Trace Id is missing

CISO Insider: Utgave 1

En mann som ser på et nettbrett i en lagerbygning.

Finn frem i dagens trussellandskap med eksklusiv analyse og anbefalinger fra sikkerhetsledere

Jeg er Rob Lefferts, og jeg leder de tekniske teamene i Microsoft 365-sikkerhet. Teamet mitt, og Microsoft-sikkerhetsteamet vi jobber med, har nådeløst fokus på å avdekke og bekjempe de nyeste trusseltrendene som selskapet, kundene og hele det globale fellesskapet står overfor.

Til nå har vi holdt trusselorienteringene internt, men vi har bestemt oss for å dele dem med offentligheten i form av CISO Insider. Målet er å styrke organisasjoner i hele verden med den mest oppdaterte sikkerhetsinnsikten og -veiledningen, slik at de kan beskytte seg selv og kundene mot nettkriminalitet på en mer effektiv måte.

Utgave 1 starter med tre emner som mange av oss er opptatt av:

  • Angrepstrender: Selv om angrepene endrer seg, gir grunnleggende sikkerhet fremdeles verdifull beskyttelse
  • Risikoen ved å drive forretninger: Behandle trusler mot forsyningskjeden
  • Nye tilnærminger til tiltak mot mangel på cybersikkerhetseksperter

Etter COVID-19 har organisasjoner i økende grad vært avhengige av fleksibilitet på arbeidsplassen og en fremskyndet digital transformasjon, og disse endringene har naturligvis krevd noen endringer i sikkerhetstaktikken også. Perimeteren er utvidet og stadig mer hybrid og spenner seg over flere skyer og plattformer. Selv om ny teknologi har vært en velsignelse for mange organisasjoner og har gjort det mulig med produktivitet og vekst selv i utfordrende tider, har skiftet også bydd på en mulighet for nettkriminelle, som prøver å utnytte sårbarhetene i stadig mer komplekse digitale miljøer.

Økningen i phishing-angrep knyttet til fjernarbeid er en av de største bekymringene for sikkerhetsekspertene jeg snakker med – og vi ser dette gjenspeilet i forskningen. I en Microsoft-undersøkelse av sikkerhetsledere utført i 2020 sa 55 prosent at organisasjonene deres hadde sett en økning i phishing-angrep siden begynnelsen av pandemien, og 88 prosent sa at phishing-angrep hadde berørt organisasjonen. Jeg hørte også jevnlig om stadig flere løsepengevirusangrep, den konstante trusselen fra skadelig programvare, og hvordan kompromitterte identiteter er en stadig og alvorlig utfordring for sikkerhetsteamene.

I tillegg vet vi at angrep fra nasjonalstater er stadig mer aggressive og vedvarende. NOBELIUM-angrepet på forsyningskjedersom utnyttet SolarWinds-plattformen, var en av de mange nye angrepene som har laget overskrifter det siste året. Mens det ofte er fancy nye teknikker som havner i nyhetene, forteller informasjonssikkerhetsledere meg stadig at selv disse avanserte trusselaktørene, i likhet med de fleste nettkriminelle, har en tendens til å konsentrere seg om angrep med høyt utbytte og lave kostnader når anledningen byr seg.

«Hvis nasjonalstater skal angripe meg og selskapet mitt, er det som å bli truffet av lynet. Det kan skje, jeg bekymrer meg for det, men ikke like mye som jeg bekymrer meg for mine daglig aktiviteter, den grunnleggende sikkerheten.»
Informasjonssikkerhetsleder innen finansielle tjenester

For å illustrere dette punktet ytterligere: Vi har sett en økning i angrep fra nasjonalstater med passordspray. Å være sikkerhetsleder dreier seg om å håndtere risiko og prioritere, og mange ledere forteller meg at de prioriterer å styrke cyberhygienen for å forhindre de vanligste angrepene, særlig på tvers av det stadig større digitale fotavtrykket. Og våre data og forskning støtter denne oppfatningen – vi anslår at grunnleggende sikkerhetshygiene fortsatt beskytter mot 98 prosent av angrep (se side 124 i Microsoft-rapport om digitalt forsvar, oktober 2021).

De fleste sikkerhetsledere jeg snakker med, er enige om de grunnleggende trinnene for en sikkerhetsstrategi:

  • Ta i bruk flerfaktorautentisering og en registreringspolicy
  • Få synlighet i miljøet
  • Lære opp brukere
  • Ha kontroll på sikkerhetsoppdateringer og håndtering av trusler og sikkerhetsproblemer
  • Administrere og beskytte alle enheter
  • Sikre konfigurasjoner av lokale ressurser og skyressurser og arbeidsbelastninger
  • Sørge for sikkerhetskopier i tilfelle det blir behov for gjenoppretting, skulle det verste skje
«Når det kommer til stykket, er det som oftest ... et dårlig passord på en privilegert konto, eller at noen ikke tok i bruk et sertifikat på et bestemt endepunkt.»
Informasjonssikkerhetsleder innen helsetjenester

Du tenker kanskje at det er lett å snakke om grunnleggende sikkerhetstrinn, men det er mye vanskeligere å innføre dem i virkeligheten, særlig når teamet er overarbeidet og underbemannet. Men jeg vil påstå at å være sikkerhetsleder er å håndtere både risiko og prioritering, og da er den pragmatiske tilnærmingen å fokusere på det grunnleggende. Altfor ofte er ikke sikkerhetshendelser et spørsmål om HVIS, men NÅR. Det finnes hundrevis av skremmende statistikk over cybersikkerhet, for eksempel at 4000 nettkriminelle angrep utføres hver dag bare i USA, og at mer enn 30 000 nettsteder verden rundt hackes daglig.

Jeg mener det beste forsvaret er å bruke en balansert tilnærming og investere i oppdagelse og svar sammen med forebygging.

Selv om det kan virke vanskelig å investere i nye forekomster av forebygging samtidig med å prøve å holde tritt med økende krav til oppdagelse og svar, er det både viktige og nyttig å finne den riktige balansen mellom de to. En undersøkelse utført av Ponemon Institute og IBM Security i 2021 avdekket at for organisasjoner uten noe team for svar på hendelser eller en plan på plass endte databrudd med å koste 55 prosent mer. Sikkerhetsteam som kan balansere solid forebygging med en strategi som omfatter svar på hendelser og investering i verktøy for oppdagelse og utbedring, stiller sterkt når det uunngåelige skjer.

Hovedpunktet?

Ta en balansert tilnærming – få på plass det grunnleggende og ha en plan for mulige sikkerhetsbrudd.
  • Å investere i grunnleggende hygiene og utvide dette til det voksende digitale miljøet er en viktig strategi for å beskytte selskapet mot angrep i første omgang.
  • Selv om de store angrepene ikke er en dagligdags hendelse, er det viktig å være forberedt og klar. Selv om det grunnleggende er viktig, sørger fremsynte organisasjoner for en grundig og godt utprøvd plan for hva som skal skje ved et sikkerhetsbrudd.

Og videre til det neste viktige emnet for informasjonssikkerhetsledere for tiden: forsyningskjeder og de reelle truslene de medfører. Det er i dag en realitet for bedrifter at det er nødvendig med forbedring av sikkerhetsperimeteren utenfor sikkerhetsorganisasjonen og IT, på grunn av en stadig mer tilkoblet og komplisert forsyningskjede. En rapport fra Sonatype fra september 2021 avdekket en 650 prosents økning per år i angrep på forsyningskjeder fra 2020.

Ja, du leste riktig – 650 %!

Og nye realiteter innen forretninger – blant annet hybridarbeid og alle slags forstyrrelser av forsyningskjeden, som berører alle bransjer – har flyttet grensen for sikkerhet og identitet enda lenger ut.
1013

Gjennomsnittlig antall vektorer i et selskaps forsyningskjede

Kilde: BlueVoyant,

«Informasjonssikkerhetsleder innen forsyningskjede», 2020

64 %

av forretninger hever å utkontraktere mer enn en fjerdedel av de daglige forretningsoppgavene til leverandører som trenger tilgang til forretningsdataene deres

Kilde: (ISC)2, «Sikring av partnerøkosystemet», 2019

Det er ikke rart at sikkerhetsledere vier større oppmerksomhet til risiko forbundet med forsyningskjeden. Alle ledd i forsyningskjeden er ikke bare helt nødvendige for driften av et selskap, men forstyrrelser i kjeden, uansett hvor, kan være skadelig på mange forskjellige måter.

Etter hvert som sikkerhetsledere utvider utkontrakteringen til leverandører av apper, infrastruktur og menneskelig kapital, ser de etter mer effektive strukturer og verktøy som kan hjelpe dem med å vurdere og redusere risikoen på tvers av flere lag med leverandører. For 650 prosent er et skummelt tall, og vi er alle mottakelige.

Informasjonssikkerhetsledere forteller meg at selv om tradisjonell bakgrunnssjekk kan være en effektiv måte å redusere risiko på under utvelgelsesprosessen eller under gjennomganger, finnes det iboende svakheter ved gjennomganger til faste tider, blant annet:

  • Prosessen for gjennomgang av leverandører er ofte bare et spørreskjema eller en «sjekkliste» som ikke tar for seg all risikoen forbundet med dagens forsyningskjeder.
  • Så snart en leverandør er inkludert, er det bare en fast gjennomgangssyklus, ofte årlig eller under fornyelse av kontrakten.
  • Forskjellige avdelinger i samme selskap har ofte forskjellige prosesser og funksjoner, men ingen åpenbar mulighet for å dele informasjon mellom de interne teamene.
«Viktige leverandører er dem vi er avhengige av i stor grad, eller dem som støtter oss mest i å oppnå målene våre. En forstyrrelse hos noen av disse leverandørene vil ha en betydelig negativ innvirkning på organisasjonen vår.»
Informasjonsleder innen forskning

Disse tiltakene betyr at organisasjoner simpelthen ikke kan håndheve overholdelse av regler og standarder og redusere risiko i sanntid. Som et resultat av dette er det mye vanskeligere for sikkerhetsteam å svare på uvanlige virkemåter, for eksempel sette kompromittert ekstern programvare i karantene eller blokkere lekket administratorlegitimasjon fra å få tilgang til nettverkene deres. Hvis nylige angrep har lært oss noe som helst, er det at selv den beste cybersikkerhetshygienen og innsatsen for det grunnleggende for å identifisere, måle og redusere risiko, ikke helt kan fjerne muligheten til at det sniker seg trusler inn i forsyningskjeden.

«Vi har årlig statussjekk hos viktige leverandører, og avhengig av lagdelingen av leverandører kan vi komme tilbake annet hvert eller hvert tredje år og foreta en ny vurdering. Men en vurdering kan bare gi informasjon for et gitt tidspunkt. Det godkjenner ikke kontrollmiljøet året gjennom.»
Medlem av Microsoft Supply Chain Management Customer Advisory Board

Så hvordan kan man håndtere risiko til forsyningskjeden og samtidig være smidig og produktiv? Det viser seg at mange sikkerhetsledere tilnærmer seg trusler mot forsyningskjeden på samme måten som de gjør med cyberangrep – ved å fokusere på et sterkt grunnlag og forbedret synlighet.

Fordi det finnes så mange forskjellige typer risiko forbundet med leverandørøkosystemet, finnes det ingen klare standarder, anbefalte fremgangsmåter eller engang teknologi til å håndtere dem. Imidlertid benytter mange sikkerhetsledere seg av en nulltillitsmodell for å redusere risiko og beskytte mot sårbarhetene som alltid ligger bak trusler mot forsyningskjeden, blant annet kompromittert legitimasjon hos tredjepartsbrukere, enheter infisert med skadelig programvare, skadelig kode med mer.

Nulltillit er en proaktiv, integrert tilnærming til sikkerhet på tvers av alle lag i den digitale eiendommen som eksplisitt og kontinuerlig kontrollerer hver transaksjon, bruker minst privilegert tilgang, og bruker informasjon, avansert oppdagelse og svar på trusler i sanntid.

Vi hører stadig fra sikkerhetsledere at de har kunnet redusere innvirkningen av større angrep på forsyningskjeden og forbedre effektiviteten generelt til forsyningskjedeoperasjoner ved å iverksette robuste nulltillitsstrategier. Faktisk, i henhold til en nylig undersøkelse av Ponemon Institute og IBM Security, så organisasjoner med moden utrulling av nulltillit rundt 40 prosent lavere kostnad enn gjennomsnittet ved sikkerhetsbrudd enn dem uten nulltillit rullet ut.
«Nulltillit har gjort oss i stand il å skape en struktur og utvikle tilgangsmetoder for å beskytte alle de viktigste ressursene i organisasjonen.»
Beslutningstaker innen helsetjenestesikkerhet
«Jeg vil si at vi har sjekket kompassnålen, og fra et kontrollperspektiv lener den mer mot nulltillit. Istedenfor muligens å stille en hel masse spørsmål og deretter prøve å håndtere ‘hvordan styrer jeg alt innenfor dette bestemte omfanget’, gjør jeg det motsatte og starter med ingenting og bare åpner opp akkurat det jeg trenger. Så jeg mener ... nulltillit får nytt liv i bransjen.»
Informasjonssikkerhetsleder innen produksjon av konsumvarer

Anta sikkerhetsbrudd

Mens de to første prinsippene er med på å redusere sjansen for kompromittering, vil det å anta sikkerhetsbrudd hjelpe organisasjoner med å forberede seg på rask oppdagelse og svar ved å utvikle prosesser og systemer som om det allerede har skjedd. I praksis betyr dette å bruke redundante sikkerhetsmekanismer, samle inn systemtelemetri, bruke det til å oppdage avvik, og der det er mulig, koble denne innsikten til automatisering som gjør at du kan forhindre, svare og utbedre nærmest i sanntid. Informasjonssikkerhetsledere sier at de investerer i å ta i bruk robuste overvåkingssystemer som kan hjelpe dem med å oppdage endringer i miljøet, for eksempel en kompromittert IoT-enhet som forsøker å åpne unødige forbindelser til andre enheter, for raskt å identifisere og begrense et angrep.

Ledere jeg snakker med om nulltillit er enige i at det er en flott struktur for å opprette en grunnleggende cyberhygiene – og det omfatter administrasjon av forsyningskjede.

La oss kikke på hvordan sikkerhetsledere bruker nulltillitsprinsipper til å beskytte forsyningskjedene.

Eksplisitt bekreftelse

Eksplisitt bekreftelse betyr at vi burde undersøke alle relevante aspekter av tilgangsforespørsler istedenfor å anta tillit basert på en svak forsikring som nettverksplassering. Når det gjelder forsyningskjeder, pleier angripere å utnytte hull i eksplisitt bekreftelse, for eksempel å finne privilegerte leverandørkontoer som ikke er beskyttet med flerfaktorautentisering, eller som injiserer skadelig kode i et klarert program. Sikkerhetsteam styrker bekreftelsesmetodene og utvider kravene til sikkerhetspolicy til tredjepartsbrukere.

Bruk minst privilegert tilgang

Når du har oppnådd det første prinsippet, er minst privilegert tilgang med på å sikre at tillatelser bare blir gitt for å oppfylle bestemte forretningsmål fra det riktige miljøet og på riktige enheter. Dette er med på å redusere muligheten for lateral bevegelse ved å begrense i hvor stor grad en kompromittert ressurs (bruker, endepunkt, app eller nettverk) har tilgang til andre i miljøet. Sikkerhetsledere forteller oss at de prioriterer å gi leverandører og tredjeparter bare den tilgangen de trenger, når de trenger den, og at de stadig undersøker og vurderer tilgangsforespørsler og policyer innenfor organisasjonens forsyningskjede for å minimere kontakt med viktige systemer og ressurser.

«Målet et å forbedre sikkerhetsstatusen generelt, men det handler om å redusere friksjon i sluttbrukeropplevelse og gjøre livet enklere for dem.»
Beslutningstaker innen serveringsbransjen

Hovedpunktet?

Det enorme antallet leverandører og utfordringer som ligger i utrullede forsyningskjeder, gjør det enda viktigere å administrere dem på en ordentlig måte. Etter nylige globale datainnbrudd er sikkerhetsledere ivrige etter å finne måter å redusere risikoen fra leverandører på, og nulltillitsprinsipper er en solid strategi og et solid system for å administrere økosystemet til forsyningskjeden.
  • En nulltillitstilnærming kan bidra til å sørge for at bare de riktige personene i organisasjonen får riktig tilgangsnivå, og samtidig øke både sikkerheten og produktiviteten hos sluttbrukere.
  • Det er mange måter å komme i gang med nulltillit på, men med tanke på leverandørøkosystemet og risikostyring bør innføring av flerfaktorautentisering være førsteprioritet.
  • Vurder modenhetsstadiet for nulltillit i organisasjonen, og få målrettet milepælveiledning samt en kuratert liste over ressurser og løsninger for å komme videre i nulltillitprosessen.

Vi har alle hørt om den store oppsigelsen. Over 40 prosent av den globale arbeidsstyrken vurderer å sutte i jobben i år, og sikkerhetsledere og teamene er allerede underbemannet. Jeg snakker ofte med informasjonssikkerhetsledere om hvordan ting går generelt, og en av de største bekymringene er hvordan de skal ha råd til, finne og beholde de beste ekspertene. Og hvis en ekspert slutter, må de enten finne en ny ekspert eller øke kompetansen til dem som er igjen. Mer effektiv, integrert og automatisert teknologi kan hjelpe, men det er ikke på langt nær nok.

Sikkerhetstermer har blitt en del av hverdagsspråket nå som cyberangrep ofte omtales i nyhetene – og disse angrepene (og nyhetene om dem) kan ha stor innvirkning på et selskap. Men gjett hva! Det er ikke bare dårlig nytt. Siden cybersikkerhet har blitt et vanlig tema i alle områder av en organisasjon, hører vi at «sikkerheten er alles jobb» begynner å gi gjenlyd i organisasjoner. Det er særlig nye modeller for hybridarbeid og sikkerhetsperimetere som utfordres på alle slags måter, som gjør at sikkerhetsledere i stadig større grad er avhengige av nyskapende måter å sørge for sikkerheten for alle på, selv med mangel på eksperter og kompetansehull. Det dreier seg ikke om «å gjøre mer med mindre», men «å gjøre mer med noe annet» for nytenkende sikkerhetsledere nå til dags.

«Det er en utfordring alle står overfor: Det er vanskelig å finne eksperter, det er vanskelig å beholde eksperter. Det er et tveegget sverd, at man utvikler ekspertise, bare for å gjøre eksperten for dyr, så der har vi en utfordring.»
Informasjonssikkerhetsleder innen juridiske tjenester

Det finnes ikke noe positivt med mangel på talent og kompetanse, men det finnes et lite lysglimt: å skape en sikkerhetskultur har blitt en realitet. Mange informasjonssikkerhetsledere forteller oss at en av de mest effektive måtene å angripe sikkerhetsutfordringer blant bemanningsproblemer på, er å utvikle en sikkerhetskultur der sikkerhet er alles jobb. Informasjonssikkerhetsledere går i økende grad inn for denne ideen om at hele organisasjonen kan ta ansvaret for sikkerhet, særlig når de står overfor bemanningsproblemer eller budsjettbegrensninger.

Utviklingsteam, systemadministratorer og, ja, sluttbrukere, må forstå sikkerhetspolicyene som angår dem. Det er viktig å dele informasjon, og sikkerhetsteam finner stadig nye måter å samarbeide med utviklere, administratorer og forretningsprosesseiere på for å forstå risiko og utvikle policyer og prosedyrer som gagner hele organisasjonen.

Mangel på eksperter og kompetansehull (særlig i cybersikkerhetsyrket, som stadig er i endring) betyr at informasjonssikkerhetsledere må se etter nye og innovative måter komme i forkant på. Én strategi vi stadig hører om, er utviklingen av «utnevnelse» av ansatte utenfor sikkerhetsteamet. Informasjonssikkerhetsledere ønsker å utnytte hele organisasjonen med særlig fokus på å lære opp sluttbrukere til å bli en del av løsningen og utvikle støtte fra nærliggende team.

En styrking og forbedring av sluttbrukernes kunnskaper om sikkerhetstrusler – for eksempel å sørge for at de forstår phishing og tegnene på diskré angrep – kan langt på vei øke rekkevidden til sikkerhetsteamets øyne og ører, særlig som en «spydspisstrategi» der sluttbrukere ofte er inngangspunktet for et angrep. Jeg sier ikke at sluttbrukere på magisk vis kan læres opp til å fange opp alt, men å ha forberedte og årvåkne brukere kan dramatisk redusere belastingen på sikkerhetsteamene.

«Du har kanskje hørt uttrykket ‘sikkerhet er alles ansvar’. Det er vel og bra, men ... bare til noe skjer. Når det gjelder IT, har vi utnevnt IT-ansatte til sikkerhetsrepresentanter. Vi har utnevnt medlemmer av forskjellige team, spesielt utviklingsteam, arkitekturteam, infrastrukturteam, som får ekstra sikkerhetsopplæring. De får bli med på noen av sikkerhetsmøtene, og de får representere gruppen sin i sikkerhetsteamet og representere sikkerhetsteamet i gruppen sin.»
Informasjonssikkerhetsleder innen juridiske tjenester

En annen strategi er å utnevne IT som en del av sikkerheten. Å holde IT-teamet tett knyttet til sikkerhetsteamet og sørge for at IT-teamet er orientert om sikkerhetsstrategier hjelper mange sikkerhetsledere med å utvide oppdraget til alle områder i organisasjonen.

Veiledning og hjelp med automatisering og andre proaktive strategier for arbeidsflyt og oppgavestyring er en grunnleggende måte som informasjonssikkerhetsledere utvider teamene og utnytter IT på til å sikre en solid sikkerhetsstatus.

«Så hvis man ser på sikkerhetsområdet, er det ikke sikkerhetsansatte som stanser så mange av angrepene, det er IT-folkene. Sikkerhetsansatte sikkerhetsoppdaterer ikke, for eksempel. Det er folk på IT-siden som sikkerhetsoppdaterer. Sikkerhetsteamet håndterer ikke ressursadministrasjonen, det er det IT som gjør.   Og det er mange ting, og avhengig av organisasjonen du er med i, administreres brannmurer vanligvis av et nettverksteam, ikke nødvendigvis et sikkerhetsteam. Så mye av det vi gjør, er at vi hjelper personene som har fått oppgaven med å gjøre de beskyttende tingene, og vi løfter kompetansen deres og gir dem verktøy til å automatisere noe av arbeidet de gjør.
  Vi forteller dem hvorfor, ikke bare hva, og noen ganger vil det å forstå hvorfor, påvirke og inspirere hva man gjør.»
Informasjonssikkerhetsleder innen juridiske tjenester

Hovedpunktet?

Det er ikke noe nytt å være kreativ med ressurser. Men å utvikle et større team gjennom systematisk opplæring og engasjement med teamene som er nærliggende sikkerhetsteamet, er en ny måte for informasjonssikkerhetsledere å motvirke bemanningsproblemene og hullene i viktig kompetanse på.
  • Ved å samvirke med andre team og utnevne ansatte utenfor sikkerhetsteamet utvides innflytelsessfæren, og selskapet blir sikrere.
  • Opplæring av brukere i å gjenkjenne phishing og vanlige sikkerhetsproblemer er en strategi som de fleste sikkerhetsledere er enige i at er verdt tiden og innsatsen.

All Microsoft-forskning det er henvist til, bruker uavhengige forskningsfirmaer til å kontakte sikkerhetseksperter for både kvantitative og kvalitative undersøkelser, som sørger for personvernet og høy analytisk standard. Sitater og resultater inkludert i dette dokumentet er, med mindre annet er spesifisert, et resultat av forskningsundersøkelser for Microsoft.

Relaterte artikler

Cyber Signals: 1. utgave

Identitet er den nye slagmarken. Få innsikt i fremvoksende cybertrusler og hvilken fremgangsmåte du bør bruke for å beskytte organisasjonen bedre.

CISO Insider utgave 2

I denne utgaven av CISO Insider hører vi fra sikkerhetsansvarlige om hva de ser på frontlinjen – alt fra mål til taktikk – og hvilke forholdsregler de tar for å forhindre og svare på angrep. Vi hører også hvordan ledere benytter seg av XDR (utvidet oppdagelse og svar) og automatisering til å skalere forsvaret mot sofistikerte trusler.

Cyber Signals utgave 2: Utpressingsøkonomi

Hør om utviklingen innen løsepengevirus-som-en-tjeneste fra frontlinjeeksperter. Fra programmer og nyttelaster til tilgangsmeglere og partnere – lær om verktøyene, taktikkene og målene cyberkriminelle foretrekker, og få veiledning for å få hjelp til å beskytte organisasjonen.