Jäljitä vastustajasi maksuttomassa kyberturvallisuuden etsiväpelissä. Pelaa nyt.
CISO Insider: Issue 3
Tervetuloa CISO Insider -sarjan kolmanteen numeroon. Olen Rob Lefferts, ja johdan Microsoft Defender- ja Sentinel-suunnittelutiimejä. Aloitimme tämän sarjan noin vuosi sitten jakaaksemme eräiden kollegojemme kanssa käymiämme keskustelujen sekä omien tutkimustemme ja kyberturvallisuuden etulinjassa työskentelevien kokemustemme pohjalta saatuja näkemyksiä.
Kahdessa ensimmäisessä numerossamme käsiteltiin lisääntyviä uhkia, kuten kiristysohjelmia, ja sitä, miten tietoturvajohtajat käyttävät automaatiota ja täydennyskoulutusmahdollisuuksia auttaakseen vastaamaan tehokkaasti näihin uhkiin jatkuvan osaajapulan keskellä. Koska CISO:illa on yhä enemmän paineita toimia tehokkaasti nykyisessä taloudellisessa epävarmuudessa, monet pyrkivät optimoimaan toimintansa pilvipohjaisten ratkaisujen ja integroitujen hallittujen tietoturvapalvelujen avulla. Tässä numerossa tarkastelemme uusia tietoturvan painopisteitä, kun organisaatiot siirtyvät yhä enemmän pilvikeskeiseen malliin ja tuovat mukanaan kaiken digitaalisen tilan paikallisista järjestelmistä IoT-laitteisiin.
Julkinen pilvi tarjoaa vahvan perusturvallisuuden, kustannustehokkuuden ja skaalautuvan laskennan, mikä tekee siitä tärkeän resurssin tiukentuvien budjettien aikana. Tämän kolminaisuuden myötä on kuitenkin huolehdittava aukoista, joita syntyy julkisen pilven, yksityisten pilvien ja paikallisten järjestelmien välille. Tarkastelemme, mitä tietoturvajohtajat tekevät tietoturvan hallitsemiseksi verkkolaitteiden, päätepisteiden, sovellusten, pilvien ja hallittujen palveluiden välissä olevissa rajapinnoissa. Lopuksi tarkastelemme kahta teknologiaa, jotka edustavat tämän tietoturvahaasteen kärkeä: IoT ja OT. Näiden kahden polarisoituneen tekniikan – yhden uuden ja toisen vanhan tekniikan, jotka molemmat on tuotu verkkoon ilman riittävää sisäänrakennettua tietoturvaa – lähentyminen luo huokoisen reunan, joka on altis hyökkäyksille.
Numerossa 3 tarkastellaan näitä kolmea pilvipalvelukeskeistä tietoturvaprioriteettia:
Pilvi on turvallinen, mutta hallinnoitko pilviympäristöäsi turvallisesti?
Pilvipalvelujen käyttöönotto on kiihtynyt, kun organisaatiot etsivät uutta tehokkuutta sekä taloudellisten rajoitteiden että osaajapulan vuoksi. CISO:t luottavat julkisiin pilvipalveluihin niiden perusturvallisuuden vuoksi, mutta pilvi on vain niin turvallinen kuin asiakkaan kyky hallita julkisen pilven ja yksityisen infrastruktuurin välistä rajapintaa. Tarkastelemme, miten tietoturvajohtajat kurovat kuilua umpeen vahvalla pilvipalvelun tietoturvastrategialla – esimerkiksi suojaamalla pilvisovelluksia ja -kuormituksia pilvipalvelun suojaustasonhallinnan ja pilvipohjaisen sovellusten suojausympäristön (CNAPP) kaltaisilla työkaluilla.
Kattava suojaustaso alkaa näkyvyydestä ja päättyy priorisoituun riskienhallintaan.
Pilvipalveluiden nopean käyttöönoton myötä palvelut, päätepisteet, sovellukset ja laitteet lisääntyvät. Kriittisten pilviyhteyspisteiden hallintastrategian lisäksi CISO:t tunnistavat tarpeen lisätä näkyvyyttä ja koordinointia laajenevassa digitaalisessa jalanjäljessä – tarve kattavaan suojaustasonhallintaan. Tarkastelemme, miten tietoturvajohtajat laajentavat lähestymistapaansa hyökkäysten estämisestä (joka on edelleen paras puolustus, kunhan se toimii) riskien hallintaan kattavien suojaustasonhallintatyökalujen avulla, jotka auttavat omaisuuserien inventoinnissa ja liiketoimintariskien mallintamisessa – ja tietenkin käyttäjätietojen ja käyttöoikeuksien hallinnassa.
Nojaudu Zero Trust -suojausmalliin ja hygieniaan kesyttääksesi IoT:n & OT:n erittäin monimuotoisen ja hyperverkottuneen ympäristön.
Yhdistettyjen IoT- ja OT-laitteiden räjähdysmäinen kasvu aiheuttaa edelleen tietoturvahaasteita – erityisesti kun otetaan huomioon vaikeus sovittaa yhteen teknologioita, jotka ovat sekoitus pilvipohjaisia, kolmannen osapuolen työkaluja ja vanhoja verkkoon jälkiasennettuja laitteita. IoT-laitteiden maailmanlaajuisen määrän ennustetaan nousevan 41,6 miljardiin vuoteen 2025 mennessä, mikä luo laajemman hyökkäyspinnan hyökkääjille, jotka käyttävät näitä laitteita kyberhyökkäysten aloituskohtina. Nämä laitteet ovat yleensä verkon haavoittuvuuspisteitä. Ne on saatettu ottaa käyttöön tapauskohtaisesti ja liittää IT-verkkoon ilman tietoturvaryhmän selkeää ohjeistusta. Kolmas osapuoli on saattanut kehittää niitä ilman perustavaa laatua olevaa tietoturvaa tai tietoturvaryhmä on hallinnoinut niitä riittämättömästi esimerkiksi omien protokollien ja käytettävyysvaatimusten (OT) kaltaisten haasteiden vuoksi. Lue, miten monet IT-johtajat kehittävät IoT/OT-tietoturvastrategiaansa navigoidakseen tämän aukkoisen reunan yli.
Pilvi on turvallinen, mutta hallinnoitko pilviympäristöäsi turvallisesti?
Aikana, jolloin osaajista on pulaa ja budjetit kiristyvät, pilvi tarjoaa monia etuja – kustannustehokkuutta, äärettömästi skaalautuvia resursseja, huippuluokan työkaluja ja luotettavampaa tietosuojaa kuin useimmat tietoturvajohtajat uskovat saavuttavansa paikallisesti. Ennen CISO:t pitivät pilviresursseja kompromissina suuremman riskialttiuden ja suuremman kustannustehokkuuden välillä, mutta suurin osa tietoturvajohtajista, joiden kanssa puhumme, on ottanut pilven käyttöön uutena normaalina. He luottavat pilviteknologian vahvaan perustietoturvaan: "Odotan, että pilvipalveluntarjoajilla on kaikki kunnossa käyttäjätietojen ja käyttöoikeuksien hallinnan, järjestelmäturvallisuuden ja fyysisen tietoturvan osalta", sanoo eräs CISO.
Kuten useimmat tietoturvajohtajat kuitenkin myöntävät, pilvipalvelun perustietoturva ei takaa, että tiedot ovat turvassa. Pilvipalvelussa olevien tietojen suojaaminen riippuu suuresti siitä, miten pilvipalvelut on toteutettu yhdessä toimitiloissa olevien järjestelmien ja itse kehitetyn teknologian kanssa. Riski syntyy pilven ja perinteisten organisaatiorajojen välisistä aukoista, käytännöistä ja teknologioista, joita käytetään pilven suojaamiseen. Virheellisiä konfiguraatioita esiintyy, jolloin organisaatiot jäävät usein alttiiksi ja riippuvaisiksi tietoturvaryhmistä, jotka tunnistavat ja korjaavat aukot.
"Suuri osa tietoturvaloukkauksista johtuu virheellisestä määrityksestä, eli siitä, että joku tahattomasti määrittää jotakin väärin tai muuttaa jotakin niin, että tiedot pääsevät vuotamaan."
Yleishyödylliset palvelut – Vesi, 1 390 työntekijää
Vuoteen 2023 mennessä 75 prosenttia pilvipalvelun tietoturvaloukkauksista johtuu tunnistetietojen, käyttöoikeuksien ja etuoikeuksien riittämättömästä hallinnasta, kun vastaava luku vuonna 2020 oli 50 prosenttia (Virheellinen määritys ja haavoittuvuudet suurimmat riskit pilvipalvelun tietoturvassa: Raportti | CSO Online). Haasteena ei ole itse pilvipalvelun tietoturva vaan käyttöoikeuden turvaamiseen käytettävät käytännöt ja valvonta. Kuten eräs rahoituspalvelujen CISO toteaa: "Pilvitietoturva on erittäin hyvä, jos se otetaan käyttöön oikein. Itse pilvi ja sen komponentit ovat turvallisia. Mutta joudut määrittämään: kirjoitanko koodini oikein? Määritänkö liittimeni koko yrityksessä oikein?" Toinen tietoturvajohtaja kiteyttää haasteen: "Pilvipalveluiden vääränlainen määritys avaa palvelut uhkaaville toimijoille." Kun yhä useammat tietoturvajohtajat ovat tulleet tietoisiksi pilvipalvelun vääränlaisen määrityksen riskeistä, keskustelu pilvipalvelun tietoturvasta on siirtynyt kysymyksestä "Onko pilvi turvallinen?" kysymykseen "Käytänkö pilveä turvallisesti?"
Mitä pilven käyttäminen turvallisesti tarkoittaa? Monet johtajat, joiden kanssa keskustelen, lähestyvät pilvipalvelun tietoturvastrategiaa alusta alkaen ja puuttuvat inhimillisiin virheisiin, jotka altistavat organisaation riskeille, kuten käyttäjätietorikkomuksille ja virheellisille määrityksille. Tämä vastaa suosituksiamme, silläkäyttäjätietojen turvaaminen ja käyttöoikeuksien mukautuva hallinta ovat olennaisen tärkeitä kaikissa pilvipalvelun turvallisuusstrategioissa.
Jos joku on vielä epävarma, ehkä tämä auttaa: McAfee raportoi, että 70 prosenttia altistuneista tietueista (5,4 miljardia) vaarantui väärin määritettyjen palvelujen ja portaalien vuoksi. Käyttöoikeuden hallinta käyttäjätietojen hallinnan avulla ja vahvan tietoturvahygienian toteuttaminen voivat auttaa huomattavasti näiden aukkojen korjaamisessa. McAfee raportoi myös, että 70 prosenttia altistuneista tietueista (5,4 miljardia) vaarantui väärin määritettyjen palvelujen ja portaalien vuoksi. Käyttöoikeuden hallinta käyttäjätietojen hallinnan avulla ja vahvan tietoturvahygienian toteuttaminen voivat auttaa huomattavasti näiden aukkojen korjaamisessa.
Vankka pilvipalvelun tietoturvastrategia sisältää nämä parhaat käytännöt:
1. Ota käyttöön päästä päähän pilvipohjainen sovellusten suojausympäristö (CNAPP) -strategia: Tietoturvan hallinta hajanaisilla työkaluilla voi aiheuttaa sokeita pisteitä suojauksessa ja korkeampia kustannuksia. Kokonaisvaltainen ympäristö, joka mahdollistaa tietoturvan sisällyttämisen koodista pilvipalveluun, on ratkaisevan tärkeä, jotta pilvipalvelun kokonaishyökkäyspintaa voidaan pienentää ja uhilta suojautuminen automatisoida. CNAPP-strategiaan kuuluvat seuraavat parhaat käytännöt:
a. Aseta tietoturva etusijalle alusta alkaen DevOpsissa. Tietoturva voi jäädä taka-alalle, kun pilvisovelluksia kehitetään kiireessä. Kehittäjillä on kannustin ratkaista liiketoimintaongelma nopeasti, eikä heillä välttämättä ole pilvitietoturvataitoja. Tämän seurauksena sovellukset voivat lisääntyä ilman asianmukaisia tietojen valtuutussääntöjä. API-rajapinnoista on tullut hakkerien ensisijainen kohde, sillä organisaatiot eivät useinkaan pysty seuraamaan niitä, kun otetaan huomioon pilvisovellusten kehitysvauhti. Gartner pitää API-rajapintojen rönsyilyä kasvavana ongelmana ja ennustaa, että vuoteen 2025 mennessä alle puolet yritysten API-rajapinnoista on hallinnassa (Gartner). Siksi on ratkaisevan tärkeää toteuttaa DevSecOps-strategia mahdollisimman nopeasti.
b. Vahvista pilven suojaustasoa ja korjaa virheelliset määritykset. Virheelliset määritykset ovat yleisin syy pilvipalvelun tietoturvaloukkauksiin – tutustu Cloud Security Alliancen yleisimpiin tietoturvaryhmäasetusten virheellisiin määrityksiin. Tallennustilaresurssien jättäminen avoimeksi yleisölle on yleisin kuulemamme pelko, mutta CISO:t mainitsevat myös muita laiminlyönnin alueita: valvonnan ja lokien poistaminen käytöstä, liialliset käyttöoikeudet, suojaamattomat varmuuskopiot jne. Salaus on tärkeä suoja väärinkäytöksiä vastaan, ja se on kriittinen tekijä kiristysohjelmien riskin vähentämisessä. Pilvipalvelujen suojaustason hallintatyökalut tarjoavat toisen puolustuslinjan, sillä ne valvovat pilviresursseja altistumisten ja vääränlaisten määritysten varalta ennen tietoturvaloukkauksen tapahtumista, joten voit pienentää hyökkäyspintaa ennakoivasti.
c. Automatisoi tapahtumien tunnistaminen, niihin reagointi ja niiden analysointi. Väärien määritysten tunnistaminen ja korjaaminen on hienoa, mutta meidän on myös varmistettava, että meillä on työkalut ja prosessit, joilla havaitsemme hyökkäykset, jotka pääsevät puolustuksen ohi. Uhkien havaitsemisen ja reagoinnin hallinnan työkalut voivat auttaa tässä.
d. Tee käyttöoikeuksien hallinta oikein. Monimenetelmäinen todentaminen, kertakirjautuminen, roolipohjaisen käytön hallinta, oikeuksien hallinta ja sertifioinnit auttavat hallitsemaan pilvitietoturvan kahta suurinta riskiä: käyttäjää ja väärin määritettyjä digitaalisia ominaisuuksia. Vähimmäiskäyttöoikeus on pilvi-infrastruktuurin oikeuksien hallinnan (CIEM) paras käytäntö. Jotkut johtajat luottavat käyttäjätietojen käyttöoikeuksien tai oikeuksien hallinnan ratkaisuun aktiivisten tietoturvavalvontatoimien toteuttamiseksi. Eräs finanssipalveluiden johtaja luottaa pilvipalveluihin pääsyn turvallisuusneuvottelijaa (CASB) "keskeisenä tukipilarina" organisaation SaaS-palveluiden hallinnassa sekä käyttäjien ja tietojen hallinnassa. CASB toimii välittäjänä käyttäjien ja pilvisovellusten välillä, tarjoaa näkyvyyttä ja pakottaa hallintatoimet käytäntöjen avulla. Tukipilari SaaS-palveluiden hallinnassa sekä käyttäjien ja tietojen hallinnassa. CASB toimii välittäjänä käyttäjien ja pilvisovellusten välillä, tarjoaa näkyvyyttä ja pakottaa hallintatoimet käytäntöjen avulla.
Pilvipohjainen sovellusten suojausympäristö, esim. Microsoft Defender for Cloudissa tarjottu, ei ainoastaan tarjoa näkyvyyttä useiden pilviresurssien yli, vaan myös suojaa ympäristön kaikilla kerroksilla samalla kun se valvoo uhkia ja korreloi hälytykset tapahtumiksi, jotka voidaan integroida SIEM-järjestelmään. Tämä virtaviivaistaa tutkimuksia ja auttaa SOC-tiimejäsi pysymään edellä alustojen välisissä hälytyksissä.
Ennaltaehkäisy (käyttäjätietojen ja väärien määritysten aukkojen sulkeminen) yhdistettynä vankkoihin hyökkäyksiin reagoimiseen tarkoitettuihin työkaluihin auttaa pitkälle koko pilviympäristön turvaamisessa yritysverkosta pilvipalveluihin.
Kattava suojaustaso alkaa näkyvyydestä ja päättyy priorisoituun riskienhallintaan.
Siirtyminen pilvipohjaiseen tietotekniikkaan ei altista organisaatiota ainoastaan toteutusaukoille, vaan myös yhä useammalle verkkoon liitetylle omaisuudelle – laitteille, sovelluksille ja päätepisteille – sekä alttiina oleville pilvipohjaisille kuormituksille. Tietoturvajohtajat hallitsevat asemaansa tässä rajattomassa ympäristössä teknologioilla, jotka tarjoavat näkyvyyttä ja priorisoitua reagointia. Nämä työkalut auttavat organisaatioita kartoittamaan omaisuusluettelon, joka kattaa koko hyökkäyspinnan, joka sisältää hallitut ja hallitsemattomat laitteet sekä organisaation verkossa että sen ulkopuolella. Näiden resurssien avulla CISO:t pystyvät arvioimaan kunkin omaisuuserän suojaustason sekä sen roolin liiketoiminnassa ja kehittämään priorisoidun riskimallin.
Turvallisuusjohtajien kanssa käymissämme keskusteluissa olemme havainneet, että rajapohjaisesta turvallisuudesta siirrytään kohti suojaustasoon perustuvaa lähestymistapaa, jossa otetaan huomioon rajaton ekosysteemi.
Kuten eräs CISO asian ilmaisee: "Minulle suojaustaso ulottuu käyttäjätietoihin…. Emme tarkastele sitä vain vanhana perinteisenä suojaustasona, jossa raja on, vaan siirrämme sen aina päätepisteeseen asti." (Yleishyödylliset palvelut-Vesi, 1 390 työntekijää). "Käyttäjätiedoista on tullut uusi raja", kommentoi eräs FinTechin CISO ja kysyi: "Mitä käyttäjätiedot tarkoittavat tässä uudessa mallissa, jossa ei ole ulko- ja sisäpuolta?" (FinTech, 15 000 työntekijää).
Tämän huokoisen ympäristön vuoksi CISO:t ymmärtävät kattavan suojaustason hallinnan kiireellisyyden, mutta monet epäilevät, onko heillä resursseja ja digitaalista kypsyyttä tämän vision toteuttamiseen käytännössä. Onneksi toimialalla hyväksi havaittujen (ja nykypäivän tarpeita varten päivitettyjen) kehysten ja tietoturvainnovaatioiden yhdistelmällä kattava suojaustasonhallinta on useimpien organisaatioiden saavutettavissa.
Hanki kyberinfrastruktuuriin työkalut, joiden avulla voit tehdä omaisuusluettelon. Toiseksi on tarkasteltava, mitkä näistä laitteista ovat kriittisiä, mitkä niistä aiheuttavat suurimman riskin organisaatiolle, ja ymmärrettävä, mitkä ovat näiden laitteiden mahdolliset haavoittuvuudet, ja päätettävä, onko tämä hyväksyttävää – pitääkö se korjata tai eristää.
Ken Malcolmson, Executive Security Advisor, Microsoft
Seuraavassa on joitakin parhaita käytäntöjä ja työkaluja, joita tietoturvajohtajat käyttävät hallinnoidakseen suojaustasoaan avoimessa pilvipohjaisessa ympäristössä:
1. Saavuta kattava näkyvyys omaisuusluettelon avulla.
Näkyvyys on ensimmäinen askel kokonaisvaltaisessa suojaustasonhallinnassa. CISO:t kysyvät: "Tiedämmekö edes kaikkea, mitä meillä on? Onko meillä edes näkyvyyttä, ennen kuin voimme siirtyä hallintaan?" Riskiomaisuuden kartoitus sisältää IT-resurssit, kuten verkot ja sovellukset, tietokannat, palvelimet, pilviominaisuudet, IoT-ominaisuudet sekä tähän digitaaliseen infrastruktuuriin tallennetut tiedot ja IP-resurssit. Useimmissa ympäristöissä, kuten Microsoft 365:ssä tai Azuressa, on sisäänrakennettuja omaisuusluettelotyökaluja, jotka voivat auttaa alkuun.
Näkyvyys on ensimmäinen askel kokonaisvaltaisessa suojaustasonhallinnassa. CISO:t kysyvät: "Tiedämmekö edes kaikkea, mitä meillä on? Onko meillä edes näkyvyyttä, ennen kuin voimme siirtyä hallintaan?" Riskiomaisuuden kartoitus sisältää IT-resurssit, kuten verkot ja sovellukset, tietokannat, palvelimet, pilviominaisuudet, IoT-ominaisuudet sekä tähän digitaaliseen infrastruktuuriin tallennetut tiedot ja IP-resurssit. Useimmissa ympäristöissä, kuten Microsoft 365:ssä tai Azuressa, on sisäänrakennettuja omaisuusluettelotyökaluja, jotka voivat auttaa alkuun.
2. Arvioi haavoittuvuus ja analysoi riski.
Kun organisaatiolla on kattava omaisuusluettelo, on mahdollista analysoida riskejä sekä sisäisten haavoittuvuuksien että ulkoisten uhkien osalta. Tämä vaihe riippuu suuresti kontekstista ja on ainutlaatuinen jokaisessa organisaatiossa – luotettava riskinarviointi edellyttää vahvaa kumppanuutta tietoturva-, IT- ja datatiimien välillä. Tämä monialainen tiimi hyödyntää analyysissään automaattisia riskien pisteytys- ja priorisointityökaluja – esimerkiksi Microsoft Entra ID:hen, Microsoft Defender XDR:ään ja Microsoft 365:een integroituja riskien priorisointityökaluja. Automaattiset riskien pisteytys- ja priorisointitekniikat voivat myös sisältää asiantuntijaohjeita aukkojen korjaamiseksi sekä asiaan liittyvää tietoa tehokkaan uhkiin reagoinnin mahdollistamiseksi.
Kun organisaatiolla on kattava omaisuusluettelo, on mahdollista analysoida riskejä sekä sisäisten haavoittuvuuksien että ulkoisten uhkien osalta. Tämä vaihe riippuu suuresti kontekstista ja on ainutlaatuinen jokaisessa organisaatiossa – luotettava riskinarviointi edellyttää vahvaa kumppanuutta tietoturva-, IT- ja datatiimien välillä. Tämä monialainen tiimi hyödyntää analyysissään automaattisia riskien pisteytys- ja priorisointityökaluja – esimerkiksi Microsoft Entra ID:hen, Microsoft Defender XDR:ään ja Microsoft 365:een integroituja riskien priorisointityökaluja. Automaattiset riskien pisteytys- ja priorisointitekniikat voivat myös sisältää asiantuntijaohjeita aukkojen korjaamiseksi sekä asiaan liittyvää tietoa tehokkaan uhkiin reagoinnin mahdollistamiseksi.
3. Priorisoi riski- ja tietoturvatarpeet liiketoimintariskien mallintamisen avulla.
Kun teknisillä tiimeillä on selkeä käsitys riskeistä, ne voivat yhdessä liiketoimintajohtajien kanssa asettaa tietoturvatoimet tärkeysjärjestykseen suhteessa liiketoiminnan tarpeisiin. Pohdi kunkin omaisuuden roolia, sen arvoa liiketoiminnalle ja sen vaarantumisesta liiketoiminnalle aiheutuvaa riskiä ja kysy esimerkiksi, kuinka arkaluonteista tämä tieto on ja millainen vaikutus sen paljastumisella olisi liiketoiminnalle. tai "Kuinka kriittisiä nämä järjestelmät ovat? Mikä olisi käyttökatkon vaikutus liiketoimintaan?" Microsoft tarjoaa työkaluja, jotka tukevat haavoittuvuuksien kattavaa tunnistamista ja priorisointia liiketoimintariskien mallintamisen mukaan, esim. Microsoftin suojauspisteet, Microsoftin vaatimustenmukaisuuspisteet, Azuren suojauspisteet, Microsoft Defenderin ulkoinen hyökkäyspintojen hallinta ja Microsoft Defenderin haavoittuvuuksien hallinta.
Kun teknisillä tiimeillä on selkeä käsitys riskeistä, ne voivat yhdessä liiketoimintajohtajien kanssa asettaa tietoturvatoimet tärkeysjärjestykseen suhteessa liiketoiminnan tarpeisiin. Pohdi kunkin omaisuuden roolia, sen arvoa liiketoiminnalle ja sen vaarantumisesta liiketoiminnalle aiheutuvaa riskiä ja kysy esimerkiksi, kuinka arkaluonteista tämä tieto on ja millainen vaikutus sen paljastumisella olisi liiketoiminnalle. tai "Kuinka kriittisiä nämä järjestelmät ovat? Mikä olisi käyttökatkon vaikutus liiketoimintaan?" Microsoft tarjoaa työkaluja, jotka tukevat haavoittuvuuksien kattavaa tunnistamista ja priorisointia liiketoimintariskien mallintamisen mukaan, esim. Microsoftin suojauspisteet, Microsoftin vaatimustenmukaisuuspisteet, Azuren suojauspisteet, Microsoft Defenderin ulkoinen hyökkäyspintojen hallinta ja Microsoft Defenderin haavoittuvuuksien hallinta.
4. Luo suojaustasonhallintastrategia.
Omaisuusluettelo, riskianalyysi ja liiketoimintariskimalli muodostavat perustan kattavalle suojaustasonhallinnalle. Tämä näkyvyys ja merkityksellinen tieto auttavat tietoturvaryhmää määrittämään, miten resursseja kannattaa jakaa, mitä suojaustoimenpiteitä on sovellettava ja miten riskien ja käytettävyyden välinen kompromissi voidaan optimoida kunkin verkon segmentin osalta.
Omaisuusluettelo, riskianalyysi ja liiketoimintariskimalli muodostavat perustan kattavalle suojaustasonhallinnalle. Tämä näkyvyys ja merkityksellinen tieto auttavat tietoturvaryhmää määrittämään, miten resursseja kannattaa jakaa, mitä suojaustoimenpiteitä on sovellettava ja miten riskien ja käytettävyyden välinen kompromissi voidaan optimoida kunkin verkon segmentin osalta.
Suojaustasonhallintaratkaisut tarjoavat näkyvyyttä ja haavoittuvuusanalyysejä, joiden avulla organisaatiot ymmärtävät, mihin niiden on keskityttävä suojaustasonsa parantamisessa. Tämän näkemyksen avulla he voivat tunnistaa ja priorisoida hyökkäyspintansa tärkeät alueet.
Nojaudu Zero Trust -suojausmalliin ja hygieniaan kesyttääksesi IoT:n ja OT:n erittäin monimuotoisen ja hyperverkottuneen ympäristön
Kaksi aiemmin käsittelemäämme haastetta (pilvipalvelun käyttöönottovaje ja pilvipalveluun liitettyjen laitteiden yleistyminen) luovat täydellisen riskimyrskyn IoT- ja OT-laiteympäristöihin. IoT- ja OT-laitteiden laajentuneen hyökkäyspinnan luontaisen riskin lisäksi tietoturvajohtajat kertovat minulle, että he yrittävät järkeistää uusien IoT- ja vanhojen OT-strategioiden lähentymistä. IoT:t voivat olla pilvipohjainen, mutta näissä laitteissa liiketoiminnallinen tarkoituksenmukaisuus on usein tärkeämpää kuin perustietoturva. OT:t ovat yleensä myyjän hallinnoimia vanhoja laitteita, jotka on kehitetty ilman nykyaikaista tietoturvaa ja jotka on liitetty tapauskohtaisesti organisaation IT-verkkoon.
IoT- ja OT-laitteet auttavat organisaatioita modernisoimaan työtiloja, muuttumaan entistä tietovetoisemmiksi ja helpottamaan henkilöstöön kohdistuvia vaatimuksia strategisten muutosten, kuten etähallinnan ja automaation, avulla. International Data Corporation (IDC) arvioi, että vuoteen 2025 mennessä yhdistettyjä IoT-laitteita on 41,6 miljardia, mikä ylittää perinteisten tietotekniikkalaitteiden kasvuvauhdin.
Tähän mahdollisuuteen liittyy kuitenkin merkittävä riski. Joulukuun 2022 Cyber Signals -raportti, The Convergence of IT and Operational Technology, tarkasteli näiden teknologioiden kriittisille infrastruktuureille aiheuttamia riskejä.
Tärkeimpiä havaintoja ovat:
1. 75 prosentissa asiakkaiden OT-verkkojen yleisimmistä teollisuusohjaimista on korjaamattomia, erittäin vakavia haavoittuvuuksia.
2. Vuodesta 2020 vuoteen 2022 suosittujen toimittajien valmistamien teollisuuden ohjauslaitteiden erittäin vakavien haavoittuvuuksien paljastumiset lisääntyivät 78 prosenttia.
3. Monissa internetissä julkisesti näkyvissä olevissa laitteissa käytetään tukematonta ohjelmistoa. Esimerkiksi vanhentunutta Boa-ohjelmistoa käytetään edelleen laajalti IoT-laitteissa ja ohjelmistokehityspaketeissa (SDK).
IoT-laitteet ovat usein digitaalisen tilan heikoin lenkki. Koska niitä ei hallinnoida, päivitetä tai korjata samalla tavalla kuin perinteisiä IT-laitteita, ne voivat toimia kätevänä porttina IT-verkkoon tunkeutuville hyökkääjille. Kun IoT-laitteisiin on päästy käsiksi, ne ovat alttiita etäkoodin suorittamiselle. Hyökkääjä voi saada hallinnan ja hyödyntää haavoittuvuuksia asettaakseen IoT-laitteeseen bottiverkkoja tai haittaohjelmia. Tällöin laite voi olla avoin ovi koko verkkoon.
Operatiivisen tekniikan välineet muodostavat vieläkin pahaenteisemmän riskin, sillä monet niistä ovat kriittisiä organisaation toiminnalle. Aikaisemmin offline-tilassa tai fyysisesti eristettynä yrityksen IT-verkosta, OT-verkot sekoittuvat yhä enemmän IT- ja IoT-järjestelmiin. Ponemon Instituten kanssa marraskuussa 2021 tekemässämme tutkimuksessa, The State of IoT/OT Cybersecurity in the Enterprise, todettiin, että yli puolet OT-verkoista on nyt liitetty yritysten IT-verkkoihin. Samansuuruisella osalla yrityksistä (56 prosentilla) on internetiin liitettyjä laitteita OT-verkossaan esimerkiksi etäkäyttöä varten.
"Lähes jokainen hyökkäys, jonka olemme nähneet viime vuoden aikana, on alkanut IT-verkkoon pääsystä, jota on hyödynnetty OT-ympäristössä."
David Atch, Microsoft Threat Intelligence, Head of IoT/OT Security Research
OT-yhdistyvyys altistaa organisaatiot suurille häiriöille ja käyttökatkoksille hyökkäyksen sattuessa. OT on usein keskeinen osa liiketoimintaa, mikä tarjoaa hyökkääjille houkuttelevan kohteen, jota he voivat käyttää hyväkseen ja aiheuttaa merkittävää vahinkoa. Laitteet itsessään voivat olla helppoja kohteita, sillä ne ovat usein vanhentuneita laitteita, jotka eivät ole rakenteeltaan turvallisia, jotka ovat vanhempia kuin nykyaikaiset tietoturvakäytännöt ja joissa voi olla omia protokollia, jotka eivät näy tavallisilla IT-valvontatyökaluilla. Hyökkääjät hyödyntävät näitä tekniikoita yleensä löytämällä alttiita internetiin johtavia järjestelmiä, hankkimalla pääsyn työntekijöiden kirjautumistietojen avulla tai hyödyntämällä kolmansille osapuolille ja alihankkijoille myönnettyjä käyttöoikeuksia. Valvomattomat ICS-protokollat ovat yksi yleinen aloituskohta OT-spesifisille hyökkäyksille (Microsoftin digitaalisen suojauksen raportti 2022).
Tietoturvajohtajat noudattavat näitä parhaita käytäntöjä vastatakseen ainutlaatuiseen haasteeseen, joka liittyy IoT- ja OT-tietoturvan hallintaan tässä sekoittuneessa jatkumossa, jossa erilaiset laitteet on liitetty eri tavoin IT-verkkoon:
1. Saavuta kattava näkyvyys laitteisiin.
Tehokkaan IoT/OT-hallinnan kriittinen perusta on se, että ymmärrät kaikki verkostossa olevat omaisuuserät, miten kaikki on kytketty toisiinsa ja mihin liiketoimintariskiin ja altistumiseen kukin yhteyspiste liittyy. IoT- ja OT-tietoinen verkon havaitsemis- ja reagointiratkaisu (NDR) ja Microsoft Sentinelin kaltainen SIEM-järjestelmä voivat myös auttaa sinua saamaan syvemmän näkyvyyden verkossasi oleviin IoT/OT-laitteisiin ja tarkkailemaan niiden poikkeavaa käyttäytymistä, kuten viestintää tuntemattomien isäntien kanssa. (Lisätietoja alttiina olevien ICS-protokollien hallinnasta OT:ssä, katso artikkeli "The Unique Security Risk of IOT Devices" Microsoft Security).
Tehokkaan IoT/OT-hallinnan kriittinen perusta on se, että ymmärrät kaikki verkostossa olevat omaisuuserät, miten kaikki on kytketty toisiinsa ja mihin liiketoimintariskiin ja altistumiseen kukin yhteyspiste liittyy. IoT- ja OT-tietoinen verkon havaitsemis- ja reagointiratkaisu (NDR) ja Microsoft Sentinelin kaltainen SIEM-järjestelmä voivat myös auttaa sinua saamaan syvemmän näkyvyyden verkossasi oleviin IoT/OT-laitteisiin ja tarkkailemaan niiden poikkeavaa käyttäytymistä, kuten viestintää tuntemattomien isäntien kanssa. (Lisätietoja alttiina olevien ICS-protokollien hallinnasta OT:ssä, katso artikkeli "The Unique Security Risk of IOT Devices" Microsoft Security).
2. Segmentoi verkot ja käytä Zero Trust -suojausmalleja.
Segmentoi verkot mahdollisuuksien mukaan, jotta voidaan estää sivuttainen siirtyminen hyökkäyksen sattuessa. IoT-laitteet ja OT-verkot tulisi olla ilmavälillä erotettu tai eristetty yritysten IT-verkosta palomuurien avulla. Tästä huolimatta on myös tärkeää olettaa, että OT ja IT ovat konvergoituneet, ja rakentaa Zero Trust -protokollat koko hyökkäyspinnalle. Yhä useammin verkon segmentointi ei ole mahdollista. Säännellyissä organisaatioissa, kuten terveydenhuollossa, yleishyödyllisissä laitoksissa ja teollisuudessa, OT-IT-yhdistyvyys on keskeistä liiketoiminnalle, esimerkiksi mammografiakoneet tai älykkäät magneettikuvauslaitteet, jotka ovat yhteydessä sähköisiin potilastietojärjestelmiin, älykkäät tuotantolinjat tai vedenpuhdistus, joka vaatii etävalvontaa. Näissä tapauksissa Zero Trust on kriittinen.
Segmentoi verkot mahdollisuuksien mukaan, jotta voidaan estää sivuttainen siirtyminen hyökkäyksen sattuessa. IoT-laitteet ja OT-verkot tulisi olla ilmavälillä erotettu tai eristetty yritysten IT-verkosta palomuurien avulla. Tästä huolimatta on myös tärkeää olettaa, että OT ja IT ovat konvergoituneet, ja rakentaa Zero Trust -protokollat koko hyökkäyspinnalle. Yhä useammin verkon segmentointi ei ole mahdollista. Säännellyissä organisaatioissa, kuten terveydenhuollossa, yleishyödyllisissä laitoksissa ja teollisuudessa, OT-IT-yhdistyvyys on keskeistä liiketoiminnalle, esimerkiksi mammografiakoneet tai älykkäät magneettikuvauslaitteet, jotka ovat yhteydessä sähköisiin potilastietojärjestelmiin, älykkäät tuotantolinjat tai vedenpuhdistus, joka vaatii etävalvontaa. Näissä tapauksissa Zero Trust on kriittinen.
3. Käytä IoT/OT-tietoturvan hallinnan hygieniaa.
Tietoturvaryhmät voivat paikata aukot seuraavilla perushygieniakäytännöillä:
Tietoturvaryhmät voivat paikata aukot seuraavilla perushygieniakäytännöillä:
- Tarpeettomien internetyhteyksien ja avointen porttien poistaminen, etäyhteyksien rajoittaminen tai kieltäminen ja VPN-palvelujen käyttö
- Laitteiden tietoturvan hallinta käyttämällä korjauksia ja muuttamalla oletussalasanat ja -portit
- Varmista, että ICS-protokollat eivät ole suoraan alttiina Internetille
Toimintaohjeita tämäntasoisen ymmärryksen ja hallinnan aikaansaamiseksi on artikkelissa "The Unique Risk of IoT/OT Devices", Microsoft Security Insider.
Toiminnalliset merkitykselliset tiedot
1. Käytä IoT/OT-yhteensopivaa NDR-ratkaisua (Network Detection and Response) ja SIEM-/SOAR-ratkaisua (Security Information and Event Management / Security Orchestration and Response), jotta saat paremman näkyvyyden verkkosi IoT/OT-laitteisiin, voit valvoa laitteita epänormaalien tai luvattomien toimintojen varalta. Näihin kuuluu esimerkiksi viestintä tuntemattomien isäntien kanssa
2. Suojaa suunnitteluasemat valvomalla päätepisteiden tunnistus ja käsittely (EDR) -ratkaisuilla
3. Pienennä hyökkäyspintaa poistamalla tarpeettomat Internet-yhteydet ja avoimet portit, rajoittamalla etäkäyttöä estämällä portit, estämällä etäkäyttö ja käyttämällä VPN-palveluja
4. Varmista, että ICS-protokollat eivät ole suoraan alttiina Internetille
5. Segmentoi verkot, jotta voit rajoittaa hyökkääjän mahdollisuuksia liikkua sivusuunnassa ja vaarantaa resursseja ensimmäisen tunkeutumisen jälkeen. IoT-laitteet ja OT-verkot tulisi eristää yritysten IT-verkoista palomuurien avulla
6. Varmista laitteiden suojaus ottamalla korjaustiedostot käyttöön sekä vaihtamalla oletussalasanat ja -portit
7. Oleta, että OT ja IT ovat konvergoituneet, ja rakenna Zero Trust -protokollat hyökkäyspinnalle
8. Varmista organisatorinen yhdenmukaistaminen OT:n ja IT:n välillä edistämällä parempaa näkyvyyttä ja tiimien integrointia
9. Noudata aina parhaita IoT/OT-tietoturvakäytäntöjä, jotka perustuvat perusuhkatietämykseen
Kun tietoturvajohtajat tarttuvat tilaisuuteen tehostaa ja nopeuttaa digitaalista tilaa keskellä kasvavien uhkien ja paineen tehdä enemmän vähemmillä resursseilla, pilvestä on tulossa nykyaikaisen tietoturvastrategian perusta. Kuten olemme nähneet, pilvipalvelukeskeisen lähestymistavan hyödyt ovat huomattavasti riskejä suuremmat – erityisesti organisaatioissa, jotka käyttävät parhaita käytäntöjä pilviympäristöjensä hallintaan vankan pilviturvallisuusstrategian, kattavan suojaustasonhallinnan ja erityisten taktiikoiden avulla IoT/OT-reunan aukkojen korjaamiseksi.
Lue seuraavasta numerostamme lisää tietoturva-analyysejä ja merkityksellisiä tietoja. Kiitos, että luit CISO Insideria!
Toimintaohjeita tämäntasoisen ymmärryksen ja hallinnan aikaansaamiseksi on artikkelissa "The Unique Risk of IoT/OT Devices", Microsoft Security Insider.
Kaikissa mainituissa Microsoftin tutkimuksissa käytetään riippumattomia tutkimusyrityksiä, jotka ottavat yhteyttä tietoturva-alan ammattilaisiin sekä kvantitatiivisissa että kvalitatiivisissa tutkimuksissa, mikä takaa yksityisyyden suojan ja analyyttisen tarkkuuden. Tähän asiakirjaan sisältyvät lainaukset ja havainnot ovat Microsoftin tutkimusten tulosta, ellei toisin mainita.
Seuraa Microsoft Securitya