ثقة معدومة وشبكات OT
ثقة معدومة هي استراتيجية أمان لتصميم وتنفيذ المجموعات التالية من مبادئ الأمان:
| التحقق بشكل صريح | استخدام الوصول بأقل امتيازات | افتراض الخرق |
|---|---|---|
| قم دائما بالمصادقة والتخويل استنادا إلى جميع نقاط البيانات المتاحة. | تقييد وصول المستخدم باستخدام Just-In-Time و Just-Enough-Access (JIT/JEA)، والسياسات التكيفية المستندة إلى المخاطر، وحماية البيانات. | تقليل نصف قطر الانفجار والوصول المقطعي. تحقق من التشفير الشامل واستخدم التحليلات للحصول على الرؤية، ودفع اكتشاف التهديدات، وتحسين الدفاعات. |
تنفيذ مبادئ ثقة معدومة عبر شبكات التكنولوجيا التشغيلية (OT) لمساعدتك في مواجهة التحديات، مثل:
التحكم في الاتصالات عن بعد في أنظمة OT، وتأمين منشورات الانتقال السريع للشبكة، ومنع الحركة الجانبية عبر شبكتك
مراجعة الاتصالات المتبادلة بين الأنظمة التابعة وتقليلها، وتبسيط عمليات الهوية، مثل المقاولين الذين يوقعون الدخول إلى شبكتك
العثور على نقاط فشل واحدة في شبكتك، وتحديد المشكلات في أجزاء معينة من الشبكة، وتقليل التأخيرات واختناقات النطاق الترددي
المخاطر والتحديات الفريدة لشبكات OT
غالبا ما تختلف بنيات شبكة OT عن البنية الأساسية التقليدية ل تكنولوجيا المعلومات. تستخدم أنظمة OT تقنية فريدة مع بروتوكولات خاصة، وقد يكون لديها منصات تقادم واتصال محدود وقوة. قد يكون لشبكات OT أيضا متطلبات أمان محددة وتعرض فريد للهجمات المادية أو المحلية، مثل عبر المقاولين الخارجيين الذين يوقعون في شبكتك.
نظرا لأن أنظمة OT غالبا ما تدعم البنية الأساسية للشبكة الهامة، فإنها غالبا ما تكون مصممة لتحديد أولويات السلامة المادية أو التوفر على الوصول والمراقبة الآمنين. على سبيل المثال، قد تعمل شبكات OT بشكل منفصل عن حركة مرور شبكة المؤسسة الأخرى لتجنب وقت التعطل للصيانة المنتظمة أو للتخفيف من مشكلات الأمان المحددة.
مع ترحيل المزيد من شبكات OT إلى البيئات المستندة إلى السحابة، قد يمثل تطبيق مبادئ ثقة معدومة تحديات محددة. على سبيل المثال:
- قد لا يتم تصميم أنظمة OT للعديد من المستخدمين ونهج الوصول المستندة إلى الأدوار، وقد يكون لديها عمليات مصادقة بسيطة فقط.
- قد لا يكون لدى أنظمة OT قوة المعالجة المتاحة لتطبيق نهج الوصول الآمن بالكامل، وبدلا من ذلك تثق في جميع حركة المرور المستلمة على أنها آمنة.
- تمثل تقنية التقادم تحديات في الاحتفاظ بالمعرفة التنظيمية وتطبيق التحديثات واستخدام أدوات تحليلات الأمان القياسية للحصول على الرؤية والكشف عن التهديدات.
ومع ذلك، يمكن أن يؤدي الاختراق الأمني في الأنظمة الحرجة لمهمتك إلى عواقب في العالم الحقيقي تتجاوز حوادث تكنولوجيا المعلومات التقليدية، ويمكن أن يؤثر عدم الامتثال على قدرة مؤسستك على الامتثال للوائح الحكومة والصناعة.
تطبيق مبادئ ثقة معدومة على شبكات OT
استمر في تطبيق نفس المبادئ ثقة معدومة في شبكات OT كما تفعل في شبكات تكنولوجيا المعلومات التقليدية، ولكن مع بعض التعديلات اللوجستية حسب الحاجة. على سبيل المثال:
تأكد من تحديد جميع الاتصالات بين الشبكات والأجهزة وإدارتها، ومنع التداخلات غير المعروفة بين الأنظمة واحتواء أي وقت تعطل غير متوقع أثناء إجراءات الصيانة.
نظرا لأن بعض أنظمة OT قد لا تدعم جميع ممارسات الأمان التي تحتاجها، نوصي بقصر الاتصالات بين الشبكات والأجهزة على عدد محدود من مضيفي الانتقال السريع. يمكن بعد ذلك استخدام مضيفي الانتقال السريع لبدء جلسات عمل بعيدة مع أجهزة أخرى.
تأكد من أن مضيفي الانتقال لديهم إجراءات أمان وممارسات مصادقة أقوى، مثل المصادقة متعددة العوامل وأنظمة إدارة الوصول المتميزة.
قم بتقسيم شبكتك للحد من الوصول إلى البيانات، مع التأكد من تشفير وتأمين جميع الاتصالات بين الأجهزة والقطاعات، ومنع الحركة الجانبية بين الأنظمة. على سبيل المثال، تأكد من أن جميع الأجهزة التي تصل إلى الشبكة مخولة مسبقا ومؤمنة وفقا لسياسات مؤسستك.
قد تحتاج إلى الثقة في الاتصال عبر أنظمة معلومات التحكم والسلامة الصناعية بأكملها (ICS وSIS). ومع ذلك، يمكنك غالبا تقسيم شبكتك إلى مناطق أصغر، مما يسهل مراقبة الأمان والصيانة.
تقييم الإشارات مثل موقع الجهاز والصحة والسلوك، باستخدام البيانات الصحية للوصول إلى البوابة أو وضع علامة للمعالجة. تتطلب أن تكون الأجهزة محدثة للوصول، واستخدام التحليلات للحصول على الرؤية وتوسيع نطاق الدفاعات مع الاستجابات التلقائية.
استمر في مراقبة مقاييس الأمان، مثل الأجهزة المعتمدة وأساس نسبة استخدام الشبكة، للتأكد من أن محيط الأمان الخاص بك يحتفظ بتكامله والتغييرات التي تحدث في مؤسستك بمرور الوقت. على سبيل المثال، قد تحتاج إلى تعديل المقاطع ونهج الوصول مع تغير الأشخاص والأجهزة والأنظمة.
ثقة معدومة مع Defender for IoT
نشر مستشعرات شبكة Microsoft Defender ل IoT للكشف عن الأجهزة ومراقبة نسبة استخدام الشبكة عبر شبكات OT. يقيم Defender for IoT أجهزتك بحثا عن الثغرات الأمنية ويوفر خطوات التخفيف المستندة إلى المخاطر، ويراقب أجهزتك باستمرار بحثا عن سلوك شاذ أو غير مصرح به.
عند نشر مستشعرات شبكة OT، استخدم المواقع والمناطق لتقسيم شبكتك.
- تعكس المواقع العديد من الأجهزة المجمعة حسب موقع جغرافي معين، مثل المكتب على عنوان معين.
- تعكس المناطق مقطعا منطقيا داخل موقع لتحديد منطقة وظيفية، مثل خط إنتاج معين.
قم بتعيين كل مستشعر OT إلى موقع ومنطقة محددة للتأكد من أن كل مستشعر OT يغطي منطقة معينة من الشبكة. يساعدك تقسيم أداة الاستشعار عبر المواقع والمناطق على مراقبة أي حركة مرور تمر بين الشرائح وفرض نهج الأمان لكل منطقة.
تأكد من تعيين نهج الوصول المستندة إلى الموقع بحيث يمكنك توفير الوصول الأقل امتيازا إلى Defender لبيانات وأنشطة IoT.
على سبيل المثال، إذا كانت شركتك المتنامية لديها مصانع ومكاتب في باريس ولاغوس ودبي وتيانجين، فيمكنك تقسيم شبكتك على النحو التالي:
| Site | المناطق |
|---|---|
| مكتب باريس | - الطابق الأرضي (الضيوف) - الطابق الأول (المبيعات) - الطابق الثاني (تنفيذي) |
| مكتب لاغوس | - الطابق الأرضي (المكاتب) - الطوابق 1-2 (مصنع) |
| مكتب دبي | - الطابق الأرضي (مركز المؤتمرات) - الطابق الأول (المبيعات) - الطابق الثاني (المكاتب) |
| مكتب تيانجين | - الطابق الأرضي (المكاتب) - الطوابق 1-2 (مصنع) |
الخطوات التالية
إنشاء مواقع ومناطق أثناء إلحاقك بأجهزة استشعار OT في مدخل Microsoft Azure، وتعيين نهج الوصول المستندة إلى الموقع لمستخدمي Azure.
إذا كنت تعمل في بيئة ذات هواء مع وحدة تحكم إدارة محلية، فبادر بإنشاء موقع ومناطق OT مباشرة على وحدة تحكم الإدارة المحلية.
استخدم مصنفات Defender for IoT المضمنة وأنشئ مصنفات مخصصة خاصة بك لمراقبة محيط الأمان بمرور الوقت.
لمزيد من المعلومات، راجع:
- إنشاء مواقع ومناطق عند إعداد مستشعر OT
- إدارة التحكم في الوصول المستند إلى الموقع
- مراقبة شبكة OT الخاصة بك باستخدام مبادئ ثقة معدومة
لمزيد من المعلومات، راجع: