Atsekite savo priešus nemokamame kibernetinės saugos žaidime. Žaiskite dabar.
„CISO Insider“: 3 leidimas
Sveiki. Čia mūsų trečiasis „CISO Insider“ serijos leidimas. Esu Rob Lefferts ir vadovauju „Microsoft Defender“ ir „Sentinel“ inžinerijos komandoms. Šią seriją pradėjome maždaug prieš metus, kad pasidalytume įžvalgomis, gautomis diskutuojant su kai kuriais jūsų kolegomis, taip pat savo tyrimais ir patirtimi, įgyta dirbant kibernetinės saugos srityje.
Pirmuosiuose dviejuose numeriuose aptarėme didėjančias grėsmes, pavyzdžiui, išpirkos reikalaujančias programas, ir tai, kaip saugos vadovai naudojasi automatizavimo ir kvalifikacijos kėlimo galimybėmis, kad galėtų veiksmingai reaguoti į šias grėsmes, nes nuolat trūksta talentų. Kadangi vyriausieji informacijos apsaugos pareigūnai susiduria su dar didesniu spaudimu efektyviai dirbti dabartinio ekonominio neapibrėžtumo sąlygomis, daugelis siekia optimizuoti veiklą naudodami debesijos sprendimus ir integruotas valdomas saugos paslaugas. Šiame numeryje apžvelgiame naujus saugos prioritetus, organizacijos pereinant prie vis labiau į debesiją orientuoto modelio, į kurį įtraukiama visa skaitmeninė nuosavybė – nuo vietinių sistemų iki daiktų interneto įrenginių.
Viešoji debesija – tai abiem pusėms naudinga tvirta pamatinė sauga, ekonomiškumas ir keičiamo mastelio skaičiavimai, todėl ji tampa svarbiu ištekliumi mažėjant biudžetams. Tačiau dėl šio trigubo efekto reikia atkreipti dėmesį į spragas, atsirandančias tarp viešosios debesijos, privačių debesų ir vietinių sistemų. Apžvelgiame, ką saugos lyderiai daro, kad užtikrintų saugą ribinėse erdvėse tarp tinklo įrenginių, galutinių taškų, programų, debesų ir valdomų paslaugų. Galiausiai apžvelgsime dvi technologijas, kurios yra šio saugos iššūkio viršūnė, t. y. daiktų internetas ir OT. Šių dviejų visiškai skirtingų technologijų – viena besiformuojanti, kita pasenusi, abi įdiegtos į tinklą be tinkamos integruotos saugos – susiliejimas sukuria pažeidžiamą paviršių, kurį galima atakuoti.
3 numeryje aptariami šie trys į debesis orientuoti saugos prioritetai:
Debesija yra saugi, bet ar saugiai valdote savo debesijos aplinką?
Debesijos diegimas paspartėjo, nes organizacijos, reaguodamos į ekonominius suvaržymus ir talentų trūkumą, ieško naujų efektyvumo galimybių. Vyriausieji informacijos apsaugos pareigūnai pasitiki viešosiomis debesijos paslaugomis dėl jų pamatinės saugos, tačiau debesija yra saugi tik tiek, kiek klientas sugeba valdyti sąsają tarp viešosios debesijos ir privačios infrastruktūros. Apžvelgiame, kaip saugos lyderiai mažina atotrūkį taikydami tvirtą debesijos saugos strategiją, pavyzdžiui, apsaugodami savo debesijos programas ir darbo krūvius tokiomis priemonėmis kaip debesijos padėties valdymas ir debesijos vietinių programų apsaugos platforma (CNAPP).
Visapusiška saugos būsena prasideda nuo matomumo ir baigiasi prioritetiniu rizikos valdymu.
Spartėjant debesijos diegimui daugėja paslaugų, galutinių taškų, programų ir įrenginių. Be svarbiausių debesijos ryšio taškų valdymo strategijos, vyriausieji informacijos apsaugos pareigūnai pripažįsta, kad reikia didesnio matomumo ir koordinavimo visoje jų besiplečiančioje skaitmeninėje erdvėje, t. y. reikia visapusiško padėties valdymo. Apžvelgiame, kaip saugos vadovai plečia savo požiūrį nuo atakų prevencijos (vis dar geriausia gynyba, jei tik ji veikia) iki rizikos valdymo pasitelkiant išsamias padėties valdymo priemones, kurios padeda inventorizuoti turtą ir modeliuoti verslo riziką, ir, žinoma, tapatybės bei prieigos kontrolę.
Remkitės nuliniu pasitikėjimu ir higiena, kad suvaldytumėte nepaprastai įvairią IoT ir OT aplinką.
Sparčiai augant prijungtų daiktų interneto ir antrinės apyvartos įrenginių skaičiui ir toliau kyla saugumo iššūkių, ypač atsižvelgiant į tai, kad sudėtinga suderinti technologijas, kurios yra debesų, trečiųjų šalių įrankių ir senosios įrangos, pritaikytos tinklui, mišinys. Prognozuojama, kad iki 2025 m. pasaulinis daiktų interneto įrenginių skaičius pasieks 41,6 mlrd., todėl įsilaužėliams, kurie tokius įrenginius naudoja kaip prieigos taškus kibernetinėms atakoms, atsiveria platesnis atakų plotas. Šie įrenginiai dažniausiai yra tinklo pažeidžiamieji taškai. Jie galėjo būti įdiegti ad hoc ir prijungti prie IT tinklo be aiškių saugos komandos nurodymų, sukurti trečiajai šaliai neužtikrinus saugos pagrindų arba saugos komanda juos netinkamai valdė dėl tokių problemų kaip patentuoti protokolai ir prieinamumo reikalavimai (OT). Sužinokite, kaip daugelis IT vadovų dabar keičia savo daiktų interneto ir interneto technologijų saugos strategiją, kad įveiktų šią spragų kamuojamą sritį.
Debesija yra saugi, bet ar saugiai valdote savo debesijos aplinką?
Šiuo metu, kai trūksta talentų ir mažėja biudžetai, debesija suteikia daug privalumų: ekonomiškumą, be galo keičiamus išteklius, pažangiausias priemones ir patikimesnę duomenų apsaugą, nei dauguma saugos vadovų mano galintys užtikrinti vietoje. Anksčiau vyriausieji informacijos apsaugos pareigūnai debesijos išteklius vertino kaip kompromisą tarp didesnės rizikos ir didesnio ekonominio efektyvumo, o šiandien dauguma mūsų kalbintų saugos vadovų debesiją priėmė kaip naują normą. Jie pasitiki tvirta pamatine debesijos technologijos sauga: „Tikiuosi, kad debesijos paslaugų teikėjai pasirūpins savo tapatybės ir prieigos valdymu, sistemų sauga ir fizinė sauga", – sako vienas vyriausiasis informacijos apsaugos pareigūnas.
Tačiau, kaip pripažįsta dauguma saugos vadovų, debesijos pamatinė sauga negarantuoja duomenų saugos – duomenų apsauga debesijoje labai priklauso nuo to, kaip debesijos paslaugos įgyvendinamos kartu su vietinėmis sistemomis ir vietinėmis technologijomis. Rizika kyla dėl spragų tarp debesijos ir tradicinės organizacijos ribų, politikos ir technologijų, naudojamų debesijos apsaugai užtikrinti. Pasitaiko neteisingų konfigūracijų, todėl organizacijos dažnai lieka neapsaugotos ir priklausomos nuo saugos komandų, kurios turi nustatyti ir pašalinti spragas.
„Daug pažeidimų įvyksta dėl neteisingos konfigūracijos, kai kas nors netyčia ką nors neteisingai sukonfigūruoja arba ką nors pakeičia taip, kad duomenys gali būti nutekinti.“
Komunalinės paslaugos – vanduo, 1 390 darbuotojų
Iki 2023 m. 75 proc. debesijos saugos pažeidimų įvyks dėl netinkamo tapatybių, prieigos ir privilegijų valdymo, palyginti su 50 proc. 2020 m. (Neteisingas konfigūravimas ir pažeidžiamumai kelia didžiausią pavojų debesijos saugai: Ataskaita | „CSO Online“). Iššūkis kyla ne dėl pačios debesies saugos, bet dėl taisyklių ir kontrolės priemonių, naudojamų prieigai apsaugoti. Kaip teigia finansinių paslaugų vyriausiasis informacijos apsaugos pareigūnas, „Debesies sauga yra labai gera, jei ji tinkamai įdiegta. Pats debesis ir jų komponentai yra saugūs. Bet tuomet imamės konfigūracijos: ar aš tinkamai rašau savo kodą? Ar teisingai nustatau savo jungtis visoje įmonėje?“ Kitas saugos vadovas apibendrina šį iššūkį: „Netinkama tų debesijos paslaugų konfigūracija atveria paslaugas grėsmių sukėlėjams.“ Vis daugiau saugos lyderių sužinant apie netinkamos debesies konfigūracijos riziką, pokalbis apie debesies saugą pasikeitė nuo „Ar debesija saugi?“ iki „Ar saugiai naudojuosi debesija?“
Ką reiškia saugiai naudoti debesiją? Daugelis lyderių, apie kuriuos kalbu, debesies saugos strategiją kuria nuo pagrindų, spręsdami žmogiškąsias klaidas, dėl kurių organizacijai kyla tokia rizika kaip tapatybės pažeidimai ir netinkamos konfigūracijos. Tai atitinka mūsų rekomendacijas, nes geraiapsaugoti tapatybes ir pritaikyti jų prieigą yra absoliučiai būtina bet kokiai debesies saugos strategijai.
Galbūt tai padės abejojantiems: „McAfee“ pranešė, kad dėl netinkamai sukonfigūruotų paslaugų ir portalų buvo pažeista 70 procentų paviešintų įrašų – 5,4 milijardo. Valdant prieigą per tapatybės kontrolę ir įgyvendinant griežtą saugos higieną, galima nueiti ilgą kelią, kol spragos bus užpildytos. Panašiai „McAfee“ pranešė, kad dėl netinkamai sukonfigūruotų paslaugų ir portalų buvo pažeista 70 procentų paviešintų įrašų – 5,4 milijardo. Valdant prieigą per tapatybės kontrolę ir įgyvendinant griežtą saugos higieną, galima nueiti ilgą kelią, kol spragos bus užpildytos.
Tvirta debesies saugos strategija apima šias geriausias praktikas:
1. Įgyvendinkite visapusišką debesies apsaugos platformos (CNAPP) strategiją: Tvarkant saugą fragmentiškais įrankiais, gali būti sukurtos aklosios zonos ir padidėti išlaidos. Norint sumažinti bendrą debesies atakos paviršių ir automatizuoti apsaugą nuo grėsmių, labai svarbu turėti „viskas viename“ platformą, leidžiančią įdiegti saugos funkcijas nuo kodo iki debesies. CNAPP strategija apima šią geriausią praktiką:
a. Naudodami „DevOps“ nuo pat pradžių pirmenybę teikite saugai. Sauga gali būti pamiršta, nes skubama kurti debesies programas. Kūrėjai turi paskatų verslo problemą spręsti greitai, ir gali pritrūkti debesų saugos įgūdžių. Todėl gali daugėti programų be atitinkamų duomenų autorizavimo taisyklių. API tapo pagrindiniu įsilaužėlių taikiniu, nes organizacijos dažnai negali jų sekti dėl debesijos programų kūrimo spartos. „Gartner“ identifikuoja „API plitimą“ kaip didėjančią problemą, prognozuodama, kad iki 2025 m. bus valdoma mažiau nei pusė įmonės API („Gartner“). Todėl labai svarbu kuo greičiau įgyvendinti „DevSecOps“ strategiją.
b. Sustiprinkite debesies saugos padėtį ir ištaisykite netinkamas konfigūracijas. Netinkamos konfigūracijos yra dažniausia debesies pažeidimų priežastis – peržiūrėkite „Cloud Security Alliance“ dažniausiai pasitaikančias neteisingas saugos grupių nustatymo konfigūracijas. Nors tai, kad saugojimo ištekliai yra atviri visuomenei, yra dažniausia baimė, kurią girdime, vyriausieji informacijos apsaugos pareigūnai taip pat nurodo kitas nepriežiūros sritis: neįgalų stebėjimą ir registravimą, pernelyg didelius leidimus, neapsaugotas atsargines kopijas ir kt. Šifravimas yra svarbus apsidraudimas nuo netinkamo valdymo ir labai svarbus mažinant išpirkos reikalaujančių programų riziką. Debesies saugos būsenos valdymo įrankiai siūlo dar vieną gynybos liniją, stebint debesies išteklius dėl ekspozicijų ir netinkamų konfigūracijų prieš pažeidimą, kad galėtumėte aktyviai sumažinti atakos pažeidžiamas sritis.
c. Automatizuokite incidentų aptikimą, reagavimą į juos ir jų analizę. Nustatyti ir ištaisyti netinkamas konfigūracijas yra puiku, tačiau taip pat turime užtikrinti, kad turėtume įrankius ir procesus, skirtus aptikti atakas, dėl kurių nepavyksta apsiginti. Čia gali padėti grėsmių aptikimo ir reagavimo valdymo įrankiai.
d. Tinkamai valdykite prieigą. Kelių dalių autentifikavimas, bendroji autentifikacija, vaidmenimis grindžiamas prieigos valdymas, leidimų valdymas ir sertifikavimas padeda valdyti dvi didžiausias debesies saugos rizikas: vartotoją ir netinkamai sukonfigūruotas skaitmenines savybes. Mažiausia prieiga yra debesies infrastruktūros teisių valdymo (CIEM) geriausia praktika. Kai kurie lyderiai pasikliauja tapatybės prieigos valdymu arba teisių valdymo sprendimu, kad įdiegtų aktyvią saugos kontrolę. Vienas finansinių paslaugų lyderis remiasi debesijos prieigos saugos brokeriu (CASB) kaip „pagrindine apsidraudžiamąja priemone“, kad galėtų valdyti organizacijos SaaS paslaugas ir kontroliuoti savo vartotojus bei duomenis. CASB veikia kaip tarpininkas tarp vartotojų ir debesijos programų, užtikrindamas matomumą ir užtikrindamas valdymo veiksmus per politiką, kad galėtų valdyti savo SaaS paslaugas ir kontroliuoti savo vartotojus bei duomenis. CASB veikia kaip tarpininkas tarp vartotojų ir debesies programų, užtikrindamas matomumą ir užtikrindamas valdymo veiksmų vykdymą per politiką.
Debesies programos apsaugos platforma, panaši į siūlomą „Microsoft Defender for Cloud“ , ne tik suteikia matomumą keliuose debesies ištekliuose, bet ir suteikia apsaugą visuose aplinkos sluoksniuose, stebint grėsmes ir susiejant įspėjimus su incidentais, integruojamais į jūsų SIEM. Tai supaprastina tyrimus ir padeda jūsų SOC komandoms aplenkti įvairių platformų įspėjimus.
Prevencija – tapatybės ir netinkamos konfigūracijos spragų šalinimas – kartu su patikimomis reagavimo į atakas priemonėmis padeda apsaugoti visą debesijos aplinką, pradedant įmonės tinklu ir baigiant debesijos tarnybomis.
Visapusiška saugos būsena prasideda nuo matomumo ir baigiasi prioritetiniu rizikos valdymu.
Perėjimas prie į debesį orientuotų IT ne tik atskleidžia organizacijai įgyvendinimo spragas, bet ir daugėja į tinklą sujungtų išteklių – įrenginių, programų, galinių punktų – taip pat atskleidžia debesies darbo krūvį. Saugos lyderiai valdo savo būseną šioje aplinkoje be perimetro, naudodamiesi technologijomis, kurios užtikrina matomumą ir prioritetinį atsaką. Šie įrankiai padeda organizacijoms susieti turto inventorių, apimantį visą atakos paviršių, apimantį valdomus ir nevaldomus įrenginius tiek organizacijos tinkle, tiek už jo ribų. Naudodamiesi šiais ištekliais, informacijos apsaugos pareigūnai gali įvertinti kiekvieno turto saugos padėtį ir jo vaidmenį versle, kad sukurtų prioritetinį rizikos modelį.
Bendraudami su saugos lyderiais pastebime, kad nuo perimetru grindžiamos saugos pereinama prie saugos nuostatomis grindžiamo požiūrio, kuris apima ekosistemą be sienų.
Kaip teigia vienas informacijos apsaugos pareigūnas: „Man ši būsena atitinka tapatybę... Mes į tai žiūrime ne tik kaip į seną tradicinę būseną, kur yra perimetras, bet judame iki pat galo.“ (Komunalinės paslaugos – vanduo, 1 390 darbuotojų). „Tapatybė tapo nauju perimetru“, – komentuoja „FinTech“ vyriausiasis informacijos apsaugos pareigūnas, klausdamas: „Ką reiškia tapatybė šiame naujame modelyje, kuriame nėra nei išorės, nei vidaus?“ („FinTech“, 15 000 darbuotojų).
Atsižvelgiant į šią porėtą aplinką, vyriausieji informacijos apsaugos pareigūnai supranta visapusiško būsenos valdymo skubumą, tačiau daugelis abejoja, ar jie turi išteklių ir skaitmeninio brandumo, kad šią viziją įgyvendintų praktikoje. Laimei, derinant pramonės patikrintas sistemas (atnaujintas atsižvelgiant į šiandienos poreikius) ir saugos naujoves, išsamus būsenos valdymas yra pasiekiamas daugumai organizacijų.
Gaukite įrankių savo kibernetinėje infrastruktūroje, leidžiančių atlikti turto inventorizaciją. Antra, pažvelkite, kuris iš jų yra kritinis, kuris kelia didžiausią riziką organizacijai, ir supraskite, kokie yra galimi šių įrenginių pažeidžiamumai, ir nuspręskite, ar tai priimtina – ar man reikia tai pataisyti, ar izoliuoti.
Ken Malcolmson, „Microsoft“ vykdomasis saugos patarėjas
Štai keletas geriausios praktikos pavyzdžių ir įrankių, kuriuos saugos lyderiai naudoja tvarkydami savo būseną atviroje, į debesį orientuotoje aplinkoje:
1. Pasiekite visapusišką matomumą naudodami išteklių inventorių.
Matomumas yra pirmasis holistinio būsenos valdymo žingsnis. Vyriausieji informacijos apsaugos pareigūnai klausia: „Ar mes apskritai žinome, ką turime kaip pirmą žingsnį? Ar mes išvis turime matomumą prieš perduodant vadovybei?“ Rizikos turto inventorizacija apima IT išteklius, pvz., tinklus ir programas, duomenų bazes, serverius, debesų ypatybes, daiktų interneto ypatybes, taip pat šioje skaitmeninėje infrastruktūroje saugomus duomenis ir IP išteklius. Daugelyje platformų, pvz., „Microsoft 365“ arba „Azure“, yra įmontuoti išteklių inventorizacijos įrankiai, kurie gali padėti jums pradėti.
Matomumas yra pirmasis holistinio būsenos valdymo žingsnis. Vyriausieji informacijos apsaugos pareigūnai klausia: „Ar mes apskritai žinome, ką turime kaip pirmą žingsnį? Ar mes išvis turime matomumą prieš perduodant vadovybei?“ Rizikos turto inventorizacija apima IT išteklius, pvz., tinklus ir programas, duomenų bazes, serverius, debesų ypatybes, daiktų interneto ypatybes, taip pat šioje skaitmeninėje infrastruktūroje saugomus duomenis ir IP išteklius. Daugelyje platformų, pvz., „Microsoft 365“ arba „Azure“, yra įmontuoti išteklių inventorizacijos įrankiai, kurie gali padėti jums pradėti.
2. Įvertinkite pažeidžiamumą ir išanalizuokite riziką.
Kai organizacija turi išsamų turto inventorių, galima analizuoti riziką tiek vidinio pažeidžiamumo, tiek išorinių grėsmių atžvilgiu. Šis žingsnis labai priklauso nuo konteksto ir yra unikalus kiekvienai organizacijai – patikimas rizikos vertinimas priklauso nuo tvirtos saugos, IT ir duomenų komandų partnerystės. Ši daugiafunkcė komanda savo analizėje naudoja automatinius rizikos vertinimo ir prioritetų nustatymo įrankius, pvz., rizikos prioritetų nustatymo įrankius, integruotus į „Microsoft Entra ID“, „Microsoft Defender XDR“ ir „Microsoft 365“. Automatizuotos rizikos vertinimo ir prioritetų nustatymo technologijos taip pat gali apimti ekspertų rekomendacijas, kaip pašalinti spragas, ir kontekstinę informaciją, kad būtų galima veiksmingai reaguoti į grėsmes.
Kai organizacija turi išsamų turto inventorių, galima analizuoti riziką tiek vidinio pažeidžiamumo, tiek išorinių grėsmių atžvilgiu. Šis žingsnis labai priklauso nuo konteksto ir yra unikalus kiekvienai organizacijai – patikimas rizikos vertinimas priklauso nuo tvirtos saugos, IT ir duomenų komandų partnerystės. Ši daugiafunkcė komanda savo analizėje naudoja automatinius rizikos vertinimo ir prioritetų nustatymo įrankius, pvz., rizikos prioritetų nustatymo įrankius, integruotus į „Microsoft Entra ID“, „Microsoft Defender XDR“ ir „Microsoft 365“. Automatizuotos rizikos vertinimo ir prioritetų nustatymo technologijos taip pat gali apimti ekspertų rekomendacijas, kaip pašalinti spragas, ir kontekstinę informaciją, kad būtų galima veiksmingai reaguoti į grėsmes.
3. Teikite pirmenybę rizikos ir saugos poreikiams atlikdami verslo rizikos modeliavimą.
Aiškiai suprasdamos rizikos aplinką, techninės komandos gali dirbti su verslo lyderiais, kad pirmenybė būtų teikiama saugos intervencijoms, atsižvelgiant į verslo poreikius. Apsvarstykite kiekvieno turto elemento vaidmenį, jo vertę verslui ir riziką verslui, jei kyla pavojus, ir užduokite tokius klausimus: „Kiek jautri yra ši informacija ir koks būtų jos poveikio verslui poveikis?“ arba „Kiek svarbios yra šios sistemos – koks būtų prastovų poveikis verslui?“ „Microsoft“ siūlo įrankius, padedančius visapusiškai identifikuoti pažeidžiamumą ir nustatyti jo prioritetus pagal verslo rizikos modeliavimą, įskaitant „Microsoft“ saugos įvertinimas, „Microsoft“ atitikties įvertinimas, „Azure“ saugos įvertinimas, „Microsoft Defender“ išorinių atakų pažeidžiamų sričių valdymas ir „Microsoft Defender“ pažeidžiamumų valdymas.
Aiškiai suprasdamos rizikos aplinką, techninės komandos gali dirbti su verslo lyderiais, kad pirmenybė būtų teikiama saugos intervencijoms, atsižvelgiant į verslo poreikius. Apsvarstykite kiekvieno turto elemento vaidmenį, jo vertę verslui ir riziką verslui, jei kyla pavojus, ir užduokite tokius klausimus: „Kiek jautri yra ši informacija ir koks būtų jos poveikio verslui poveikis?“ arba „Kiek svarbios yra šios sistemos – koks būtų prastovų poveikis verslui?“ „Microsoft“ siūlo įrankius, padedančius visapusiškai identifikuoti pažeidžiamumą ir nustatyti jo prioritetus pagal verslo rizikos modeliavimą, įskaitant „Microsoft“ saugos įvertinimas, „Microsoft“ atitikties įvertinimas, „Azure“ saugos įvertinimas, „Microsoft Defender“ išorinių atakų pažeidžiamų sričių valdymas ir „Microsoft Defender“ pažeidžiamumų valdymas.
4. Sukurkite būsenos valdymo strategiją.
Turto inventorizacija, rizikos analizė ir verslo rizikos modelis yra visapusiško būsenos valdymo pagrindas. Šis matomumas ir įžvalgos padeda saugos komandai nustatyti, kaip geriausiai paskirstyti išteklius, kokias griežtinimo priemones reikia taikyti ir kaip optimizuoti kompromisą tarp rizikos ir tinkamumo naudoti kiekvienam tinklo segmentui.
Turto inventorizacija, rizikos analizė ir verslo rizikos modelis yra visapusiško būsenos valdymo pagrindas. Šis matomumas ir įžvalgos padeda saugos komandai nustatyti, kaip geriausiai paskirstyti išteklius, kokias griežtinimo priemones reikia taikyti ir kaip optimizuoti kompromisą tarp rizikos ir tinkamumo naudoti kiekvienam tinklo segmentui.
Būsenos valdymo sprendimai siūlo matomumo ir pažeidžiamumo analizę, kuri padeda organizacijoms suprasti, kur sutelkti savo būsenos gerinimo pastangas. Naudodamiesi šia įžvalga, jie gali nustatyti svarbias savo atakos pažeidžiamas sritis ir nustatyti jų prioritetus.
Remkitės nuliniu pasitikėjimu ir higiena, kad suvaldytumėte nepaprastai įvairią IoT ir OT aplinką
Du mūsų aptarti iššūkiai – debesies diegimo spraga ir prie debesies prijungtų įrenginių skaičiaus didėjimas – sukuria puikią rizikos audrą daiktų interneto ir daiktų interneto įrenginių aplinkoje. Be IoT ir OT įrenginių sukurtos išplėstos atakos pažeidžiamos srities rizikos, saugos vadovai man sako, kad jie bando racionalizuoti atsirandančių IoT ir senųjų OT strategijų konvergenciją. IoT gali būti sukurti debesijai, tačiau šie įrenginiai dažnai teikia pirmenybę verslo tikslingumui, o ne pamatinei saugai; OT paprastai yra pardavėjo valdoma sena įranga, sukurta be šiuolaikinės saugos ir įdiegta ad hoc organizacijos IT tinkle.
IoT ir OT įrenginiai padeda organizacijoms modernizuoti darbo vietas, tapti labiau valdomomis duomenimis ir palengvinti darbuotojams keliamus reikalavimus per strateginius poslinkius, pvz., nuotolinį valdymą ir automatizavimą. Tarptautinė duomenų korporacija (IDC) apskaičiavo, kad iki 2025 m. bus 41,6 milijardo prijungtų daiktų interneto įrenginių, o šis augimo tempas viršys tradicinių IT įrenginių augimo tempą.
Tačiau su šia galimybe kyla didelė rizika. Mūsų 2022 m. gruodžio mėn. ataskaitoje „Kibernetiniai signalai“ „IT ir operacinių technologijų konvergencija“buvo nagrinėjama šių technologijų keliama rizika ypatingos svarbos infrastruktūros objektams.
Pagrindinės išvados:
1. 75 proc. labiausiai paplitusių pramoninių valdytojų klientų OT tinkluose turi nesutaisytų, didelės svarbos pažeidžiamumų.
2. Nuo 2020 m. iki 2022 m. populiarių pardavėjų gaminamos pramoninės valdymo įrangos didelio sunkumo pažeidžiamumų atskleidimas padidėjo 78 proc.
3. Daugelyje internete viešai matomų įrenginių veikia nepalaikoma programinė įranga. Pavyzdžiui, pasenusi programinė įranga „Boa“ vis dar plačiai naudojama daiktų interneto įrenginiuose ir programinės įrangos kūrimo rinkiniuose (SDK).
IoT įrenginiai dažnai yra silpniausia skaitmeninio turto grandis. Kadangi jie nėra valdomi, atnaujinami ar pataisomi taip, kaip tradiciniai IT įrenginiai, jie gali būti patogūs vartai užpuolikams, siekiantiems įsiskverbti į IT tinklą. Pasiekti daiktų interneto įrenginiai yra pažeidžiami nuotolinio kodo vykdymo. Įsilaužėlis gali įgyti kontrolę ir išnaudoti pažeidžiamumą, kad galėtų implantuoti botnetus ar kenkėjišką programinę įrangą daiktų interneto įrenginyje. Tuo metu įrenginys gali tarnauti kaip atviros durys visam tinklui.
Operacinių technologijų prietaisai kelia dar grėsmingesnę riziką, o daugelis jų yra kritiškai svarbūs organizacijos veiklai. Istoriškai neprisijungę arba fiziškai izoliuoti nuo įmonės IT tinklo, OT tinklai vis labiau maišomi su IT ir IoT sistemomis. Mūsų 2021 m. lapkričio mėn. tyrimas, atliktas su „Ponemon Institute“, „IoT / OT kibernetinės saugos būklė įmonėje“, parodė, kad daugiau nei pusė OT tinklų dabar yra prijungti prie įmonių IT (verslo) tinklų. Panaši dalis įmonių – 56 procentai – turi prie interneto prijungtus įrenginius savo OT tinkle tokiems scenarijams kaip nuotolinė prieiga.
„Beveik kiekviena ataka, kurią matėme per pastaruosius metus, prasidėjo nuo pradinės prieigos prie IT tinklo, kuris buvo pritaikytas OT aplinkai.“
David Atch, „Microsoft“ grėsmių žvalgybos, IoT/OT saugos tyrimų vadovas
OT ryšys kelia organizacijoms didelių sutrikimų ir prastovų pavojų atakos atveju. OT dažnai yra verslo pagrindas, suteikiantis įsilaužėliams viliojantį tikslą, kurį jie gali išnaudoti, kad padarytų didelę žalą. Patys prietaisai gali būti paprasti taikiniai, nes juose dažnai naudojama apleista ar sena įranga, kuri nėra saugi pagal dizainą, yra senesnė už šiuolaikinę saugos praktiką ir gali turėti patentuotus protokolus, kurie išvengia matomumo naudojant standartines IT stebėjimo priemones. Įsilaužėliai linkę naudotis šiomis technologijomis atrasdami atviras internetines sistemas, įgydami prieigą per darbuotojų prisijungimo duomenis arba pasinaudodami trečiųjų šalių tiekėjams ir rangovams suteikta prieiga. Nestebimi ICS protokolai yra vienas iš bendrų OT specifinių atakų pradžios taškų (2022 m. „Microsoft“ skaitmeninės gynybos ataskaita).
Siekdami išspręsti unikalų DI ir ON saugos valdymo iššūkį šiame mišriame skirtingų įrenginių, įvairiais būdais sujungtų su IT tinklu, spektre, saugos lyderiai vadovaujasi šia geriausia praktika:
1. Pasiekite visapusišką įrenginio matomumą.
Suprasti visą turtą, kurį turite tinkle, kaip viskas yra tarpusavyje susiję, ir verslo riziką bei riziką, susijusią su kiekvienu prisijungimo tašku, yra esminis veiksmingo daiktų IoT / OT valdymo pagrindas. Į IoT ir OT atsižvelgiantis tinklo aptikimo ir atsako (NDR) sprendimas ir SIEM, pvz., „Microsoft Sentinel“, taip pat gali padėti geriau matyti IoT / OT įrenginius jūsų tinkle ir stebėti, ar jie veikia neįprastai, pvz., bendrauja su nepažįstamais pagrindiniais kompiuteriais. (Daugiau informacijos apie pažeidžiamų ICS protokolų valdymą žr. „Unikali IoT įrenginių saugos rizika“, „Microsoft“ sauga).
Suprasti visą turtą, kurį turite tinkle, kaip viskas yra tarpusavyje susiję, ir verslo riziką bei riziką, susijusią su kiekvienu prisijungimo tašku, yra esminis veiksmingo daiktų IoT / OT valdymo pagrindas. Į IoT ir OT atsižvelgiantis tinklo aptikimo ir atsako (NDR) sprendimas ir SIEM, pvz., „Microsoft Sentinel“, taip pat gali padėti geriau matyti IoT / OT įrenginius jūsų tinkle ir stebėti, ar jie veikia neįprastai, pvz., bendrauja su nepažįstamais pagrindiniais kompiuteriais. (Daugiau informacijos apie pažeidžiamų ICS protokolų valdymą žr. „Unikali IoT įrenginių saugos rizika“, „Microsoft“ sauga).
2. Segmentuokite tinklus ir naudokite nulinio pasitikėjimo principus.
Jei įmanoma, segmentuokite tinklus, kad užpuolimo atveju būtų slopinamas šoninis judėjimas. IoT įrenginiai ir OT tinklai turi būti izoliuoti nuo įmonės IT tinklo per užkardas. Vis dėlto taip pat svarbu laikyti, kad jūsų OT ir IT yra suvienodintos, ir sukurti nulinio pasitikėjimo protokolus visoje atakos pažeidžiamoje srityje. Vis dažniau tinklo segmentavimas neįmanomas. Pavyzdžiui, reguliuojamoms organizacijoms, tokioms kaip sveikatos priežiūra, komunalinės paslaugos ir gamyba, OT-IT ryšys yra pagrindinė verslo funkcija, pavyzdžiui, mamografijos aparatai ar išmanieji MRT, jungiantys prie elektroninių sveikatos įrašų (EHR) sistemų; išmaniosios gamybos linijos ar vandens valymas, reikalaujantis nuotolinio stebėjimo. Tokiais atvejais nulinis pasitikėjimas yra kritiškai svarbus.
Jei įmanoma, segmentuokite tinklus, kad užpuolimo atveju būtų slopinamas šoninis judėjimas. IoT įrenginiai ir OT tinklai turi būti izoliuoti nuo įmonės IT tinklo per užkardas. Vis dėlto taip pat svarbu laikyti, kad jūsų OT ir IT yra suvienodintos, ir sukurti nulinio pasitikėjimo protokolus visoje atakos pažeidžiamoje srityje. Vis dažniau tinklo segmentavimas neįmanomas. Pavyzdžiui, reguliuojamoms organizacijoms, tokioms kaip sveikatos priežiūra, komunalinės paslaugos ir gamyba, OT-IT ryšys yra pagrindinė verslo funkcija, pavyzdžiui, mamografijos aparatai ar išmanieji MRT, jungiantys prie elektroninių sveikatos įrašų (EHR) sistemų; išmaniosios gamybos linijos ar vandens valymas, reikalaujantis nuotolinio stebėjimo. Tokiais atvejais nulinis pasitikėjimas yra kritiškai svarbus.
3. Naudokitės IoT / OT saugos valdymo higiena.
Apsaugos komandos gali užpildyti spragas taikydamos tam tikrą pagrindinę higienos praktiką, pvz.:
Apsaugos komandos gali užpildyti spragas taikydamos tam tikrą pagrindinę higienos praktiką, pvz.:
- Nereikalingų interneto jungčių ir atvirų prievadų panaikinimas, nuotolinės prieigos apribojimas arba uždraudimas ir VPN paslaugų naudojimas
- Įrenginio saugos valdymas taikant pataisas ir keičiant numatytuosius slaptažodžius bei prievadus
- Užtikrinimas, kad ICS protokolai nebūtų tiesiogiai matomi internete
Veiksmingų patarimų, kaip pasiekti šį įžvalgos ir valdymo lygį, ieškokite „Unikali daiktų IoT / OT įrenginių rizika“, „Microsoft Security Insider“.
Praktiškai pritaikomos įžvalgos
1. Naudokite į IoT / OT atsižvelgiantį tinklo aptikimo ir reagavimo (NDR) sprendimą ir saugos informacijos ir įvykių valdymo (SIEM) / saugos organizavimo ir reagavimo (SOAR) sprendimą, kad geriau matytumėte IoT / OT įrenginius savo tinkle, stebėkite, ar įrenginiuose nėra neįprasto ar neleistino elgesio, pvz., bendravimo su nepažįstamais pagrindiniais kompiuteriais
2. Apsaugokite inžinerines stotis stebėdami galinio taško aptikimo ir atsako (EDR) sprendimais
3. Sumažinkite atakos pažeidžiamą sritį pašalindami nereikalingus interneto jungtis ir atvirus prievadus, apribodami nuotolinę prieigą blokuodami prievadus, nesuteikdami nuotolinės prieigos ir naudodami VPN tarnybas
4. Įsitikinkite, kad ICS protokolai nėra tiesiogiai matomi internete
5. Segmentuokite tinklus, kad apribotumėte įsilaužėlių galimybę judėti horizontaliai ir pažeisti išteklių saugą įvykdžius pradinį įsilaužimą. IoT įrenginiai ir OT tinklai turėtų būti atskirti nuo įmonės IT tinklų naudojant užkardas
6. Užtikrinkite, kad įrenginiai būtų patikimi įdiegdami pataisas, pakeisdami numatytuosius slaptažodžius ir prievadus
7. Darykite prielaidą, kad jūsų OT ir IT yra susijungę, ir į atakos pažeidžiamą sritį įtraukite „nulinio pasitikėjimo“ protokolus
8. Užtikrinti OT ir IT organizacinį suderinamumą skatinant didesnį matomumą ir komandų integraciją
9. Visada laikykitės geriausios ioT / OT saugos praktikos, pagrįstos pamatine grėsmių žvalgybos informacija
Saugos vadovams naudojantis galimybe racionalizuoti savo skaitmeninį turtą didėjant grėsmėms ir spaudimui padaryti daugiau su mažesniais ištekliais, debesija tampa šiuolaikinės saugos strategijos pagrindu. Kaip matome, į debesiją orientuoto požiūrio nauda gerokai viršija riziką, ypač toms organizacijoms, kurios taiko geriausią savo debesijos aplinkų valdymo praktiką, pasitelkdamos tvirtą debesijos saugos strategiją, išsamų padėties valdymą ir konkrečias taktikas, skirtas spragoms ioT / OT srityje šalinti.
Kitame numeryje rasite daugiau saugos analizės ir įžvalgų. Ačiū, kad skaitėte „CISO Insider“!
Veiksmingų patarimų, kaip pasiekti šį įžvalgos ir valdymo lygį, ieškokite „Unikali daiktų IoT / OT įrenginių rizika“, „Microsoft Security Insider“.
Atliekant kiekybinius ir kokybinius tyrimus, visuose cituojamuose „Microsoft“ tyrimuose naudojamos nepriklausomos tyrimų įmonės, kurios susisiekia su saugos specialistais, taip užtikrinant privatumo apsaugą ir analitinį tikslumą. Į šį dokumentą įtrauktos citatos ir išvados, jei nenurodyta kitaip, yra „Microsoft“ tyrimų rezultatas.
Stebėkite „Microsoft“ saugą