiturbe ja füüsilise turvalisuse osas kõik korras,“ ütleb üks CISO.
Kuid nagu enamik turbejuhte tunnistab, ei taga pilvepõhine põhiturvalisus teie andmete turvalisust – teie andmete kaitse pilves sõltub suuresti sellest, kuidas pilvteenuseid koos kohapealsete süsteemide ja kodutehnoloogiaga rakendatakse. Risk tuleneb lünkadest pilve ja traditsioonilise organisatsioonipiiri, pilve turvalisuse tagamiseks kasutatavate poliitikate ja tehnoloogiate vahel. Esineb väärkonfiguratsioone, mis jätavad organisatsioonid sageli avatuks ja sõltuvad turvameeskondadest, kes tuvastavad ja kõrvaldavad lüngad.
„Suur hulk turbemurdeid on tingitud väärkonfiguratsioonist, kellegi tahtmatust valeseadistusest või millegi muutmisest, mis võimaldab andmete lekkimist.“
Kommunaalteenused – Vesi, 1390 töötajat
Aastaks 2023 on 75 protsenti pilvturbemurretest põhjustatud identiteetide, juurdepääsu ja õiguste ebapiisavast haldamisest, võrreldes 50 protsendiga 2020. aastal (Vale konfiguratsioon ja haavatavused on pilveturbe suurimad riskid: Aruanne | CSO Online). Väljakutse ei seisne mitte pilve enda turvalisuses, vaid juurdepääsu turvamiseks kasutatavates poliitikates ja juhtelementides. Nagu finantsteenuste CISO ütleb: „Pilvturve on väga hea, kui see on õigesti juurutatud. Pilv ise ja selle komponendid on turvalised. Kuid jõuate konfiguratsiooni: kas ma kirjutan oma koodi õigesti? Kas ma häälestan oma konnektorid kogu ettevõttes õigesti?“ Teine turbejuht võtab väljakutse kokku: „Nende pilvteenuste vale konfiguratsioon avab teenused küberohustajatele.“ Kuna rohkem turbejuhte saab teadlikuks pilve valesti konfigureerimise ohtudest, on pilvturbe teemaline vestlus nihkunud teemalt „Kas pilv on turvaline?“ teemale „Kas ma kasutan pilve turvaliselt?“
Mida tähendab pilve turvaline kasutamine? Paljud juhid, kellega ma räägin, lähenevad pilvturbestrateegiale tavainimesse tasandilt, tegeledes inimlike vigadega, mis seavad organisatsiooni ohtu, nagu identiteedirikkumised ja väärkonfiguratsioonid. See on kooskõlas ka meie soovitustega – identiteetide turvamine ja nende juurdepääsu kohanduv haldamine on iga pilvturbestrateegia jaoks hädavajalik.
Neid, kes veel kahtlevad, aitab võib-olla see: McAfee teatas, et 70 protsenti rünnetele avatud kirjetest – 5,4 miljardit – langes ründe ohvriks valesti konfigureeritud teenuste ja portaalide tõttu. Juurdepääsu haldamine identiteedikontrolli kaudu ja tugeva turbehügieeni rakendamine võib lünkade kõrvaldamisel palju aidata. McAfee teatas samuti, et 70 protsenti rünnetele avatud kirjetest – 5,4 miljardit – langes ründe ohvriks valesti konfigureeritud teenuste ja portaalide tõttu. Juurdepääsu haldamine identiteedikontrolli kaudu ja tugeva turbehügieeni rakendamine võib lünkade kõrvaldamisel palju aidata.
Tugev pilvturbestrateegia hõlmab järgmisi parimaid tavasid:
1. Rakendage täielikku pilvepõhiste rakenduste kaitseplatvormi (CNAPP) strateegiat: Turvalisuse haldamine killustatud tööriistadega võib põhjustada kaitses pimealasid ja suurendada kulusid. Kõik-ühes platvorm, mis võimaldab teil turvet koodist pilve manustada, on ülioluline, et vähendada üldist pilvründepinda ja automatiseerida ohutõrjet. CNAPP-i strateegia hõlmab järgmisi parimaid tavasid:
a. Seadistage DevOpsis turvalisus prioriteediks algusest peale. Turvalisus võib pilvrakenduste arendamise kiirustamise korral jääda kõrvale. Arendajatel on stiimul äriprobleem kiiresti lahendada ja neil võivad puududa pilvturbe oskused. Selle tulemusena võivad rakendused ilma asjakohaste andmete autoriseerimise reegliteta levida. API-dest on saanud häkkerite peamine sihtmärk, kuna organisatsioonid ei suuda sageli pilvrakenduste arendamise kiirust arvestades neid jälgida. Gartner määratleb API laialivalgumise kasvava probleemina, ennustades, et aastaks 2025 hallatakse vähem kui pooli ettevõtete API-dest (Gartner). Seetõttu on ülioluline rakendada DevSecOpsi strateegiat nii kiiresti kui võimalik.
b. Tugevdage pilvturbeseisundit ja parandage väärkonfiguratsioone. Valed konfiguratsioonid on pilvturbemurrete kõige levinum põhjus – vaadake Cloud Security Alliance’i kõige levinumaid turberühmade häälestamise väärkonfiguratsioone. Kuigi salvestusressursside avalikkusele avatuks jätmine on kõige levinum hirm, mida kuuleme, viitavad CISO-d ka teistele tähelepanuta jäetud valdkondadele: keelatud jälgimine ja logimine, liigsed õigused, kaitsmata varukoopiad jne. Krüpteerimine on oluline kaitse halva juhtimise eest ja ülioluline lunavarariski vähendamiseks. Pilveturbeseisundi haldustööriistad tagavad teise kaitseliini, jälgides pilvressursside riskile avatust ja väärseadistustusi enne turbemurret, et saaksite ennetavalt ründepinda vähendada.
c. Intsidentide tuvastamise, neile reageerimise ja analüüsi automatiseerimine. Väärseadistuste tuvastamine ja parandamine on suurepärane, kuid me peame ka tagama, et meil on olemas tööriistad ja protsessid, kus tuvastada ründed, mis kaitsest mööda lähevad. Siin võivad aidata ohtude tuvastamise ja neile reageerimise haldustööriistad.
d. Juurdepääsuõiguse saamine. Mitmikautentimine, ühekordne sisselogimine, rollipõhine juurdepääsukontroll, õiguste haldamine ja sertifikaadid aitavad hallata kahte suurimat pilvturberiski: kasutaja ja valesti konfigureeritud digitaalsed omadused. Vähim juurdepääs on pilvtaristu õiguste haldamise (CIEM) parim tava. Mõned juhid toetuvad aktiivsete turbekontrollide kehtestamiseks identiteedi juurdepääsu halduse või õiguste halduse lahendusele. Üks finantsteenuste juht kasutab organisatsiooni SaaS-i teenuste haldamisel ning oma kasutajate ja andmete üle kontrolli säilitamisel peamise tugivahendina pilvjuurdepääsu turbevahendajat (CASB). CASB toimib vahendajana kasutajate ja pilvrakenduste vahel, pakkudes nähtavust ja jõustades poliitikate kaudu juhtimistoiminguid. backstop”, et hallata oma SaaS-i teenuseid ning säilitada kontroll oma kasutajate ja andmete üle. CASB toimib vahendajana kasutajate ja pilvrakenduste vahel, pakkudes nähtavust ja jõustades poliitikate kaudu juhtimistoiminguid.
Pilvepõhise rakenduse kaitseplatvorm, nagu see, mida pakub Microsoft Defender for Cloud , ei paku mitte ainult nähtavust mitme pilveressursi vahel, vaid pakub ka kaitset kõigil keskkonnakihtidel, jälgides samal ajal ohte ja seostades hoiatusteateid juhtumitega, mis on integreeritud teie SIEM-iga. See lihtsustab uurimist ja aitab teie SOC-meeskondadel platvormideülestest hoiatustest ees püsida.
Veidi ennetustööd – identiteedi ja väärkonfiguratsiooni lünkade sulgemine – koos tugevate rünnetele reageerimise tööriistadega aitab kaasa kogu pilvkeskkonna turvalisusele alates ettevõtte võrgust kuni pilvteenusteni.
Terviklik turvalisus algab nähtavusest ja lõpeb prioriteetse riskijuhtimisega.
Üleminek pilvekesksele IT-le ei ava organisatsiooni mitte ainult juurutuslünkade riskile, vaid ka arvukatele võrguressursside – seadmete, rakenduste, lõpp-punktide – hulgale, aga ka avatud pilve töökoormustele. Turvajuhid juhivad oma seisundit selles perimeetrivabas keskkonnas tehnoloogiate abil, mis tagavad nähtavuse ja prioriteetse reageerimise. Need tööriistad aitavad organisatsioonidel kaardistada ressurside loendit, mis katab kogu ründepinna, hõlmates hallatud ja haldamata seadmeid nii organisatsiooni võrgus kui ka väljaspool seda. Neid ressursse kasutades saavad CISOd hinnata iga ressursi turbeseisundit ja selle rolli ettevõttes, et töötada välja prioriteetne riskimudel.
Vestlustes turbejuhtidega näeme arengut perimeetripõhiselt turvalisuselt turbeseisundipõhise lähenemisviisi suunas, mis hõlmab piirideta ökosüsteemi.
Nagu üks CISO ütleb: „Minu jaoks taandub seisund identiteedile…. Me ei vaata seda lihtsalt kui vana traditsioonilist seisundit, kus on perimeeter, vaid liigutame seda alla lõpp-punktini.“ (Kommunaalteenused – Vesi, 1390 töötajat). „Identiteedist on saanud uus perimeeter,“ kommenteerib FinTechi CISO, küsides: „Mida tähendab identiteet selles uues mudelis, kus pole välimist ega sisemist?“ (FinTech, 15 000 töötajat).
Arvestades seda poorset keskkonda, mõistavad CISO-d kõikehõlmava seisundihalduse kiireloomulisust, kuid paljud kahtlevad, kas neil on ressursse ja digitaalset küpsust selle visiooni elluviimiseks. Õnneks on tänu valdkonnas end tõestatud raamistike (tänapäeva vajaduste jaoks värskendatud) ja turvauuenduste kombinatsioonile terviklik seisundihaldus enamiku organisatsioonide jaoks käeulatuses.
Hankige oma kübertaristu tööriistad, mis võimaldavad teil ressursside inventuuri teha. Teiseks vaadake, milline neist on kriitilise tähtsusega, millel on organisatsioonile suurim risk, ja mõistke, millised on nende seadmete võimalikud nõrkused, ja otsustage, kas see on vastuvõetav – kas ma pean selle parandama või isoleerima.
Ken Malcolmson, Microsofti turbenõunik
Siin on mõned parimad tavad ja tööriistad, mida turbejuhid kasutavad oma seisundi haldamiseks avatud pilvekeskses keskkonnas:
1. Saavutage ressursside abil igakülgne nähtavus.
Nähtavus on esimene samm terviklikus seisundihalduses. CISO-d küsivad: „Kas me üldse teame, mida peame tegema esimese sammuna?“ Kas meil on üldse nähtavus, enne kui jõuame halduseni?“ Riskivarade loend sisaldab IT-varasid, nagu võrgud ja rakendused, andmebaasid, serverid, pilveomadused, IoT atribuudid, samuti selles digitaalses taristus salvestatud andmed ja IP-varad. Enamik platvorme, nagu Microsoft 365 või Azure, sisaldavad sisseehitatud varade tööriistu, mis aitavad teil alustada.
Nähtavus on esimene samm terviklikus seisundihalduses. CISO-d küsivad: „Kas me üldse teame, mida peame tegema esimese sammuna?“ Kas meil on üldse nähtavus, enne kui jõuame halduseni?“ Riskivarade loend sisaldab IT-varasid, nagu võrgud ja rakendused, andmebaasid, serverid, pilveomadused, IoT atribuudid, samuti selles digitaalses taristus salvestatud andmed ja IP-varad. Enamik platvorme, nagu Microsoft 365 või Azure, sisaldavad sisseehitatud varade tööriistu, mis aitavad teil alustada.
2. Hinnake nõrkusi ja analüüsige riske.
Kui organisatsioonil on põhjalik varade loend, on võimalik riske analüüsida nii sisemiste nõrkuste kui ka väliste ohtude osas. See samm sõltub suuresti kontekstist ja on iga organisatsiooni jaoks ainulaadne – usaldusväärne riskianalüüs sõltub tugevast partnerlusest turbe-, IT- ja andmemeeskondade vahel. See ristfunktsionaalne meeskond kasutab oma analüüsis automatiseeritud riskide hindamise ja prioriseerimise tööriistu – näiteks Microsoft Entra ID-sse, Microsoft Defender XDR-i ja Microsoft 365-sse integreeritud riskide prioriseerimise tööriistu. Automatiseeritud riskide hindamise ja prioriseerimise tehnoloogiad võivad sisaldada ka ekspertide juhiseid lünkade kõrvaldamiseks ja kontekstipõhist teavet tõhusaks ohule reageerimiseks.
Kui organisatsioonil on põhjalik varade loend, on võimalik riske analüüsida nii sisemiste nõrkuste kui ka väliste ohtude osas. See samm sõltub suuresti kontekstist ja on iga organisatsiooni jaoks ainulaadne – usaldusväärne riskianalüüs sõltub tugevast partnerlusest turbe-, IT- ja andmemeeskondade vahel. See ristfunktsionaalne meeskond kasutab oma analüüsis automatiseeritud riskide hindamise ja prioriseerimise tööriistu – näiteks Microsoft Entra ID-sse, Microsoft Defender XDR-i ja Microsoft 365-sse integreeritud riskide prioriseerimise tööriistu. Automatiseeritud riskide hindamise ja prioriseerimise tehnoloogiad võivad sisaldada ka ekspertide juhiseid lünkade kõrvaldamiseks ja kontekstipõhist teavet tõhusaks ohule reageerimiseks.
3. Prioriseerige riski- ja turbevajadused prioriteediks äririskide modelleerimisega.
Omades selget arusaama riskimaastikust, saavad tehnilised meeskonnad teha koostööd ärijuhtidega, et seada prioriteediks turbesekkumised, pidades silmas ettevõtte vajadusi. Mõelge iga ressursi rollile, selle väärtusele äritegevusele ja ettevõtet ohustavale ohule turbemurde korral, ning esitage selliseid küsimusi nagu „Kui tundlik see teave on ja milline oleks selle riskile avatuse mõju ettevõttele?“ või „Kui kriitilised need süsteemid on – milline oleks seisaku mõju ettevõttele?“ Microsoft pakub tööriistu, mis toetavad turvaaukude igakülgset tuvastamist ja tähtsuse järjekorda seadmist vastavalt äririskide modelleerimisele, sealhulgas Microsofti turbeskooriteenus, Microsofti vastavusskooriteenus, Azure’i turbeskooriteenus, Microsoft Defenderi välisründepinna haldus ja Microsoft Defenderi nõrkusehaldus.
Omades selget arusaama riskimaastikust, saavad tehnilised meeskonnad teha koostööd ärijuhtidega, et seada prioriteediks turbesekkumised, pidades silmas ettevõtte vajadusi. Mõelge iga ressursi rollile, selle väärtusele äritegevusele ja ettevõtet ohustavale ohule turbemurde korral, ning esitage selliseid küsimusi nagu „Kui tundlik see teave on ja milline oleks selle riskile avatuse mõju ettevõttele?“ või „Kui kriitilised need süsteemid on – milline oleks seisaku mõju ettevõttele?“ Microsoft pakub tööriistu, mis toetavad turvaaukude igakülgset tuvastamist ja tähtsuse järjekorda seadmist vastavalt äririskide modelleerimisele, sealhulgas Microsofti turbeskooriteenus, Microsofti vastavusskooriteenus, Azure’i turbeskooriteenus, Microsoft Defenderi välisründepinna haldus ja Microsoft Defenderi nõrkusehaldus.
4. Looge seisundihaduse strateegia.
Varade loend, riskianalüüs ja äririski mudel moodustavad tervikliku seisundihalduse aluse. See nähtavus ja ülevaade aitavad turbemeeskonnal otsustada, kuidas ressursse kõige paremini eraldada, milliseid karmistamismeetmeid tuleb rakendada ja kuidas optimeerida riski ja kasutatavuse vahelist kompromissi iga võrgusegmendi jaoks.
Varade loend, riskianalüüs ja äririski mudel moodustavad tervikliku seisundihalduse aluse. See nähtavus ja ülevaade aitavad turbemeeskonnal otsustada, kuidas ressursse kõige paremini eraldada, milliseid karmistamismeetmeid tuleb rakendada ja kuidas optimeerida riski ja kasutatavuse vahelist kompromissi iga võrgusegmendi jaoks.
Seisundihalduslahendused pakuvad nähtavuse ja nõrkuse analüüsi, mis aitab organisatsioonidel mõista, kuhu oma seisundi parandamise jõupingutused suunata. Selle ülevaate abil saavad nad oma ründepinnal tähtsaid alasid tuvastada ja tähtsuse järjekorda seada.
Toetuge täisusaldamatusele ja hügieenile, et taltsutada IoT ja OT metsikut ja mitmekesist, hüpervõrgustunud keskkonda
Kaks väljakutset, mida oleme arutanud – pilve rakendamise lünk ja pilvega ühendatud seadmete levik – tekitavad IoT- ja OT-seadmete keskkondades täiusliku riskitormi. Lisaks IoT- ja OT-seadmetega kaasnevale laienenud ründepinna riskile ütlevad turbejuhid mulle, et nad üritavad lähendada tekkivaid IoT- ja vanu OT-strateegiad. IoT võib olla pilvepõhine, kuid need seadmed eelistavad sageli ärilist otstarbekust põhjaliku turbesüsteemi asemel; OT kipub olema müüja hallatav pärandvarustus, mis on välja töötatud ilma kaasaegse turvalisuseta ja lisatud organisatsiooni IT-võrku ad hoc.
IoT- ja OT-seadmed aitavad organisatsioonidel ajakohastada tööruume, muutuda andmepõhisemaks ja leevendada töötajatele esitatavaid nõudmisi selliste strateegiliste muutuste abil nagu kaughaldus ja automatiseerimine. Rahvusvahelise andmekorporatsiooni (IDC) hinnangul on 2025. aastaks 41,6 miljardit ühendatud IoT-seadet, mis ületab traditsiooniliste IT-seadmete kasvutempo.
Kuid selle võimalusega kaasneb märkimisväärne risk. Meie 2022. aasta detsembri kübersignaalide aruanne IT ja käidutehnoloogia lähenemine käsitles riske, mida need tehnoloogiad kriitilisele taristule põhjustavad.
Peamised leiud hõlmavad järgmist:
1. 75% enamlevinud tööstuslike kontrolleritega klientide OT-võrkudes on parandamata ja väga tõsised nõrkused.
2. Aastatel 2020–2022 suurenes populaarsete tarnijate toodetud tööstuslike juhtimisseadmete tõsiste nõrkuste avalikustamine 78%.
3. Paljud internetis avalikult nähtavad seadmed töötavad toetamata tarkvaraga. Näiteks vananenud tarkvara Boa kasutatakse endiselt laialdaselt IoT-seadmetes ja tarkvaraarenduskomplektides (SDK).
IoT-seadmed on sageli digivara nõrgim lüli. Kuna neid ei hallata, värskendata ega parandata samamoodi nagu traditsioonilisi IT-seadmeid, võivad need olla mugavaks lüüsiks ründajatele, kes soovivad tungida IT-võrku. Pärast juurdepääsu on IoT-seadmed koodi kaugkäitamise suhtes haavatavad. Ründaja võib omandada kontrolli ja kasutada turvaauke, et implanteerida IoT-seadmesse robotvõrke või pahavara. Sel hetkel saab seade toimida avatud uksena kogu võrku.
Käidutehnoloogia seadmed kujutavad endast veelgi hirmutavamat ohtu, kuna paljud on organisatsiooni toimimise jaoks kriitilise tähtsusega. Ajalooliselt võrguühenduseta või ettevõtte IT-võrgust füüsiliselt eraldatud OT-võrgud segatakse üha enam IT- ja IoT-süsteemidega. Meie 2021. aasta novembris koos Ponemoni Instituudiga läbiviidud uuring The State of IoT/OT Cybersecurity in the Enterprise näitas, et enam kui pooled OT-võrkudest on nüüd ühendatud ettevõtte IT-(äri)võrkudega. Sarnasel osal ettevõtetest (56 protsendil) on OT-võrgus internetiühendusega seadmed selliste stsenaariumide jaoks nagu kaugjuurdepääs.
„Peaaegu iga rünnak, mida oleme viimasel aastal näinud, algas esialgsest juurdepääsust IT-võrgule, mida kasutati OT-keskkonnas.“
David Atch, Microsofti ohuanalüüs, IoT/OT turbeuuringute juht
OT-ühenduvus seab organisatsioonid ründe korral suurte häirete ja seisakute ohtu. OT on sageli ettevõtte keskmes, pakkudes ründajatele ahvatlevat sihtmärki, mida nad saavad ära kasutada märkimisväärse kahju tekitamiseks. Seadmed ise võivad olla lihtsad sihtmärgid, kuna need hõlmavad sageli mahajäetud alasid või pärandseadmeid, mis ei ole konstruktsioonilt turvalised, on kaasaegsetest turbetavadest varasemad ja neil võivad olla patenteeritud protokollid, mis ei võimalda standardsete IT-seirevahenditega nähtavust. Ründajad kipuvad neid tehnoloogiaid ära kasutama, avastades avatud internetiühendusega süsteeme, pääsedes ligi töötajate sisselogimisteabe kaudu või kasutades ära kolmandatest osapooltest tarnijatele ja töövõtjatele antud juurdepääsu. Jälgimata ICS-protokollid on üks levinumaid sisenemispunkte OT-spetsiifiliste rünnete jaoks (Microsofti digikaitsearuanne 2022).
Et tulla toime ainulaadse väljakutsega IoT- ja OT-turbe haldamisel IT-võrku erineval viisil ühendatud seadmete kogumis, järgivad turbejuhid järgmisi parimaid tavasid:
1. Saavutage igakülgne seadme nähtavus.
Kõigi võrgus olevate ressursside mõistmine, kuidas kõik on omavahel seotud ning igas ühenduspunktis kaasnevad äririskid ja kokkupuutepunktid on tõhusa IoT/OT haldamisel kriitilise tähtsusega. IoT- ja OT-teadlik võrgutuvastuse ja reageerimise (NDR) lahendus ning SIEM, nagu Microsoft Sentinel, võivad samuti aidata teil paremini näha teie võrgus olevaid IoT/OT-seadmeid ja jälgida neid anomaalse käitumise, näiteks võõraste hostidega suhtlemise suhtes. (Lisateabe saamiseks avatud ICS-protokollide haldamise kohta OT-s vaadake jaotist „IoT-seadmete ainulaadne turvarisk”, Microsofti turbeteenus).
Kõigi võrgus olevate ressursside mõistmine, kuidas kõik on omavahel seotud ning igas ühenduspunktis kaasnevad äririskid ja kokkupuutepunktid on tõhusa IoT/OT haldamisel kriitilise tähtsusega. IoT- ja OT-teadlik võrgutuvastuse ja reageerimise (NDR) lahendus ning SIEM, nagu Microsoft Sentinel, võivad samuti aidata teil paremini näha teie võrgus olevaid IoT/OT-seadmeid ja jälgida neid anomaalse käitumise, näiteks võõraste hostidega suhtlemise suhtes. (Lisateabe saamiseks avatud ICS-protokollide haldamise kohta OT-s vaadake jaotist „IoT-seadmete ainulaadne turvarisk”, Microsofti turbeteenus).
2. Segmenteerige võrgud ja rakendagetäisusaldamatuse põhimõtteid .
Võimaluse korral segmentige võrgud külgsuunalise liikumise pärssimiseks ründe korral. IoT-seadmed ja OT-võrgud peaksid olema õhkeraldatud või tulemüüride kaudu ettevõtte IT-võrgust isoleeritud. Sellegipoolest on oluline eeldada, et teie OT ja IT on ühtlustunud ning loob ründepinnal täisusaldamatuse protokollid. Üha enam ei ole võrgu segmentimine teostatav. Reguleeritud organisatsioonide (tervishoiuasutused, kommunaalteenuste pakkujad ja tootmisettevõtted) puhul on OT-IT-ühenduvus ärifunktsiooni tuum – näiteks mammograafiaaparaadid või nutikad MRI-d, mis on ühenduses elektrooniliste tervisekaartide (EHR) süsteemidega; nutikad tootmisliinid või veepuhastus, mis nõuavad kaugseiret. Nendel juhtudel on täisusaldamatus ülioluline.
Võimaluse korral segmentige võrgud külgsuunalise liikumise pärssimiseks ründe korral. IoT-seadmed ja OT-võrgud peaksid olema õhkeraldatud või tulemüüride kaudu ettevõtte IT-võrgust isoleeritud. Sellegipoolest on oluline eeldada, et teie OT ja IT on ühtlustunud ning loob ründepinnal täisusaldamatuse protokollid. Üha enam ei ole võrgu segmentimine teostatav. Reguleeritud organisatsioonide (tervishoiuasutused, kommunaalteenuste pakkujad ja tootmisettevõtted) puhul on OT-IT-ühenduvus ärifunktsiooni tuum – näiteks mammograafiaaparaadid või nutikad MRI-d, mis on ühenduses elektrooniliste tervisekaartide (EHR) süsteemidega; nutikad tootmisliinid või veepuhastus, mis nõuavad kaugseiret. Nendel juhtudel on täisusaldamatus ülioluline.
3. Kasutage IoT-/OT-turvalisuse haldamise hügieeni.
Turvameeskonnad saavad lüngad kõrvaldada mõne põhilise hügieenitava abil, näiteks:
Turvameeskonnad saavad lüngad kõrvaldada mõne põhilise hügieenitava abil, näiteks:
- Tarbetute internetiühenduste ja avatud portide kõrvaldamine, kaugjuurdepääsu piiramine või keelamine ning VPN-teenuste kasutamine
- Seadme turvalisuse haldamine, rakendades paiku ning muutes vaikeparoole ja -porte
- Veenduge, et ICS-protokollid ei oleks otseselt internetiga kokku puutunud
Niisuguse ülevaadete ja halduse taseme saavutamiseks vajalikud juhised leiate jaotisest „IoT/OT-seadmete ainulaadne risk”, Microsoft Security Insider.
Praktiline teave
1. Kasutage IoT/OT teadlikku võrgutuvastus- ja reageerimislahendust (NDR) ning turbeteabe ja -sündmuste halduse (SIEM)/turbe korraldamise ja reageerimise (SOAR) lahendust, et saada oma võrgus IoT/OT-seadmetest parem ülevaade, et jälgida seadmeid anomaalsete või volitamata käitumiste (nt tundmatute hostidega suhtlemise) jälgimiseks
2. Kaitske tehnilisi jaamu, jälgides lõpp-punkti tuvastamise ja reageerimise (EDR) lahendusi
3. Ründepinna vähendamiseks eemaldage tarbetud Interneti-ühendused ja avatud pordid, blokeerige kaugjuurdepääsu piiramiseks teatud pordid, keelake kaugjuurdepääs ja kasutage VPN-i teenuseid
4. Veenduge, et ICS-i protokollid poleks Internetile otse avatud
5. Segmentige võrgud, et piirata ründaja võimalusi lateraalselt liikuda ja varasid pärast esmast sissetungi kahjustada. IoT-seadmed ja OT-võrgud tuleks ettevõtte IT-võrkudest eraldada tulemüüridega
6. Veenduge, et seadmed oleksid kaitstud: rakendage paigad, muutke ära vaikeparoolid ja valige uued pordid
7. Oletage, et teie OT ja IT on ühtlustunud ja looge oma ründepinnale täisusaldamatuse protokollid
8. Tagage organisatsiooniline ühtlustamine OT ja IT vahel, edendades suuremat nähtavust ja meeskonna integreerimist
9. Järgige alati parimaid IoT/OT-turvatavasid, mis põhinevad fundamentaalsel ohuteabel
Kuna turvajuhid kasutavad võimalust oma digivara täiustada suurenevate ohtude ja surve tõttu vähemate ressurssidega rohkem ära teha, on pilv muutumas kaasaegse turbestrateegia aluseks. Nagu oleme näinud, kaaluvad pilvekeskse lähenemisviisi eelised suurel määral üles riskid – eriti organisatsioonide puhul, kes kasutavad oma pilvkeskkondade haldamiseks häid tavasid tugeva pilvturbestrateegia, tervikliku seisundihalduse ja konkreetsete taktikate abil IoT/OT serva lünkade kõrvaldamiseks.
Vaadake meie järgmist numbrit, et saada rohkem teavet turbeanalüüsi ja ülevaadete kohta. Täname, et lugesite CISO Insiderit!
Niisuguse ülevaadete ja halduse taseme saavutamiseks vajalikud juhised leiate jaotisest „IoT/OT-seadmete ainulaadne risk”, Microsoft Security Insider.
Kõik viidatud Microsofti uuringud kasutavad sõltumatuid uuringufirmasid, et võtta ühendust turbespetsialistidega nii kvantitatiivsete kui ka kvalitatiivsete uuringute jaoks, tagades privaatsuse kaitse ja analüütilise ranguse. Selles dokumendis sisalduvad tsitaadid ja järeldused on Microsofti uurimistöö tulemus, kui pole teisiti märgitud.
Jälgige Microsofti turbeteenust