Trace Id is missing

CISO 測試人員:第 3 期

隨著組織轉向日益以雲端為中心的模型,將其數字資產中的所有內容從內部部署帶到 IoT 裝置,CISO Insider 第 3 期著眼於新興的安全性優先事項。

以雲端為中心的安全性:領先的首席資訊安全官如何縮小涵蓋範圍差距

歡迎閱讀 CISO Insider 系列的第三期。我是 Rob Lefferts,帶領 Microsoft Defender 和 Sentinel 工程團隊。大約一年前,我們推出了這個系列,以分享我們與您的一些同行討論的深入解析,以及我們致力於網路安全性前線的參考資料和體驗。

我們的前兩個問題考慮了勒索軟體等不斷升級的威脅,以及安全性領導者如何利用自動化和技能提升機會,助力在持續人才短缺的情況下有效應對這些威脅。在當今經濟不明朗的情況下,首席資訊安全官面臨著更大的高效運營壓力,許多首席資訊安全官都希望使用雲端式解決方案和集成的受控安全性服務進行最佳化。隨著組織轉向日益以雲端為中心的模型,將其數字資產中的所有內容從內部部署帶到 IoT 裝置,在本期當中,我們著眼於新興的安全性優先事項。

公用雲端提供了強大的基礎安全性、成本效益和可調整計算的雙贏,使其成為預算緊縮時期的關鍵資源。但是,隨著這種三重融合,需要「注意公共雲端、私人雲端和內部部署之間關係中出現的差距」。我們著眼於安全性領導者正在採取的措施,用以管理介於網路裝置、端點、應用、雲端和受管理服務的閾限空間中的安全性。最後,我們關注代表這一安全性挑戰頂點的兩項技術,即物聯網和運營技術。這兩種兩極分化的技術(一種新興而另一種傳統,皆在無足夠內置安全性情況下引入網路)的匯合,創造了一個漏洞百出的邊緣,容易受到攻擊。

第 3 期著眼於以下三個以雲端為中心的安全性優先順序:

雲端是安全的;但是,您是否在安全地管理雲端環境?

隨著多家組織尋求新的效率以回應經濟限制和人才短缺,雲端的採用速度加快。首席資訊安全官信任公用雲端服務的基本安全性,但雲端的安全性取決於客戶管理公用雲端和私人基礎結構之間介面的能力。我們探討了安全性領導者如何通過強大的雲端安全策略縮小差距,例如,通過使用雲端態勢管理和雲端原生應用程式保護平臺 (CNAPP) 等工具保護其雲端應用和工作負載。

全面的安全性態勢始於可見度,以優先風險管理結束。

隨著雲端採用的加速,服務、端點、應用和設備的激增也隨之而來。除了管理關鍵雲端連接點的策略外,首席資訊安全官還認識到,需要在不斷擴大的數位足跡中提高可見度和協調性,從而需要全面的態勢管理。我們來看看安全性領導者如何擴展其方法,從預防攻擊(只要有效,這仍然是最好的防禦)到通過全面的態勢管理工具來管理風險,這些工具有助於清點資產和建立商務風險模型,當然還有身分識別與存取控制。

依靠零信任和清潔來治理物聯網&和運營技術的多樣化、超網路環境。

互聯物聯網和運營技術裝置的指數級增長繼續帶來安全挑戰,尤其鑒於難以協調混合雲端原生、第三方工具和為網路改造的舊版裝置的技術。預計到 2025 年,全球物聯網裝置的數量將達到 416 億台,為使用此類裝置作為網路攻擊進入點的攻擊者創造了更大的受攻擊面。這些裝置往往是網絡弱點,容易成為攻擊目標。它們可能是臨時引入的,並在沒有安全團隊明確指示的情況下連線到 IT 網路;由第三方在沒有基本安全性的情況下開發;或者由於專屬通訊協定和顯示狀態要求 (OT) 等挑戰,安全團隊管理並不充分。了解有多少 IT 領導者目前正在改進其 IoT/OT 安全策略,以應對這一充滿差距的邊緣。

雲端是安全的;但是,您是否在安全地管理雲端環境?

在人才短缺和預算緊張的時代,雲端提供了許多好處,即成本效益、無限可擴展的資源、尖端的工具,以及數據保護,較於大多數安全性領導者認為可以在企業內部實現的數據保護而言更加可靠。雖然首席資訊安全官過去常常將雲端資源視為更大的風險敞口和更高的成本效益之間的權衡,但我們今天採訪的大多數安全性領導者均已將雲端視為新常態。他們信任雲端技術強大的基礎安全性:『我希望雲端服務提供者能夠妥善處理身分識別和存取權管理、系統安全和物理安全的工作,』一位首席資訊安全官說。

但是,正如大多數安全性領導者所認識到的那樣,雲端基礎安全並不能保證您的資料安全,您的資料在雲端中的保護很大程度上取決於雲端服務如何與內部部署系統和自主開發的技術一起實施。風險出現在雲端與傳統組織邊界、用於保護雲端的原則和技術之間的差距當中。設定錯誤時有發生,通常會使組織暴露在外,並依賴安全性團隊來識別和縮小差距。

『大量的違規行為是由於設定錯誤,有人無意中設定錯誤,或者更改了某些內容,使資料得以泄露。』
公用事業 - 水,1,390 名員工

到 2023 年,75% 的雲端安全性缺口將由身份、存取和使用權限管理不當引起,高於 2020 年的 50%(設定錯誤和弱點是雲端安全性的最大風險:報告 | CSO 連線)。挑戰不在於雲端本身的安全性,而在於用於保護存取的原則和控制。正如一位金融服務首席資訊安全官所說,『如果部署得當,雲端安全性非常好。雲端本身及其元件是安全的。但是你需要設定:我是否正確地編寫了我的代碼? 我是否在整個企業中正確安裝了連接器?』 另一位安全性主席總結了這一挑戰:『這些雲端服務的設定錯誤是向威脅執行者開啟服務的原因。』 隨著越來越多的安全領導者意識到雲端設定錯誤的風險,圍繞雲端安全性的對話已經從「雲端安全嗎?」 到「我是否安全地使用雲端?」

何謂安全地使用雲端? 與我交談過的許多領導者都從頭開始制定雲端安全性策略,解決使組織面臨身分識別洩露和設定錯誤等風險的人為錯誤。這也符合我們的建議 - 保護身份並自適應地管理其存取,這是任何雲端安全性策略的絕對基礎。

對於任何仍在觀望的人來說,也許這會有所幫助:McAfee 報告稱,由於服務和入口網站配置錯誤,70% 的暴露記錄(54 億條)遭到入侵。通過身分識別控制來管理存取並實施強大的安全性清潔,大大有助於縮小差距。McAfee 報告稱,由於服務和入口網站配置錯誤,70% 的暴露記錄(54 億條)遭入侵。通過身分識別控制來管理存取並實施強大的安全性清潔,大大有助於縮小差距。

強大的雲端安全性策略涉及以下最佳做法:

1. 實作整合式雲端原生應用程式保護平台 (CNAPP)策略:使用零散的工具管理安全性可能會導致保護盲點和更高的成本。擁有一個一體化平臺,使您能夠將安全性從代碼嵌入到雲端中,這對於減少整體雲端受攻擊面和自動執行威脅防護至關重要。CNAPP 策略涉及以下最佳做法:

a. 在 DevOps 中,從一開始就為安全性設定優先權。 在匆忙開發雲端應用程式的過程中,安全性可能會被擱置一旁。開發人員有動力快速解決業務問題,但可能缺乏雲端安全性技能。因此,如果沒有適當的資料授權規則,應用程式可能會激增。API 已成為駭客的主要目標,鑒於雲端應用程式開發的評分,組織通常無法跟蹤它們。Gartner 認為「API 蔓延」是一個日益嚴重的問題,並預測到 2025 年,只有不到一半的企業 API 將得到控制(Gartner)。因此,儘快實施 DevSecOps 策略至關重要。
b. 加強雲端安全性態勢並修復錯誤設定。 錯誤設定是導致雲端洩露的最常見原因 - 查看 雲端安全聯盟 最常見的安全性群組錯誤設定。雖然我們耳熟能詳的最為常見的擔憂是向公眾開放儲存體資源,但首席資訊安全官還提到了其他被忽視的領域:禁用監控和事件記錄、過多的存取權限、未受保護的備份等。加密是防止管理不善的重要規避方法,對於降低勒索軟體風險事件至關重要。通過在缺口發生之前監視雲端資源的暴露和錯誤設定,雲端安全性態勢管理工具提供另一道防線,因此您可以主動縮小受攻擊面。
c. 自動偵測、回應和分析事件。 識別和修復錯誤設定固然很好,但我們還需要確保擁有適當的工具和到位的流程,來偵測突破防禦的攻擊。這就是威脅偵測和回應管理工具的助力之處。
d. 獲得存取管理權。 多重要素驗證、單一登入、角色型存取控制、使用權限管理和認證有助於管理雲端安全性面臨的兩個最大風險:使用者和錯誤設定的數位資產。最少存取許可權是雲端基礎結構權利管理 (CIEM) 的最佳做法。一些領導者依靠身分識別存取管理或權利管理解決方案來實施使用中安全性控制。一家金融服務領軍企業依靠雲端存取安全性代理程式 (CASB) 作為「關鍵後盾」來管理組織的 SaaS 服務並保持對其使用者和資料的控制。CASB 充當使用者和雲端應用程式之間的仲介,通過原則提供可見性並強制實施治理執行。作為後盾,管理他們的 SaaS 服務並保持對用戶和資料的控制。CASB 充當使用者和雲端應用程式之間的仲介,通過原則提供可見性並強制實施治理執行。

雲端原生應用程式保護平台,比如 適用於雲端的 Microsoft Defender 中提供的,不僅提供跨多項雲端資源的可見度,而且還在環境的所有層提供保護,同時監視威脅並將警報和安全性資訊與事件管理集成的事件相關聯。這簡化了調查,並幫助 SOC 團隊提前處理跨平臺警示。

防患於未然,縮小身分識別和設定錯誤差距,並與強大的攻擊回應工具相結合,對於保護整個雲端環境(從企業網路到雲端服務)大有幫助。

全面的安全性態勢始於可見度,以優先風險管理結束。

轉向以雲端為中心的 IT 不僅使組織面臨實作差距,而且還面臨大量網路資產(裝置、應用、端點)以及暴露的雲端工作負載。安全性領導者正在利用提供可見度和設定優先權的技術來管理這種無邊界環境中的態勢。這些工具可幫助組織映射涵蓋整個受攻擊面的資產詳細目錄,遍及組織網路內外的受控和非受控裝置。利用這些資源,首席資訊安全官能夠評估每項資產的安全性態勢及其在業務中的角色,以開發設定優先權風險模型。

在與安全領導者的交談中,我們看到從基於邊界的安全性向基於安全性態勢的方法演變,該方法包含無邊界生態系統。

正如一位首席資訊安全官所說,『對我來說,態勢歸結為身分識別...... 我們不會把它僅僅看作是邊界所在的舊有傳統態勢,而是一直下行到端點。』 (公用事業 - 水,1,390 名員工)。『身分識別已經成為新的邊界,』一位金融科技公司的首席資訊安全官評論道,他問道:『在這個沒有內外之分的新模型中,身分識別意味著什麼?』 (金融科技,15,000 名員工)。

鑒於這種漏洞百出的環境,首席資訊安全官了解全面態勢管理的緊迫性,但許多首席資訊安全官質疑自己是否擁有將這一願景付諸實踐的資源和數位化成熟度。幸運的是,通過將經行業驗證的架構(針對當今需求進行更新)和安全性創新相結合,大多數組織都可以實現全面的態勢管理。

在您的網路基礎結構中獲取工具,以便您制定資產庫存詳細目錄。其次,查看其中哪一個是關鍵的,哪些對組織的風險最大,了解這些設備的潛在缺口是什麼,並確定這是否可接受,即我是否需要修補或隔離它。
Ken Malcolmson, Microsoft 執行安全顧問

以下是安全性領導者在以雲為中心的開放式環境中管理其態勢的一些最佳做法和工具:

1. 通過資產詳細目錄實現全面的可見度。
可見度是態勢管理的第一步。首席資訊安全官們在問,「作為第一步,我們是否知道我們所擁有的一切? 在進入管理層之前,我們已取得可見度嗎?」 風險資產詳細目錄包括 IT 資產,如網路和應用程式、資料庫、伺服器、雲端資產、物聯網資產,以及存儲在該數位基礎結構上的資料和 IP 資產。大多數平臺(如 Microsoft 365 或 Azure)都包含可幫助您入門的內置資產詳細目錄工具。
2. 評估弱點並分析風險。
一旦組織擁有全面的資產詳細目錄,就可以分析內部弱點和外部威脅的風險。此步驟在很大程度上依賴於執行內容,並且對每個組織都是獨一無二的,可靠的風險評量取決於安全性、IT 和資料團隊之間的強大合作夥伴關係。這個跨職能團隊在分析中利用自動風險評分和優先順序工具,例如,集成到 Microsoft Entra ID、Microsoft Defender 全面偵測回應和 Microsoft 365 中的風險優先順序工具。自動風險評分和優先順序排序技術還可以包含用於補救差距的專家指導以及用於有效威脅回應的内容資訊。
3. 通過業務風險模型設定風險和安全需求的優先權。
通過清楚地了解風險形勢,技術團隊可以與業務領導者合作,根據業務需求設定安全性干預措施的優先權。考慮每項資產的作用、其對業務的價值以及如果受損對業務的風險,提出諸如「這些資訊的敏感性如何以及其暴露對業務的影響會如何?」 或「這些系統的任務危急性如何?停機對商務有何影響?」 Microsoft 提供了一些工具,用於支持根據業務風險建模對缺口進行全面識別和設定優先權,包括 Microsoft 安全分數、Microsoft 合規性分數、Azure 安全分數、Microsoft Defender 外部受攻擊面管理和 Microsoft Defender 弱點管理。
4. 建立態勢管理策略。
資產詳細目錄、風險分析和業務風險模型構成了全面態勢管理的基礎。這種可見度和深入解析有助於安全團隊確定如何最佳化配置資源,需要應用哪些強化措施,以及如何優化網路每個部分的風險和可用性之間的權衡。

態勢管理解決方案提供可見度和弱點分析,幫助組織了解其態勢改進工作的重點。有了這種深入解析,他們就可以識別受攻擊面中的重要區域並設定優先權。

依靠零信任和清潔來治理物聯網和運營技術的多樣化、超網路環境

我們討論的兩大挑戰——雲端實施差距和雲端連接設備的激增,正在物聯網和運營技術環境中造成一場完美的風險風暴。除了物聯網和運營技術引入的受攻擊面擴大的固有風險外,安全性領導者告訴我,他們正試圖合理化創新物聯網和傳統運營技術策略的匯合。物聯網可能是雲端原生的,但這些裝置通常優先考慮業務利益,而不是基礎安全性;運營技術往往是供應商管理的舊版設備,在沒有現代安全性的情況下開發,並臨時引入組織的 IT 網路。

物聯網和運營技術設備正在幫助組織實現工作空間現代化,變得更加數據驅動,並通過遠端管理和自動化等戰略轉變,來緩解對員工的需求。國際數據公司 (IDC) 估計,到 2025 年,將有 416 億台連線的網際網路資料庫連接器,增長速度將超過傳統 IT 裝置。

但這個商機伴隨著巨大的風險。我們 2022 年 12 月的網路信號報告 《IT 與運營技術的匯合》研究了這些技術對關鍵基礎結構構成的風險。

主要發現包括:

1. 客戶 OT 網路中 75% 最為常見的工業控制器存在未修補的高嚴重性漏洞。

2. 從 2020 年到 2022 年,熱門供應商生產的工業控制裝置中高度嚴重性弱點的披露增加了 78%。

3. 許多在互聯網上公開可見的裝置正在運行不受支持的軟體。例如,過時的軟體 Boa 仍然廣泛用於物聯網裝置和軟體開發套件(SDK)。

物聯網裝置通常是數位資產中最薄弱的環節。由於它們的管理、更新或修補方式與傳統 IT 裝置不同,因此它們可以作為尋求滲透 IT 網路的攻擊者的便捷閘道。一旦被存取,物聯網設備就容易受到遠端程式碼執行的影響。攻擊者可以獲得控制項並利用弱點在物聯網裝置中植入殭屍網路或惡意軟體。在這一點上,裝置可以作為開啟整個網路之門。

運營技術裝置帶來了更加險惡的風險,其中許多裝置對組織的運營至關重要。運營技術網路歷來離線或與企業 IT 網路物理隔離,現在越來越多地與物聯網和運營技術系統融合在一起。O我們 2021 年 11 月與 Ponemon Institute 進行的研究 《企業中的物聯網/運營技術網路安全性現狀》發現,超過一半的運營技術網路現在連線到企業 IT(業務)網路。類似比例的公司(56%)在其運營技術網路上擁有互聯網連線裝置,用於遠端存取等場景。

『去年我們看到的幾乎所有攻擊都是從最初存取 IT 網络開始的,該網络被用於運營技術環境中。』
David Atch,Microsoft 威脅情報,IoT/OT 安全研究主管

運營技術連線能力使組織在發生攻擊時面臨重大中斷和停機的風險。運營技術通常是業務的核心,為攻擊者提供了一個誘人的目標,使其得以利用這些目標來造成重大損害。這些裝置本身可能很容易成為目標,因為它們通常涉及設計不安全的改建項目或舊版裝置,早於現代安全性實作,並且可能具有標準 IT 監視工具無法看到的專屬通訊協定。攻擊者傾向於通過發現已暴露的面向網際網路的系統,通過員工登入資訊獲取存取許可權,或利用授予第三方供應商和承包商的存取許可權來利用這些技術。不受監控的工業控制系統協定是特定於運營技術的攻擊的一個常見切入點(《Microsoft 數位防禦報告 2022》)。

為了應對在以不同方式連線到 IT 網路的不同裝置混合連續體中管理 IoT 和 OT 安全的獨特挑戰,安全領導者正在追隨以下最佳做法:

1. 實現全面的裝置可見度。
了解網路中的所有資產、所有資產的互連方式以及每個連接點所涉及的商務風險和暴露風險,是有效 IoT/OT 管理的關鍵基礎。IoT 和 OT 感知網路偵測和回應 (NDR) 解決方案以及 Microsoft Sentinel 等 SIEM 還可以幫助您更深入地了解網路上的 IoT/OT 裝置,並監視它們是否存在異常行為,例如與不熟悉的主機通信。(有關在 OT 中管理公開的 ICS 協定的詳細資訊,請參閱「IOT 裝置的獨特安全風險」, Microsoft 安全性)。
2. 分割網路並採用零信任原則.
在可能的情況下,對網路進行分割,以在發生攻擊時抑制橫向移動。IoT 裝置和 OT 網路應通過防火牆與企業 IT 網路隔絕。也就是說,假設您的 OT 和 IT 匯合,並在整個攻擊面組建零信任通訊協定,這也很重要。越來越多的網路分割變得不可行。例如,對於醫療保健、公用事業和製造業等受監管的組織,OT-IT 連線能力是商務功能的核心,例如,連線到電子健康記錄 (EHR) 系統的乳腺 X 光檢查機或智慧 MRI,需要遠程監控的智慧生產線或水凈化。在這些情況下,零信任至關重要。
3. 採用 IoT/OT 安全性管理清潔。
安全性團隊可以通過一些基本的清潔措施來縮小差距,例如:
  • 透過減少非必要的網路連線和開放連接埠,限制遠端存取或拒絕遠端存取,以及使用 VPN 服務等
  • 通過套用修補檔和更改預設密碼和連接埠來管理裝置安全性
  • 確保 ICS 通訊協定不直接暴露在網路上

有關如何實現此維度層級的深入解析和管理的可操作指南,請參閱「IoT/OT 設備的獨特風險」, Microsoft Security Insider

可採取動作的深入解析

1. 使用 IoT/OT 感知的網路偵測及回應 (NDR) 解決方案、安全性資訊與事件管理 (SIEM)/安全性協調流程及回應 (SOAR) 解決方案,來監控裝置是否存在異常或未經授權的行為,例如與陌生主機的通訊。

2. 使用端點偵測及回應 (EDR) 解決方案進行監控來保護工程站

3. 透過減少非必要的網路連線和開放連接埠、封鎖連接埠來限制遠端存取、拒絕遠端存取,以及使用 VPN 服務等,來減少受攻擊面

4. 確保 ICS 通訊協定不直接暴露在網際網路上

5. 區隔網路以限制攻擊者初步入侵後橫向移動與損害資產的能力。物聯網裝置和運營技術網路應通過防火牆隔離於企業 IT 網路

6. 透過套用修補檔、變更預設密碼和預設 SSH 連接埠,來確保裝置安全無虞

7. 假設您的 OT 和 IT 匯合,並在整個攻擊面組建零信任通訊協定

8. 通過提高可見度和團隊集成,確保 OT 和 IT 之間的組織對齊

9. 始終遵循基於基本威脅情報的最佳 IoT/OT 安全性做法

隨著安全性領導者抓住機會,在不斷升級的威脅和壓力下簡化其數位資產,事半功倍,雲端正在成為現代安全性策略的基礎。正如我們所見到的,以雲端為中心的方法其好處遠超風險,特別是對於那些採用最佳做法的組織而言,這些組織通過強大的雲安全策略、全面的態勢管理和特定策略來縮小 IoT/OT 邊緣差距。

請關注我們的下一期,了解更多安全性分析和深入解析。謝謝讀取 CISO Insider!

有關如何實現此維度層級的深入解析和管理的可操作指南,請參閱「IoT/OT 設備的獨特風險」, Microsoft Security Insider

所有引用的 Microsoft 研究均使用獨立研究公司來連絡安全性專業人員進行量化和質化研究,以確保隱私保護和分析的嚴謹性。除非另有說明,本文件中收錄的引用和研究結果均來自 Microsoft 研究的結果。

相關文章

IoT/OT 裝置獨特的安全性風險

在我們最新的報告中,探討了不斷增加的 IoT/OT 連線能力,讓組織化的網路威脅執行者有機會利用更大、更嚴重的弱點。

IT 和 OT 的融合

物聯網日益普及使得 IOT 面臨風險並存在一系列潛在弱點,暴露給威脅執行者。了解如何保護您的組織。

深入了解外部攻擊面剖析

隨著組織遷移到雲端並轉向分散式工作,網路安全性的世界繼續變得更加複雜。如今,外部攻擊面橫跨越多個雲端、複雜的數位供應鏈和龐大的第三方生態系統。

關注 Microsoft 安全性