CISO Insider: Edição 3
Damos-lhe as boas-vindas à nossa terceira edição da série CISO Insider. Chamo-me Rob Lefferts e lidero a equipa de engenharia do Microsoft Defender e Sentinel. Lançámos esta série há cerca de um ano para partilhar as ideias das nossas discussões com alguns dos seus pares, bem como da nossa própria investigação e experiência, ao trabalharmos na linha da frente da cibersegurança.
As duas primeiras edições analisaram as ameaças crescentes, como ransomware e a forma como os líderes de segurança estão a utilizar a automatização e as oportunidades de melhoria de competências para ajudar a responder eficazmente a estas ameaças, num contexto de escassez de talentos. Com os CISO a enfrentarem ainda mais pressão para operarem de forma eficiente na atual incerteza económica, muitos procuram otimizar a utilização de soluções baseadas na cloud e de serviços de segurança geridos integrados. Nesta edição, analisamos as prioridades de segurança emergentes, à medida que as organizações mudam para um modelo cada vez mais centrado na cloud, trazendo consigo tudo o que existe no seu património digital, desde sistemas locais a dispositivos IoT.
A cloud pública oferece a vantagem de uma forte segurança base, eficiência de custos e computação dimensionável, o que a torna um recurso fundamental numa altura de orçamentos reduzidos. Mas com este jogo triplo surge a necessidade de "ter em atenção as lacunas" que surgem no nexo entre a cloud pública e as clouds privadas e os sistemas locais. Analisamos o que os líderes de segurança estão a fazer para gerir a segurança nos espaços liminares entre dispositivos ligados à rede, pontos finais, aplicações, clouds e serviços geridos. Por fim, analisamos duas tecnologias que representam o pico deste desafio de segurança, a IoT e a OT. A convergência destas duas tecnologias polarizadas, uma emergente e a outra legada, ambas introduzidas na rede sem a segurança incorporada adequada, cria um contorno poroso vulnerável a ataques.
A edição 3 observa estas três prioridades de segurança centradas na cloud:
A cloud é segura, mas está a gerir o seu ambiente na cloud de forma segura?
Uma postura de segurança abrangente começa com a visibilidade e termina com a gestão prioritária dos riscos.
A adoção acelerada da cloud leva a uma proliferação dos serviços, pontos finais, aplicações e dispositivos. Além de uma estratégia para gerir os pontos de ligação críticos à cloud, os CISO estão a reconhecer a necessidade de uma maior visibilidade e coordenação em toda a sua pegada digital em expansão, uma necessidade de gestão de postura abrangente. Analisamos a forma como os líderes de segurança estão a expandir a sua abordagem da prevenção de ataques (que continua a ser a melhor defesa, desde que funcione) para a gestão de risco, através de ferramentas de gestão de postura abrangentes, que ajudam a inventariar os recursos e a modelar o risco empresarial e, claro, o controlo da identidade e do acesso.
Utilize a Confiança Zero e a higiene para domar o ambiente extremamente diversificado e hiper-rede da IoT & OT.
O crescimento exponencial de dispositivos IoT e OT ligados continua a apresentar desafios de segurança, especialmente devido à dificuldade de conciliar tecnologias que são uma mistura de ferramentas nativas da cloud, de terceiros e equipamentos legados adaptados para a rede. Prevê-se que o número de dispositivos IoT a nível global atinja os 41,6 mil milhões até 2025, criando uma área de superfície de ataque alargada para os atacantes que utilizam esses dispositivos como pontos de entrada para ciberataques. Estes dispositivos tendem a ser visados como pontos de vulnerabilidade numa rede. Podem ter sido introduzidos ad hoc e ligados à rede informática sem uma orientação clara da equipa de segurança; desenvolvidos sem segurança base por terceiros; ou geridos de forma inadequada pela equipa de segurança devido a desafios como protocolos proprietários e requisitos de disponibilidade (OT). Saiba como muitos líderes informáticos estão agora a desenvolver a sua estratégia de segurança IoT/OT para navegar neste contorno cheio de lacunas.
A cloud é segura, mas está a gerir o seu ambiente na cloud de forma segura?
Numa altura de escassez de talentos e de orçamentos apertados, a cloud oferece muitas vantagens: eficiência de custos, recursos infinitamente escaláveis, ferramentas de ponta e uma proteção de dados mais fiável do que a maioria dos líderes de segurança julgam conseguir no local. Os CISO costumavam ver os recursos da cloud como um compromisso entre uma maior exposição ao risco e uma maior eficiência de custos, mas a maioria dos líderes de segurança com quem falamos atualmente adotou a cloud como o novo normal. Eles confiam na forte segurança base da tecnologia da cloud: "Espera-se que os fornecedores de serviços cloud tenham tudo pensado, no que toca à gestão de identidade e acesso, segurança do sistema e segurança física", diz um CISO.
Mas, tal como a maioria dos líderes de segurança reconhece, a segurança base da cloud não garante que os seus dados estejam seguros. A proteção dos seus dados na cloud depende muito da forma como os serviços de cloud são implementados juntamente com os sistemas locais e a tecnologia interna. O risco surge nas lacunas entre a cloud e o limite organizacional tradicional, as políticas e as tecnologias utilizadas para proteger a cloud. Ocorrem configurações incorretas, o que muitas vezes deixa as organizações expostas e dependentes das equipas de segurança para identificar e colmatar as lacunas.
"Um elevado número de falhas de segurança deve-se a uma configuração incorreta, alguém que, inadvertidamente, configura algo de forma incorreta ou altera algo que permite a fuga de dados".
Até 2023, 75% das falhas de segurança na cloud serão causadas por uma gestão inadequada das identidades, do acesso e dos privilégios, em comparação aos 50% de 2020 (Os maiores riscos da configuração incorreta e das vulnerabilidades na segurança da cloud: Relatório | CSO Online). O desafio não está na segurança da cloud em si, mas nas políticas e controlos utilizados para garantir o acesso. Como afirma um CISO dos serviços financeiros, "a segurança da cloud é muito boa se for implementada corretamente. A própria cloud e os seus componentes são seguros. Mas passamos à configuração: será que estou a escrever o meu código corretamente? Estou a configurar corretamente os meus conectores em toda a empresa?" Outro líder de segurança resume o desafio: "A configuração incorreta desses serviços cloud é o que abre os serviços aos atores de ameaças". À medida que mais líderes de segurança se apercebem dos riscos da má configuração da cloud, a conversa sobre a segurança da cloud passou de "a cloud é segura?" para "estou a utilizar a cloud de forma segura?"
O que significa utilizar a cloud de forma segura? Muitos dos líderes com quem falo abordam a estratégia de segurança da cloud a partir do zero, tratando dos erros humanos que expõem a organização a riscos, como falhas de identidade e configurações incorretas. Isto está de acordo com as nossas recomendações:a proteção das identidades e a gestão adaptativa do seu acesso são absolutamente fundamentais para qualquer estratégia de segurança da cloud.
Para quem ainda está indeciso, talvez isto ajude: A McAfee relatou que 70% dos registos expostos, 5,4 mil milhões, foram comprometidos devido a serviços e portais mal configurados. A gestão do acesso através de controlos de identidade e a implementação de uma forte higiene de segurança podem ajudar muito a colmatar as lacunas. A McAfee relatou igualmente que 70% dos registos expostos, 5,4 mil milhões, foram comprometidos devido a serviços e portais mal configurados. A gestão do acesso através de controlos de identidade e a implementação de uma forte higiene de segurança podem ajudar muito a colmatar as lacunas.
Uma estratégia sólida de segurança da cloud envolve estas melhores práticas:
1. Implementar uma estratégia de plataforma de proteção de aplicações nativas da cloud (CNAPP) ponto a ponto: A gestão da segurança com ferramentas fragmentadas pode levar a pontos fracos na proteção e a custos mais elevados. Ter uma plataforma tudo-em-um que lhe permita incorporar a segurança, desde o código até à cloud, é fundamental para reduzir a superfície geral de ataque à cloud e automatizar a proteção contra ameaças. A estratégia do CNAPP envolve as melhores práticas seguintes:
Uma plataforma de proteção de aplicações nativas da cloud, como a oferecida no Microsoft Defender para a Cloud , não só oferece visibilidade através de recursos multicloud, como também fornece proteção em todas as camadas do ambiente, enquanto monitoriza ameaças e correlaciona alertas em incidentes que se integram com o seu SIEM. Isto simplifica as investigações e ajuda as suas equipas SOC a manterem-se um passo à frente dos alertas entre plataformas.
Um pouco de prevenção, colmatando as lacunas de identidade e de configuração incorreta, combinada com ferramentas sólidas para resposta a ataques, contribui muito para a proteção de todo o ambiente cloud, desde a rede empresarial até aos serviços cloud.
Uma postura de segurança abrangente começa com a visibilidade e termina com a gestão prioritária dos riscos.
A mudança para uma informática centrada na cloud não só expõe a organização a lacunas de implementação, como também a um conjunto proliferante de recursos em rede, dispositivos, aplicações, pontos finais, bem como a cargas de trabalho expostas na cloud. Os líderes de segurança estão a gerir a sua postura neste ambiente sem perímetro com tecnologias que fornecem visibilidade e respostas prioritárias. Estas ferramentas ajudam as organizações a mapear um inventário de recursos que cobre toda a superfície de ataque, abrangendo dispositivos geridos e não geridos, dentro e fora da rede da organização. Ao utilizar estes recursos, os CISO podem avaliar a postura de segurança de cada recurso, bem como a sua função na empresa, para desenvolver um modelo de risco prioritário.
Nas nossas conversas com os líderes de segurança, estamos a assistir a uma evolução da segurança baseada no perímetro para uma abordagem baseada na postura de segurança que engloba um ecossistema sem fronteiras.
Como um CISO disse: "Na minha opinião, a postura vai até à identidade... Não a encaramos como a antiga postura tradicional, onde o perímetro está, mas movêmo-la até ao ponto final." (Utilitários – Água, 1390 colaboradores). "A identidade tornou-se o novo perímetro", comenta um CISO FinTech, que pergunta: "O que significa a identidade neste novo modelo, onde não há exterior nem interior?" (FinTech, 15 000 colaboradores).
Tendo em conta este ambiente poroso, os CISO compreendem a urgência de uma gestão da postura abrangente, mas muitos questionam se têm os recursos e a maturidade digital para pôr esta visão em prática. Felizmente, através de uma combinação de estruturas comprovadas pela indústria (atualizadas para as necessidades atuais) e da inovação em segurança, a gestão da postura abrangente está ao alcance da maioria das organizações.
Obtenha ferramentas na sua infraestrutura cibernética que lhe permitam fazer um inventário de recursos. Depois, analise quais desses dispositivos são críticos, quais apresentam o maior risco para a organização e compreenda quais são as potenciais vulnerabilidades destes dispositivos e decida se isto é aceitável. Tem de o corrigir ou isolar?
Eis algumas das melhores práticas e ferramentas que os líderes de segurança estão a utilizar para gerir a sua postura num ambiente aberto e centrado na cloud:
A visibilidade é o primeiro passo na gestão da postura holística. Os CISO questionam: "Será que sabemos tudo o que temos à nossa disposição, numa primeira fase? Será que temos visibilidade antes de chegarmos à gestão?" Um inventário de recursos de risco inclui recursos informáticos como redes e aplicações, bases de dados, servidores, propriedades de cloud, propriedades de IoT, bem como os dados e recursos de IP armazenados nesta infraestrutura digital. A maioria das plataformas, como o Microsoft 365 ou o Azure, inclui ferramentas de inventário de recursos incorporadas que o podem ajudar a começar.
Quando uma organização tem um inventário de recursos abrangente, é possível analisar o risco no que diz respeito tanto às vulnerabilidades internas e às ameaças externas. Esta etapa depende muito do contexto e é exclusiva de cada organização, uma avaliação de risco fiável depende de uma forte parceria entre as equipas de segurança, informática e dados. Esta equipa multifuncional tira partido de ferramentas automatizadas de classificação e priorização de riscos na sua análise. Por exemplo, as ferramentas de priorização de riscos integradas no Microsoft Entra ID, no Microsoft Defender XDR e no Microsoft 365. As tecnologias automatizadas de classificação e priorização de riscos também podem incorporar orientações especializadas para colmatar as lacunas, bem como informações contextuais para uma resposta eficaz às ameaças.
Com uma compreensão clara do panorama de risco, as equipas técnicas podem trabalhar com os líderes empresariais para dar prioridade às intervenções de segurança no que toca às necessidades empresariais. Considere a função de cada recurso, o seu valor para a empresa e o risco para a empresa se estes forem comprometidos, ao colocar questões como: "Quão sensível é esta informação e qual seria o impacto para a empresa se esta fosse exposta?" ou "Quão críticos são estes sistemas para a missão? Qual seria o impacto do tempo de inatividade para a empresa?" A Microsoft oferece ferramentas para apoiar uma identificação e priorização abrangentes de vulnerabilidades de acordo com a modelação do risco empresarial, incluindo a Classificação de Segurança da Microsoft, a Classificação de Conformidade da Microsoft, a Classificação de Segurança do Azure, a Gestão da superfície de ataques externos do Microsoft Defender e a Gestão de vulnerabilidades do Microsoft Defender.
Um inventário de recursos, uma análise de risco e um modelo de risco empresarial constituem a base para uma gestão da postura abrangente. Esta visibilidade e conhecimento ajudam a equipa de segurança a determinar a melhor forma de atribuir recursos, que medidas de reforço devem ser aplicadas e como otimizar a relação entre risco e capacidade de utilização para cada segmento da rede.
As soluções de gestão da postura oferecem a visibilidade e a análise de vulnerabilidades para ajudar as organizações a compreender onde devem focar os seus esforços de melhoria da postura. Com esta informação, podem identificar e dar prioridade a áreas importantes na sua superfície de ataque.
Utilize a Confiança Zero e a higiene para domar o ambiente extremamente diversificado e hiper-rede da IoT e OT
Os dois desafios que discutimos, a lacuna na implementação da cloud e a proliferação de dispositivos ligados à cloud, estão a criar uma tempestade perfeita de riscos em ambientes de dispositivos IoT e OT. Além do risco inerente de uma área de superfície de ataque alargada introduzida pelos dispositivos IoT e OT, os líderes de segurança dizem que estão a tentar racionalizar a convergência da IoT emergente e das estratégias OT legadas. A IoT pode ser nativa da cloud, mas estes dispositivos, frequentemente, dão prioridade à conveniência comercial, em detrimento da segurança fundamental. A OT tende a ser um equipamento legado gerido pelo fornecedor, desenvolvido sem segurança moderna e introduzido ad hoc na rede informática da organização.
Os dispositivos IoT e OT estão a ajudar as organizações a modernizar os espaços de trabalho, a tornarem-se mais orientadas para dados e a aliviarem as exigências dos colaboradores através de mudanças estratégicas, como a gestão remota e a automatização. A International Data Corporation (ICD) prevê que o número de dispositivos IoT ligados atinja os 41,6 mil milhões até 2025, uma taxa de crescimento que excede a dos dispositivos informáticos tradicionais.
Mas esta oportunidade implica um risco significativo. O nosso relatório de Cyber Signals, de dezembro de 2022, The Convergence of IT and Operational Technology, analisou os riscos que estas tecnologias representam para as infraestruturas críticas.
As principais conclusões incluem:
1. 75% dos controladores industriais mais comuns nas redes de OT de clientes tem vulnerabilidades sem patches de grande gravidade.
2. De 2020 a 2022, houve um aumento de 78% nas divulgações de vulnerabilidades de grande gravidade em equipamentos de controlo industrial, produzidos por fornecedores populares.
3. Muitos dispositivos visíveis publicamente na Internet utilizam software não suportado. Por exemplo, o software desatualizado Boa ainda é bastante utilizado em dispositivos IoT e em software development kits (SDK).
Os dispositivos IoT representam muitas vezes o ponto mais fraco no património digital. Como não são geridos, atualizados ou corrigidos da mesma forma que os dispositivos informáticos tradicionais, podem servir como uma porta de entrada conveniente para os atacantes que se pretendem infiltrar na rede informática. Depois de serem acedidos, os dispositivos IoT são vulneráveis a execuções de código remotas. Um atacante pode ganhar controlo e explorar vulnerabilidades para implantar botnets ou malware num dispositivo IoT. Nessa fase, o dispositivo pode servir como entrada para toda a rede.
Os dispositivos de Tecnologia Operacional representam um risco ainda mais sinistro, uma vez que muitos são críticos para a operação da organização. Historicamente offline ou fisicamente isoladas da rede informática da empresa, as redes OT estão cada vez mais misturadas com os sistemas informáticos e de IoT. O nosso estudo de novembro de 2021, conduzido pelo Ponemon Institute, The State of IoT/OT Cybersecurity in the Enterprise, descobriu que mais de metade das redes OT estão agora ligadas às redes informáticas (empresariais) das empresas. Uma proporção semelhante de empresas, 56%, têm dispositivos ligados à Internet na sua rede OT para panoramas como acesso remoto.
A conectividade OT expõe as organizações ao risco de grandes interrupções e tempo de inatividade, em caso de ataque. A OT é frequentemente essencial para a empresa, o que proporciona aos atacantes um alvo aliciante que podem explorar para causar danos significativos. Os próprios dispositivos podem ser alvos fáceis, uma vez que muitas vezes envolvem equipamentos obsoletos ou legados, que não são seguros por defeito, são anteriores às práticas de segurança modernas e podem ter protocolos proprietários que escapam à visibilidade das ferramentas de monitorização informática normais. Os atacantes tendem a explorar estas tecnologias ao descobrir expostos na Internet, ao obter acesso através de credenciais de início de sessão de colaboradores ou ao explorar o acesso concedido a fornecedores e contratantes terceiros. Protocolos ICS não monitorizados são um ponto de entrada comum para ataques específicos de OT (Relatório de defesa digital da Microsoft de 2022).
Para enfrentar o desafio único de gerir a segurança da IoT e da OT neste misto contínuo de diferentes dispositivos ligados de diferentes formas à rede informática, os líderes de segurança estão a seguir estas melhores práticas:
Compreender todos os recursos existentes numa rede, como tudo está interligado e o risco comercial e a exposição envolvidos em cada ponto de ligação é uma base essencial para uma gestão eficaz da IoT/OT. Uma solução de deteção e resposta de rede (NDR) consciente à IoT e OT e um SIEM como o Microsoft Sentinel também podem ajudar a dar uma visibilidade aprofundada dos dispositivos IoT/OT na sua rede e monitorizá-los para comportamentos anómalos, como a comunicação com anfitriões desconhecidos. (Para mais informações sobre a gestão de protocolos ICS expostos em OT, consulte "The Unique Security Risk of IOT Devices", Microsoft Security).
Sempre que possível, segmentar redes para inibir movimento lateral em caso de ataque. Os dispositivos IoT e as redes OT devem ser isolados da rede informática corporativa através de firewalls. Dito isto, também é importante assumir que as suas OT e TI são convergentes e implementar protocolos de Confiança Zero na superfície de ataque. A segmentação da rede é cada vez menos viável. Para organizações reguladas, como cuidados de saúde, utilitários e produção, por exemplo, a conectividade OT-TI é essencial para a função empresarial. Por exemplo, máquinas de mamografia ou ressonâncias magnéticas inteligentes que se ligam a sistemas de registos de saúde eletrónicos (RSE); linhas de produção inteligentes ou purificação de água que exigem monitorização remota. Nestes casos, a Confiança Zero é fundamental.
As equipas de segurança podem colmatar as lacunas através de algumas práticas de higiene básicas, como:
- Eliminar ligações à Internet desnecessárias e portas abertas, restringir ou negar o acesso remoto e utilizar serviços VPN
- Fazer a gestão da segurança dos dispositivos ao aplicar patches e alterar as palavras-passe predefinidas e portas
- Certifique-se de que os protocolos ICS não são expostos diretamente à Internet
Para obter orientações práticas sobre como alcançar este nível de conhecimento e gestão, consulte “The Unique Risk of IoT/OT Devices,” Microsoft Security Insider.
Informações acionáveis
1. Utilize uma solução de deteção e resposta de redes (NDR) consciente de IoT/OT e uma solução de informações de segurança e gestão de eventos (SIEM)/orquestração e resposta de segurança (SOAR) para obter uma visibilidade mais aprofundada dos dispositivos IoT/OT na sua rede, monitorizar dispositivos para detetar anomalias ou comportamentos não autorizados, como comunicação com anfitriões desconhecidos
2. Proteja estações de engenharia ao monitorizar com soluções de deteção e resposta de pontos finais (DRP)
3. Pode reduzir a superfície de ataque ao eliminar ligações à Internet desnecessárias e portas abertas, restringir o acesso remoto através do bloqueio de portas, negar o acesso remoto e utilizar serviços VPN
4. Certifique-se de que os protocolos ICS não são expostos diretamente à Internet
5. Para limitar a capacidade de um atacante se movimentar lateralmente e comprometer os recursos após uma intrusão inicial, é recomendado segmentar as redes. Os dispositivos IoT e as redes OT devem ser isolados das redes informáticas corporativas através de firewalls
6. Certifique-se de que os dispositivos são sólidos ao aplicar patches, alterar as palavras-passe predefinidas e portas
7. Assumir que as suas OT e TI são convergentes e implementar protocolos de Confiança Zero na superfície de ataque
8. Garantir o alinhamento organizacional entre OT e TI, ao promover uma maior visibilidade e a integração da equipa
9. Seguir sempre as melhores práticas de segurança IoT/OT baseadas nas informações sobre ameaças fundamentais
À medida que os líderes de segurança aproveitam a oportunidade de simplificar o seu património digital no meio de ameaças crescentes e da pressão para fazer mais com menos recursos, a cloud está a emergir como a base da estratégia de segurança moderna. Como vimos, os benefícios de uma abordagem centrada na cloud superam em muito os riscos, especialmente para as organizações que implementam as melhores práticas para gerir os seus ambientes na cloud através de uma estratégia de segurança sólida na cloud, gestão da postura abrangente e táticas específicas para colmatar lacunas no limite da IoT/OT.
Para obter orientações práticas sobre como alcançar este nível de conhecimento e gestão, consulte “The Unique Risk of IoT/OT Devices,” Microsoft Security Insider.
Todos os estudos citados da Microsoft utilizam empresas de investigação independentes para contactar profissionais de segurança para estudos quantitativos e qualitativos, garantindo a proteção da privacidade e o rigor analítico. As citações e conclusões incluídas no presente documento, salvo indicação em contrário, resultam de estudos de investigação da Microsoft.
Siga o Microsoft Security