CISO Insider (випуск 3)
Вітаємо в третьому випуску серії CISO Insider. Мене звати Роб Леффертс і я керую командами розробників Microsoft Defender та Microsoft Sentinel. Ми запустили цю серію приблизно рік тому, щоб поділитись аналітикою, отриманою під час обговорень із деякими вашими колегами, а також із власних досліджень і досвіду роботи на передовій кіберзахисту.
Перші два випуски були присвячені активізації таких загроз, як зловмисні програми з вимогою викупу, і тому, як керівники команд безпеки автоматизують робочі процеси й удосконалюють свої навички, щоб ефективно реагувати на ці загрози в умовах постійного дефіциту кваліфікованих кадрів. Керівники відділів IT-безпеки зазнають більшого тиску в сучасних нестабільних економічних умовах, тому багато з них прагнуть оптимізувати робочі процеси за допомогою хмарних рішень та інтегрованих служб із керування безпекою. У цьому випуску розглядаються нові пріоритети в безпеці в умовах переходу організацій на хмарні моделі й перенесення їх цифрового комплексу з локальних систем на пристрої Інтернету речей.
Загальнодоступна хмара пропонує безпрограшне поєднання надійних базових заходів безпеки, оптимізації витрат і масштабованих обчислень, що робить її ключовим ресурсом у складних економічних умовах. Однак разом із цими трьома факторами варто враховувати вразливості, пов’язані з взаємодією загальнодоступної та приватної хмари, а також локальних систем. Ми розглянемо, яких заходів уживають керівники команд безпеки, щоб керувати захистом на перетині мережевих пристроїв, кінцевих точок, програм, хмар і керованих служб. Зрештою, ми ознайомимося з двома елементами, які уособлюють кульмінацію цього виклику для безпеки: Інтернет речей (IoT) і операційна технологія (OT). Зближення цих двох розрізнених технологій (одна з них лише зароджується, а інша є застарілою) у мережевому середовищі без належного рівня безпеки робить його вразливим до атак.
У третьому випуску розглядаються наведені нижче три пріоритети безпеки, орієнтовані на хмару.
Хмару захищено, та чи безпечно ви керуєте своїм хмарним середовищем?
Комплексне керування захищеністю починається з видимості й закінчується керуванням ризиками на основі пріоритетів.
Через прискорення переходу на хмарні рішення збільшується кількість служб, кінцевих точок, програм і пристроїв. Крім стратегії керування критично важливими точками підключення хмари, керівники відділів IT-безпеки потребують кращої видимості й координації між елементами цифрового простору, кількість яких зростає. Це необхідно для комплексного керування захищеністю. Ми проаналізуємо, як керівники команд безпеки розширюють свій підхід від запобігання атакам (усе ще вважається найкращим методом, якщо працює як слід) до усунення ризиків за допомогою інструментів комплексного керування захищеністю, які допомагають виконувати інвентаризацію запасів і моделювати бізнес‑ризики, а також до керування доступом та ідентичностями.
Покладайтеся на принципи нульової довіри та кібергігієни для захисту різноманітних середовищ IoT й OT.
Експонентне збільшення кількості пов’язаних пристроїв IoT й OT продовжує створювати перешкоди для безпеки, особливо з огляду на складність узгодження технологій, які поєднують хмарні можливості, сторонні інструменти й застаріле обладнання, модифіковане для мереж. Передбачається, що кількість пристроїв IoT у всьому світі сягне 41,6 мільярда до 2025 року, отже з’явиться більше векторів атак на такі пристрої, які слугуватимуть точками входу для зловмисників. На ці пристрої часто націлюються, оскільки вони є вразливими точками мережі. Їх можуть додавати незаплановано й підключати до IT‑мережі без чітких указівок від команди безпеки. Також сторонні виробники можуть розгортати ці пристрої, не вживши базових заходів безпеки, або фахівці із захисту можуть неправильно керувати ними через певні складнощі, наприклад власні протоколи чи вимоги щодо доступності (OT). Дізнайтеся, скільки IT-керівників трансформують свої стратегії безпеки IoT й OT, щоб усунути прогалини, які виникають на перетині цих технологій.
Хмару захищено, та чи безпечно ви керуєте своїм хмарним середовищем?
В умовах дефіциту кваліфікованих кадрів і обмежень фінансування хмара пропонує чимало переваг – оптимізацію витрат, передові інструменти й надійніший захист даних порівняно з тим, який забезпечує локальне середовище. Якщо раніше керівники відділів IT-безпеки розглядали хмарні ресурси як баланс між підвищеним ризиком і покращеною оптимізацією витрат, то зараз для більшості лідерів команд безпеки, з якими ми говорили, хмара стала новою нормою. Вони довіряють надійним базовим заходам безпеки хмарних технологій: "Я покладаюся на те, що постачальники хмарних служб удосконалили свої засоби керування ідентичностями й доступом, системи безпеки й ужили необхідних заходів для фізичної безпеки", – говорить один із керівників відділу IT-безпеки.
Однак більшість керівників команд безпеки усвідомлює, що базові заходи безпеки не гарантують захист даних – він значно залежить від того, наскільки злагоджено хмарні служби працюють із локальними системами й власними технологіями організацій. Ризики виникають через прогалини між хмарою та традиційною інфраструктурою організацій, політиками й технологіями, які використовують для захисту хмари. Це спричиняє неправильні конфігурації, і організації стають уразливими й залежними від команд безпеки, які мають виявляти й усувати ці прогалини.
"Багато порушень безпеки виникає через неправильну конфігурацію: наприклад, якщо хтось із працівників випадково встановив помилкові параметри або вніс зміни, які призвели до витоку даних".
До 2023 року 75% порушень безпеки в хмарі було спричинено неправильним керуванням ідентичностями, доступом і правами. Цей показник зріс із 50% у 2020 році (Неправильна конфігурація й уразливості є найбільшим ризиком для безпеки хмари: звіт | CSO Online). Ця проблема стосується не лише самої хмари, а й політик і засобів контролю доступу. Один із керівників відділу IT-безпеки у сфері фінансових послуг говорить: "Безпека хмари – це надзвичайно ефективно, лише якщо все розгорнуто правильно. Сама хмара і її компоненти захищені. Та ось ви починаєте задавати конфігурацію, і виникають запитання. Чи правильно написано код? Чи правильно налаштовані з’єднувачі на підприємстві?" Інший керівник команди безпеки підсумовує: "Саме неправильна конфігурація хмарних служб робить їх уразливими для джерел загроз". Оскільки дедалі більше керівників команд безпеки починає усвідомлювати ризики неправильної конфігурації хмари, запитання "Чи безпечна хмара?" змінюється на "Чи безпечно я її використовую?"
Що означає безпечне використання хмари? Багато керівників, з якими я спілкуюся, починають упроваджувати стратегію безпеки в хмарі з основ. Вони виправляють спричинені людиною помилки, що наражають організацію на ризики, такі як порушення безпеки ідентичностей і неправильні конфігурації. Такий підхід відповідає нашим рекомендаціям – захист ідентичностей і адаптивне керування їх доступом є основою будь-якої стратегії безпеки в хмарі.
Усіх, хто досі вагається, може переконати наведена далі інформація. Згідно з даними компанії McAfee, 70% розкритих записів (5,4 мільярда) було вражено через неправильну конфігурацію служб і порталів. Керування доступом за допомогою засобів контролю ідентичностей і впровадження надійних методів кібергігієни може значно допомогти усунути вразливості. Також фахівці McAfee повідомили, що 70% розкритих записів (5,4 мільярда) було вражено через неправильну конфігурацію служб і порталів. Керування доступом за допомогою засобів контролю ідентичностей і впровадження надійних методів кібергігієни може значно допомогти усунути вразливості.
Надійна стратегія безпеки в хмарі включає наведені нижче рекомендації.
1. Запровадьте комплексну стратегію на основі платформи Захисту програм для хмар (CNAPP). Керування безпекою за допомогою розрізнених інструментів може призвести до прогалин у захисті й збільшення витрат. Украй важливо використовувати комплексну платформу, яка забезпечує захист від коду до хмари, допомагає звузити вектори атак і автоматизувати захист від загроз. Стратегія на основі CNAPP включає наведені нижче рекомендації.
Платформа Захисту програм для хмар, наприклад у Microsoft Defender for Cloud , забезпечує видимість у багатохмарних ресурсах, захист на всіх рівнях середовища, а ще відстежує загрози й пов’язує оповіщення з інцидентами. Усі ці можливості інтегровано в SIEM. Завдяки цьому фахівцям ваших центрів безпеки (SOC) буде простіше проводити розслідування й відстежувати кросплатформні оповіщення.
Трохи профілактики (усунення прогалин, пов’язаних з ідентичностями й неправильною конфігурацією) у поєднанні з надійними інструментами реагування значно підвищує безпеку всього хмарного середовища: від корпоративної мережі до хмарних служб.
Комплексне керування захищеністю починається з видимості й закінчується керуванням ризиками на основі пріоритетів.
Перехід на хмарні IT-ресурси робить організації вразливими не лише до прогалин в упровадженні, а й до масиву мережевих ресурсів, що розширюється (пристрої, програми, кінцеві точки), і ризиків для робочих процесів у хмарі. Керівники команд безпеки керують захищеністю своїх об’єктів у цьому середовищі, у якому немає чіткого периметра, за допомогою технологій, що забезпечують видимість і реагування на основі пріоритетів. Ці інструменти допомагають організаціям створити схему інвентаризації ресурсів, що охоплює всі вектори атак та поширюється на керовані й некеровані пристрої як в організації, так і за її межами. За допомогою цих ресурсів керівники відділів IT‑безпеки можуть оцінювати захищеність кожного ресурсу і його роль у компанії для розробки моделі ризиків на основі пріоритетів.
В обговореннях із керівниками команд безпеки ми відстежуємо певну еволюцію: від системи безпеки на основі периметра до підходу на базі захищеності, який передбачає екосистему без чітких кордонів.
Як говорить один із керівників відділу IT-безпеки: "Для мене захищеність починається з ідентичності… Ми не розглядаємо її як застаріле традиційне поняття захищеності в межах визначеного периметра, а переходимо до кінцевої точки" (комунальна установа, що надає послуги водопостачання (1390 працівників)). "Новим периметром стала ідентичність", – коментує керівник відділу IT-безпеки у сфері фінансових технологій. Також він запитує: "Яку роль відіграє ідентичність у цій новій моделі, де немає чітких кордонів?" (установа у сфері фінансових технологій, 15 000 працівників).
З огляду на це вразливе середовище керівники відділів IT-безпеки розуміють нагальність комплексного керування захищеністю, водночас багато з них міркують, чи мають вони достатньо ресурсів і досвіду для реалізації такого підходу. На щастя, завдяки поєднанню перевірених у галузі систем стандартів (підлаштованих під потреби сьогодення) та інновацій у сфері безпеки комплексне керування захищеністю доступне багатьом організаціям.
Виберіть інструменти для своєї кіберінфраструктури, які дають змогу виконувати інвентаризацію активів. Потім виділіть серед них критичні, з якими пов’язано найбільший ризик для організації, проаналізуйте потенційні вразливості цих пристроїв і вирішіть, чи є вони прийнятними (чи потрібно їх виправити або ізолювати).
Далі наведено деякі рекомендації та інструменти, якими користуються керівники команд безпеки, щоб керувати захищеністю у відкритих хмарних середовищах.
Видимість – це перший крок у комплексному керуванні захищеністю. Керівники відділів IT-безпеки запитують: "Чи знаємо ми про всі наявні ресурси на початку роботи? Чи забезпечується видимість перед початком керування?" Інвентаризація ризикованих ресурсів включає такі IT‑ресурси, як мережі й програми, бази даних, сервери, хмарні властивості, властивості IoT, а також дані й IP-ресурси, що зберігаються в цифровій інфраструктурі. Більшість платформ, наприклад Microsoft 365 або Azure, має вбудовані інструменти для інвентаризації ресурсів, які допоможуть почати роботу.
Після виконання комплексної інвентаризації можна проаналізувати ризики, пов’язані з внутрішніми вразливостями й зовнішніми загрозами. Реалізація цього кроку залежить від конкретних умов кожної організації, а саме від того, наскільки злагоджено працюють команди безпеки, IT й обробки даних. У межах співпраці ці фахівці використовують інструменти автоматичного оцінювання ризиків і визначення їх пріоритету. Наприклад, останні інтегровано в Ідентифікатор Microsoft Entra, Microsoft Defender XDR та Microsoft 365. Ці інструменти можна доповнити рекомендаціями експертів з усунення прогалин, а також загальним контекстом для ефективного реагування на загрози.
Якщо технічні команди чітко розуміють ризики, то разом із керівниками компанії можуть визначити пріоритетність заходів безпеки відповідно до бізнес‑потреб. Обміркуйте, яку роль кожний ресурс відіграє для бізнесу, його цінність і ризики для компанії в разі порушення його безпеки. Поставте такі запитання: "Наскільки конфіденційна ця інформація і як вона вплине на компанію, якщо її буде розкрито?" або "Наскільки ці системи важливі для місії та як простій вплине на компанію?" Корпорація Майкрософт пропонує інструменти, за допомогою яких можна виявляти вразливості й визначати їх пріоритетність з урахуванням бізнес‑потреб. Серед них: Оцінка безпеки Microsoft, оцінка відповідності Microsoft, оцінка безпеки Azure, Керування векторами зовнішніх атак у Microsoft Defender, а також Керування уразливостями у Microsoft Defender.
Інвентаризація активів, аналіз ризиків і моделювання бізнес-ризиків – усе це формує основу комплексного керування захищеністю. Завдяки цій видимості й аналітиці команда безпеки може визначити, як слід виділяти ресурси, яких додаткових заходів потрібно вжити, а також як досягти балансу між ризиком і користю кожного сегмента мережі.
Рішення з керування захищеністю забезпечують видимість і аналіз вразливостей. Завдяки їм організації можуть зрозуміти, у яких саме напрямках слід покращувати свою захищеність. За допомогою цієї аналітики можна виявляти важливі вектори атак.
Покладайтеся на принципи нульової довіри й кібергігієни для захисту різноманітних середовищ IoT й OT
Дві згадані вище проблеми (прогалини в реалізації хмари й збільшення кількості пристроїв, підключених до неї) створюють украй критичну ситуацію з ризиками для середовищ із пристроями IoT й OT. Крім системного ризику розширених векторів атак, який створюють пристрої IoT й OT, керівники команд безпеки стверджують, що намагаються обґрунтувати доцільність зближення цих двох технологій, одна з яких лише зароджується, а інша застаріла. Пристрої IoT призначено для хмари, однак вони частіше зосереджуються на досягненні бізнес‑цілей, а не на базових заходах безпеки. Зазвичай OT – це застаріле обладнання, яким керує його виробник, яке розроблено без дотримання сучасних вимог до безпеки і яке незаплановано додають в IT-мережу організації.
Завдяки пристроям IoT й OT організації можуть осучаснити робочі зони, отримувати більше користі від даних і зменшити вимоги до працівників за допомогою стратегічних змін, які передбачають, наприклад, віддалене керування й автоматизацію. За даними International Data Corporation (IDC), до 2025 року кількість підключених пристроїв IoT сягне 41,6 мільярда. Це значно швидше зростання, як порівняти з традиційними IT-пристроями.
Однак із цією можливістю пов’язаний значний ризик. У нашому звіті Cyber Signals за грудень 2022 року про зближення інформаційної та операційної технологій розглянуто, які ризики для критичної інфраструктури створюють ці технології.
Ключові висновки:
1. 75% найпопулярніших галузевих контролерів у мережах операційних технологій клієнтів мають невиправлені критичні вразливості.
2. У період із 2020 по 2022 рік кількість випадків розкриття даних через критичні вразливості в промислових системах керування від популярних виробників збільшилася на 78%.
3. Багато загальнодоступних в Інтернеті пристроїв використовують непідтримуване програмне забезпечення. Наприклад, застаріле ПЗ Boa досі часто використовують у пристроях IoT й пакетах інструментів розробки (SDK).
Нерідко пристрої IoT є найслабшою ланкою в цифровому комплексі організації. Оскільки вони не отримують тих самих виправлень та оновлень, що й традиційні IT-пристрої, то можуть стати зручним шлюзом для зловмисників, які намагаються проникнути в IT-мережу. Якщо доступ до таких пристроїв отримано, вони стають уразливими до віддаленого виконання коду. Зловмисники можуть узяти під контроль або використовувати вразливості, щоб імплантувати бот‑мережі або шкідливе програмне забезпечення на пристрій IoT. Тоді через цей пристрій можна буде ввійти в усю мережу.
Пристрої ОТ створюють іще серйозніші ризики, оскільки багато з них є критично важливими для роботи організації. Раніше їх було відключено від Інтернету й фізично ізольовано від корпоративної IT-мережі, однак зараз такі пристрої дедалі частіше поєднують із системами IT й IoT. Згідно з результатами нашого дослідження про стан кібербезпеки IoT й OT на підприємствах, виконаного разом з інститутом Ponemon у листопаді 2021 року, більше ніж половину OT-мереж тепер підключено до корпоративних IT-мереж. Аналогічний відсоток компаній (56) використовує підключені до Інтернету пристрої у своїх OT-мережах для таких сценаріїв, як віддалений доступ.
Підключення до OT наражає організації на ризик серйозного порушення роботи й простою в разі атаки. Нерідко OT – це основа бізнесу, тому зловмисники можуть націлюватися на такі пристрої, щоб завдати значної шкоди. Безпеку таких пристроїв легко порушити, оскільки часто вони є застарілими й незахищеними, не відповідають сучасним рекомендаціям із безпеки й використовують власні протоколи, що обмежують видимість для стандартних інструментів IT‑моніторингу. Щоб експлуатувати ці технології, зловмисники використовують доступні в Інтернеті системи, отримують доступ за допомогою облікових даних працівників або входять у систему як сторонні постачальники чи підрядники. Протоколи ПСК, які не відстежуються, є однією з найпоширеніших точок входу для OT-атак (Звіт про цифровий захист Microsoft за 2022 рік).
Щоб упоратися з унікальними викликами, які створює керування безпекою IoT й OT в цьому змішаному середовищі різноманітних пристроїв, які по-різному підключено до IT-мережі, керівники команд безпеки дотримуються наведених нижче рекомендацій.
Щоб ефективно керувати IoT й OT, украй важливо визначити всі наявні в мережі ресурси, розуміти зв’язки між ними, бізнес-ризики й загрози, пов’язані з кожною точкою підключення. Рішення для виявлення й реагування в мережі (NDR) з підтримкою IoT й OT, а також служба Microsoft Sentinel, подібна до рішення SIEM, можуть забезпечити додаткову видимість пристроїв IoT й OT у вашій мережі й відстежувати їх на наявність аномальної поведінки, наприклад підключення до незнайомих хостів. (Докладніші відомості про керування ризикованими протоколами промислових систем керування в OT див. в статті "Унікальні ризики для безпеки пристроїв IoT" від фахівців Захисного комплексу Microsoft.)
Якщо можливо, сегментуйте мережі, щоб блокувати бокове зміщення в разі атаки. Пристрої IoT й мережі OT потрібно відключити від мережі або ізолювати від корпоративної ІТ-мережі за допомогою брандмауерів. Також ви маєте передбачати зближення своїх мереж OT й IT, щоб розроблювати протоколи на основі нульової довіри для всіх векторів атак. Сегментувати мережі стає дедалі складніше. Для контрольованих урядом організацій, наприклад медичних закладів або промислових і комунальних установ зв’язок між OT й IT є ключовим для бізнес-операцій. Наприклад, мамографи або розумні МРТ‑пристрої, підключені до систем електронних медичних карток, розумні виробничі лінії або водоочисні споруди, які потребують віддаленого моніторингу. У цих випадках важливо застосовувати принципи нульової довіри.
Команди безпеки можуть усувати прогалини, дотримуючись таких базових заходів, як:
- видалення непотрібних підключень до мережі й відкритих портів, обмеження віддаленого доступу, відмова в такому доступі й використання служб VPN;
- змінення стандартних паролів і портів та виправлення пристроїв;
- контроль того, щоб протоколи промислових систем керування не мають прямого підключення до Інтернету.
Дієві поради щодо того, як досягти такого рівня аналітики й керування, див. у випуску Microsoft Security Insider "Унікальний ризик для пристроїв IoT й OT".
Корисні поради
1. Використовуйте рішення з підтримкою IoT й OT для виявлення загроз у мережі й реагування на них, а також керування захистом інформації (SIEM), координації та реагування системи безпеки (SOAR), щоб отримати кращу видимість пристроїв IoT й OT в мережі, відстежувати їх на предмет аномальної або несанкціонованої поведінки, наприклад зв’язку з невідомими хостами.
2. Захистіть важливе технічне обладнання за допомогою рішень для протидії загрозам у кінцевих точках.
3. Звузьте вектори атаки завдяки видаленню непотрібних підключень до мережі й відкритих портів, блокуванню портів для обмеження віддаленого доступу, відмові в такому доступі та використанню мережі VPN.
4. Переконайтеся, що протоколи ПСК не мають прямого підключення до Інтернету.
5. Сегментуйте мережі, щоб обмежити можливості зловмисників виконувати бокове зміщення й уражати ресурси після вторгнення в систему. Пристрої IoT й мережі OT потрібно ізолювати від корпоративних ІТ-мереж за допомогою брандмауерів.
6. Забезпечте стійкість пристрою до кіберзагроз, застосувавши виправлення, змінивши стандартні паролі й порти.
7. Передбачайте зближення своїх мереж OT й IT, щоб розроблювати протоколи на основі нульової довіри для всіх векторів атак.
8. Забезпечуйте узгодження пристроїв OT й IT на рівні всієї організації за допомогою кращої видимості й співпраці команд.
9. Завжди дотримуйтесь рекомендацій щодо IoT й OT на основі базового аналізу загроз.
Кількість загроз збільшується, як і тиск на керівників команд безпеки, і вони користуються можливістю оптимізувати свій цифровий комплекс. У цих умовах хмара стає основою сучасної стратегії безпеки. Як бачимо, переваги хмари значно перевищують її ризики, особливо якщо організації дотримуються рекомендацій і керують своїми хмарними середовищами відповідно до надійної стратегії безпеки, методів комплексного керування захищеністю й конкретних дій з усунення прогалин, пов’язаних з IoT й OT.
Дієві поради щодо того, як досягти такого рівня аналітики й керування, див. у випуску Microsoft Security Insider "Унікальний ризик для пристроїв IoT й OT".
До всіх указаних тут досліджень корпорації Майкрософт було залучено незалежні організації, які зверталися до фахівців у сфері безпеки для проведення кількісних і якісних досліджень. При цьому було забезпечено конфіденційність учасників і високу якість аналітики. Цитати й факти, включені в цей документ, є результатами досліджень корпорації Майкрософт, якщо не вказано інше.
Підпишіться на новини про Захисний комплекс Microsoft