Trenden mot hybrida arbetsmiljö er har tvingat företag att fundera på hur de ska skydda sina organisationer från ökad användning av “bring your own device” (BYOD) och andra nya enheter. Detta är ingen liten utmaning, vilket IT-leverantörer vet om. Fjärrarbetarnas intåg innebär en av de största förändringarna av det övergripande cybersäkerhetslandskapet som vi någonsin har stött på. Och alla dessa nya, fjärrstyrda enheter utgör en unik risk för dina kunder. I genomsnitt löper oupptäckta BYOD-endpoints 71% större risk att bli del av ett cyberintrång. Vi vet naturligtvis varför det är så. När säkerhets- och IT-teams inte har full insyn i enheterna i ett nätverk har de små möjligheter att ställa in rätt säkerhetsinställningar och konfigurationer, köra uppdateringar och åtgärda sårbarheter i operativsystem och programvara. Enheter som inte upptäcks utgör ett hot som alla IT-specialister bör vara medvetna om. I den här artikeln diskuterar vi vanliga sätt att hitta oupptäckta och ohanterade enheter, säkra dem och anta policyer som minimerar detta specifika hot.
Vilka är riskerna med ohanterade endpoints?
BYOD och distansarbetare är inte något nytt nytt fenomen. IT-partners har hanterat dem i många år i takt med att företagsnätverken får en stadig ström av nya enheter som ligger utanför IT-avdelningens kontroll. Utvecklingen mot mobilitet och IoT har lett till en mängd ohanterliga endpoints som utgör en tydlig säkerhetsrisk. Smart belysning, Bluetooth-tangentbord, smart-TV, övervakningskameror, skrivare, nätverksswitchar och routrar är alla uppkopplade enheter som ofta saknar inbyggd säkerhet. När hotaktörer söker efter svagheter i ett nätverk utgör dessa enheter en blind fläck som är lätt att utnyttja.
Vad utgör en “ohanterad enhet”?
Ohanterade enheter kan definieras som IP-anslutna enheter som inte har en agent eller konfigurationslösning installerad och som inte skyddas av en endpoint agent I denna Forrester-undersökning uppgav 69% av de tillfrågade att hälften eller fler av enheterna i deras nätverk antingen var ohanterade eller IoT-enheter utanför deras synlighet. Dessutom angav 26% att de hade tre gånger så många ohanterade enheter som hanterade enheter i sina nätverk. Studien visade även att 79 % av de säkerhetsansvariga på företagen var mycket till extremt oroade över enhetssäkerheten
Hur man upptäcker ohanterade enheter i nätverket
Det finns en anledning till att så många enheter går förlorade i dessa nätverk: det är inte lätt att hitta ohanterade enheter. En IT-partner kan inte bara be Active Directory att visa alla enheter som inte hanteras. Det är möjligt att jämföra AD-data och programvara för nätverkshantering manuellt, men det är en tidskrävande och felbenägen metod. Vad de flesta IT-partners använder (eller behöver) är en lösning som automatiskt kan korrelera och deduplicera data så att de kan åtgärda problemet på snabbast möjliga sätt.
Typer av data som behövs vid sökning efter ohanterade enheter
I din typiska manuella jakt på ohanterade enheter behöver du följande datakällor:
- Data om nätverk/infrastruktur: Få insyn i alla enheter i en miljö genom åtkomst till nätverksinfrastrukturen
- Katalogtjänster: Tjänster som Active Directory eller Azure AD som autentiserar användare och enheter
- Lösningar för Endpoint Management: Tjänster som SCCM och Jamf Pro
Använda Microsoft Defender för att upptäcka ohanterade enheter
Microsoft har lagt till möjligheten att upptäcka och säkra ohanterade endpoints och nätverksenheter i Microsoft Defender for Endpoint. Eftersom detta är en integrerad funktion behövs ingen installation av hårdvara eller programvara i kompatibla IT-miljöer. När nätverksenheter upptäcks med hjälp av denna metod får IT-administratörerna de senaste säkerhetsrekommendationerna och sårbarheterna för dem. Upptäckta endpoints kan anslutas till Microsoft Defender for Endpoints. Microsofts inbyggda lösningar har uppenbara begränsningar. De flesta IT-partners kräver en lösning som är oberoende av operativsystem och teknik och som kan upptäcka alla enheter i alla miljöer.
Använd NinjaOne för att upptäcka ohanterade endpoints
NinjaOne gör det enkelt att säkerställa att alla endpoints hanteras fullt ut genom automatiserad identifiering och distribution av tillgångar med hjälp av Microsoft Active Directory. Periodiska skanningar kan schemaläggas för att identifiera ohanterade enheter och distribuera en hanteringsagent till tillgången på ett smidigt sätt. SNMP-aktiverade enheter kan även enkelt upptäckas av den integrerade nätverksövervakningssonden. Alla tillgångar är automatiskt grupperade och sökbara efter insamlade datapunkter, vilket gör det otroligt snabbt och enkelt att hitta och hantera en tillgång. Med flexibla anpassade fält kan du samla in nästan alla data om en endpoint för klassificering och hantering av enheter.
Så håller du ohanterade endpoints borta från nätverket
I en perfekt värld skulle det inte vara nödvändigt att hitta och hantera obehöriga enheter. Du vet mycket väl att i verkliga operativa nätverk kommer nya enheter alltid att hitta sin väg in i nätverket. IT-partners och deras kunder kan vidta åtgärder för att minska antalet obehöriga och ohanterade enheter i nätverket, och för att ta reda på vem som ansvarar för dessa enheter. Enligt CISA:s CISA FAQ om åtkomsthantering kan följande åtgärder vidtas för att minska antalet obehöriga och ohanterade enheter som förekommer i nätverket:
- Policyn kan kräva att administratörer placerar nya enheter i önskad statusinventering innan de läggs till. Ofta ansluter systemadministratörer nya enheter för att sedan patcha och konfigurera dem i produktionsnätverket. Detta gör det möjligt att kompromettera enheterna.Dessutom läggs enheterna ofta till i nätverket innan de registreras i Active Directory (eller någon annan datakälla för önskad status som används). Att få administratörer att hålla den önskade statusen uppdaterad (redigerad innan maskinen dyker upp) kommer att minska antalet riskförhållanden för hantering av hårdvarutillgångar.
- Loggning kan spåra när obehöriga och ohanterade enheter är anslutna till nätverket, vad de är anslutna till och vem som har loggat in på dem. Alla dessa data kan användas för att utreda vem som har anslutit enheterna. När personen väl har hittats kan man förhindra att dessa riskförhållanden uppstår genom att informera dem om vad som förväntas.
- Anställda kommer att behöva utbildas. Det bör finnas konsekvenser för personer som ofta ansluter obehöriga enheter, och som gör det efter vederbörlig varning. Även om sådana åtgärder inte kommer att eliminera alla obehöriga och ohanterade enheter, kan dessa åtgärder minska förekomsten av dem, vilket är ett positivt steg.
Utmaningar kring ohanterade enheter
Även om ohanterade enheter utgör en inneboende säkerhetsrisk finns det flera faktorer som kan påverka hur stor fara de utgör. IT-leverantörer och organisationer bör vara medvetna om dessa utmaningar och hotbilder:
Underlåtenhet att genomföra riskbedömningar
Precis som med resten av nätverket är det viktigt att utföra riskbedömningar på ohanterade enheter. Finns det några kända sårbarheter eller konfigurationsproblem? Detta kan vara svårt när man inte kan sätta en agent på enheten, så ett flexibelt (och teknikoberoende) verktyg för enhetsupptäckt och agent kan vara till stor hjälp.
Medfödda riskabla enheter
Vissa enheter har allvarliga problem som kan vara svåra att skydda sig mot. Peer-to-peer är notoriskt svårt att säkra, och forskning har visat att sådana enheter kan nås på distans över internet, även genom en brandvägg, eftersom de är konfigurerade för att kontinuerligt hitta sätt att ansluta till ett globalt delat nätverk. Det är viktigt att utvärdera IoT-verktyg och hårdvara för att upptäcka potentiella risker och undvika P2P-utnyttjande. Du bör även undersöka enhetens policy för uppdatering av inbyggd programvara och hålla dessa enheter uppdaterade (som alltid).
Standardkonfigurationer/misskonfigurationer
Konfigurationsproblem har lett till många dataintrång. Välkända standardkonfigurationer kan ge cyberbrottslingar nycklarna till ditt nätverk. Enkla åtgärder som att ändra eller ta bort standardinloggningen för administratörer för dina säkerhetskameror kan göra stor skillnad. Lösenord och autentiseringsuppgifter bör hanteras noggrant, och se upp för odokumenterade bakdörrskonton. Felkonfiguration är ett annat stort problem. Bortsett från missöden med åtkomstkontroll låter användare ofta onödiga funktioner vara påslagna, som Universal Plug and Play (UPnP), eller öppnar oavsiktligt portar som kan fungera som åtkomstpunkter för angripare.
Bristande segmentering av nätverket
Genom att sätta en brandvägg mellan varje enhet och internet kan man förhindra att hackare tar sig in i nätverket. IT-personal bör sortera ohanterade enheter i egna nätverkssegment, åtskilda från företagets enheter och gästnätverket. Detta hindrar hotaktörer från att använda en ohanterad enhet som en ingångspunkt och sedan förflytta sig i sidled för att exfiltrera data eller installera skadlig kod. Det finns sätt att kringgå nätverkssegmentering, men denna åtgärd är fortfarande värd att vidta.
Dålig förvaltning av tillgångar
Alla listor över bästa praxis för cybersäkerhet – inklusive NIST:s ramverk för cybersäkerhet – visar att identifiering av alla enheter i nätverket är grundläggande för säkerheten. Det räcker inte att bara söka efter fysiskt anslutna enheter i nätverket, även enheter som ansluts via Wi-Fi och Bluetooth måste hanteras.
Brist på kontinuerlig övervakning
De flesta ohanterade enheter är svårare att skanna än traditionella datorer som är anslutna till ett nätverk, så det är ännu viktigare att övervaka deras användning/beteende och leta efter något misstänkt. Logginsamling, maskininlärning och SIEM/SOC spelar alla en roll i den moderna cybersäkerhetsstacken av denna viktiga anledning.
Samarbete med NinjaOne
Fullständig insyn är avgörande för en effektiv ledning. NinjaOne finns här för att hjälpa IT-partners att hantera sin verksamhet effektivt och säkert. Tusentals användare förlitar sig på vår banbrytande RMM-plattform för att hantera komplexiteten i modern IT-hantering. Är du inte Ninja-partner ännu? Vi vill fortfarande hjälpa dig att effektivisera din verksamhet för managed services! Besök vår blogg för resurser och användbara guider, registrera dig för Bento för att få viktig vägledning i din inkorg och delta i våra livechattar för personliga diskussioner med kanalexperter. Om du är redo att bli en NinjaOne-partner, boka en demo eller starta din 14-dagars gratis provperiod för att se varför över 10 000 kunder redan har valt NinjaOne som sin partner för säker fjärrhantering.