Tutorial: Supervisión de las redes de OT con principios de Confianza cero

Confianza cero es una estrategia de seguridad para diseñar e implementar los siguientes conjuntos de principios de seguridad:

Comprobar de forma explícita.	Utilizar el acceso con menos privilegios	Asumir la vulneración.
Autentique y autorice siempre en función de todos los puntos de datos disponibles.	Limite el acceso de usuario con Just-In-Time y Just-Enough-Access (JIT/JEA), directivas adaptables basadas en riesgos y protección de datos.	Minimizar el radio de explosión y el acceso a segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.

Defender para IoT usa definiciones de sitio y zona en toda la red de OT para asegurarse de que mantiene la higiene de la red y mantiene cada subsistema independiente y seguro.

En este tutorial se describe cómo supervisar la red ot con Defender para IoT y Confianza cero principios.

En este tutorial, aprenderá a:

• Buscar alertas en dispositivos desconocidos
• Buscar sistemas vulnerables
• Buscar alertas sobre el tráfico entre subredes
• Simulación de tráfico malintencionado para probar la red

Importante

La página Recomendaciones de la Azure Portal está actualmente en VERSIÓN PRELIMINAR. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para ver términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.

Requisitos previos

Para realizar las tareas de este tutorial, necesita:

• Un plan ot de Defender para IoT en la suscripción de Azure

• Varios sensores ot conectados a la nube implementados, que transmiten datos de tráfico a Defender para IoT. Cada sensor debe asignarse a un sitio y zona diferentes, manteniendo cada uno de los segmentos de red separados y seguros. Para obtener más información, consulte Incorporación de sensores ot a Defender para IoT.

• Los permisos siguientes:

  • Acceso al Azure Portal como administrador de seguridad, colaborador o usuario propietario. Para obtener más información, consulte Azure roles de usuario y permisos para Defender para IoT.

  • Acceso a los sensores como usuario Administración o analista de seguridad. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

Buscar alertas sobre el tráfico entre subredes

El tráfico entre subredes es el tráfico que se mueve entre sitios y zonas.

El tráfico entre subredes puede ser legítimo, como cuando un sistema interno envía mensajes de notificación a otros sistemas. Sin embargo, si un sistema interno envía comunicaciones a servidores externos, quiere comprobar que la comunicación es legítima. Si hay mensajes que salen, ¿incluyen información que se puede compartir? Si entra tráfico, ¿procede de orígenes seguros?

Ha separado la red en sitios y zonas para mantener cada subsistema independiente y seguro, y puede esperar que la mayoría del tráfico de un sitio o zona específico permanezca interno en ese sitio o zona. Si ve tráfico entre subredes, podría indicar que la red está en riesgo.

Para buscar tráfico entre subredes:

1. Inicie sesión en un sensor de red OT que quiera investigar y seleccione Mapa de dispositivos a la izquierda.

2. Expanda el panel Grupos a la izquierda del mapa y seleccione Filtrar>conexión entre subredes.

3. En el mapa, acerca lo suficiente para que puedas ver las conexiones entre dispositivos. Seleccione dispositivos específicos para mostrar un panel de detalles del dispositivo a la derecha, donde puede investigar más el dispositivo.

   Por ejemplo, en el panel de detalles del dispositivo, seleccione Informe de actividad para crear un informe de actividad y obtener más información sobre patrones de tráfico específicos.

Buscar alertas en dispositivos desconocidos

¿Sabe qué dispositivos hay en la red y con quién se comunican? Defender para IoT desencadena alertas para cualquier dispositivo nuevo y desconocido detectado en subredes OT para que pueda identificarlo y garantizar tanto la seguridad del dispositivo como la seguridad de red.

Los dispositivos desconocidos pueden incluir dispositivos transitorios , que se mueven entre redes. Por ejemplo, los dispositivos transitorios pueden incluir un portátil de un técnico, que se conecta a la red al mantener los servidores, o el teléfono inteligente de un visitante, que se conecta a una red invitada en su oficina.

Importante

Una vez que haya identificado dispositivos desconocidos, asegúrese de investigar las alertas adicionales desencadenadas por esos dispositivos, ya que cualquier tráfico sospechoso en dispositivos desconocidos crea un riesgo adicional.

Para comprobar si hay dispositivos no autorizados o desconocidos y sitios y zonas de riesgo:

1. En Defender para IoT en el Azure Portal, seleccione Alertas para ver las alertas desencadenadas por todos los sensores conectados a la nube. Para buscar alertas para dispositivos desconocidos, filtre las alertas con los nombres siguientes:

   • Nuevo recurso detectado
   • Dispositivo de campo detectado inesperadamente

   Realice cada acción de filtro por separado. Para cada acción de filtro, haga lo siguiente para identificar sitios y zonas de riesgo en la red, lo que puede requerir directivas de seguridad actualizadas:

   1. Agrupe las alertas por sitio para ver si tiene un sitio específico que genera muchas alertas para dispositivos desconocidos.

   2. Agregue el filtro Zona a las alertas mostradas para restringir las alertas a zonas específicas.

Los sitios o zonas específicos que generan muchas alertas para dispositivos desconocidos están en riesgo. Se recomienda actualizar las directivas de seguridad para evitar que tantos dispositivos desconocidos se conecten a la red.

Para investigar una alerta específica para dispositivos desconocidos:

1. En la página Alertas , seleccione una alerta para ver más detalles en el panel de la derecha y en la página de detalles de la alerta.

2. Si aún no está seguro de si el dispositivo es legítimo, investigue más en el sensor de red OT relacionado.

   • Inicie sesión en el sensor de red ot que desencadenó la alerta y, a continuación, busque la alerta y abra la página de detalles de la alerta.
   • Use las pestañas Vista de mapa y Escala de tiempo de eventos para buscar dónde se detectó el dispositivo en la red y cualquier otro evento que pueda estar relacionado.

3. Para mitigar el riesgo según sea necesario, realice una de las siguientes acciones:

   • Obtenga información sobre la alerta si el dispositivo es legítimo para que la alerta no se desencadene de nuevo para el mismo dispositivo. En la página de detalles de la alerta, seleccione Learn.
   • Bloquee el dispositivo si no es legítimo.

Buscar dispositivos no autorizados

Se recomienda que observe proactivamente los dispositivos nuevos y no autorizados detectados en la red. La comprobación periódica de dispositivos no autorizados puede ayudar a evitar amenazas de dispositivos no autorizados o potencialmente malintencionados que puedan infiltrarse en la red.

Por ejemplo, use la recomendación Revisar dispositivos no autorizados para identificar todos los dispositivos no autorizados.

Para revisar dispositivos no autorizados:

1. En Defender para IoT en el Azure Portal, seleccione Recomendaciones (versión preliminar) y busque la recomendación Revisar dispositivos no autorizados.
2. Vea los dispositivos enumerados en la pestaña Dispositivos incorrectos . Cada uno de estos dispositivos no autorizados y podría ser un riesgo para la red.

Siga los pasos de corrección, como marcar el dispositivo como autorizado si el dispositivo es conocido por usted, o desconectar el dispositivo de la red si el dispositivo sigue siendo desconocido después de la investigación.

Para obtener más información, consulte Mejora de la posición de seguridad con recomendaciones de seguridad.

Sugerencia

También puede revisar los dispositivos no autorizados filtrando el inventario de dispositivos por el campo Autorización , que muestra solo los dispositivos marcados como No autorizados.

Buscar sistemas vulnerables

Si tiene dispositivos en la red con software o firmware obsoletos, es posible que sean vulnerables a ataques. Los dispositivos que están al final de la vida útil y no tienen más actualizaciones de seguridad son especialmente vulnerables.

Para buscar sistemas vulnerables:

1. En Defender para IoT en el Azure Portal, seleccioneVulnerabilidades de libros> para abrir el libro Vulnerabilidades.

2. En el selector Suscripción de la parte superior de la página, seleccione la suscripción Azure donde se incorporan los sensores de OT.

   El libro se rellena con datos de toda la red.

3. Desplácese hacia abajo para ver las listas de dispositivos vulnerables y componentes vulnerables. Estos dispositivos y componentes de la red requieren atención, como una actualización de firmware o software, o un reemplazo si no hay más actualizaciones disponibles.

4. En SiteName , seleccione en la parte superior de la página, seleccione uno o varios sitios para filtrar los datos por sitio. El filtrado de datos por sitio puede ayudarle a identificar problemas en sitios específicos, lo que puede requerir actualizaciones en todo el sitio o reemplazos de dispositivos.

Simulación de tráfico malintencionado para probar la red

Para comprobar la posición de seguridad de un dispositivo específico, ejecute un informe de vector de ataque para simular el tráfico a ese dispositivo. Use el tráfico simulado para localizar y mitigar las vulnerabilidades antes de que se aprovechen.

Para ejecutar un informe de vector de ataque:

1. Inicie sesión en un sensor de red OT que detecte el dispositivo que desea investigar y seleccione Vector de ataque a la izquierda.

2. Seleccione + Agregar simulación y escriba los siguientes detalles en el panel Agregar simulación de vector de ataque :

   Campo/opción	Descripción
   Name	Escriba un nombre significativo para la simulación, como Confianza cero y la fecha.
   Máximo de vectores	Seleccione 20 para incluir el número máximo admitido de conexiones entre dispositivos.
   Mostrar en el mapa de dispositivos	Opcional. Seleccione esta opción para mostrar la simulación en el mapa del dispositivo del sensor, lo que le permite investigar más adelante.
   Mostrar todos los dispositivos / de origenMostrar todos los dispositivos de destino	Seleccione ambos para mostrar todos los dispositivos detectados del sensor en la simulación como posibles dispositivos de origen y de destino.

   Deje en blanco excluir dispositivos y excluir subredes para incluir todo el tráfico detectado en la simulación.

3. Seleccione Guardar y espere a que la simulación termine de ejecutarse. El tiempo que tarda depende de la cantidad de tráfico detectado por el sensor.

4. Expanda la nueva simulación y seleccione cualquiera de los elementos detectados para ver más detalles a la derecha. Por ejemplo:

   

5. Busque especialmente cualquiera de las siguientes vulnerabilidades:

   Vulnerabilidad	Descripción
   Dispositivos expuestos a Internet	Por ejemplo, estas vulnerabilidades pueden mostrarse con un mensaje expuesto a amenazas externas debido a la conectividad a Internet.
   Dispositivos con puertos abiertos	Los puertos abiertos pueden usarse legítimamente para el acceso remoto, pero también pueden ser un riesgo. Por ejemplo, estas vulnerabilidades pueden mostrarse con un mensaje similar al acceso remoto permitido mediante el acceso remoto permitido de TeamViewer mediante Escritorio remoto
   Conexiones entre dispositivos que cruzan subredes	Por ejemplo, es posible que vea un mensaje de conexión directa entre dispositivos, que podría ser aceptable por sí mismo, pero arriesgado en el contexto de cruzar subredes.

Supervisión de datos detectados por sitio o zona

En el Azure Portal, vea datos de Defender para IoT por sitio y zona desde las siguientes ubicaciones:

• Inventario de dispositivos: agrupa o filtra el inventario de dispositivos por sitio o zona.

• Alertas: agrupa o filtra solo las alertas por sitio. Agregue la columna Sitio o Zona a la cuadrícula para ordenar los datos dentro del grupo.

• Libros: abra el libro Vulnerabilidades de Defender para IoT para ver las vulnerabilidades detectadas por sitio. También puede crear libros personalizados para su propia organización para ver más datos por sitio y zona.

• Sitios y sensores: Filtre los sensores enumerados por sitio o zona.

Alertas de ejemplo para las que se va a observar

Al supervisar Confianza cero, la lista siguiente es un ejemplo de alertas importantes de Defender para IoT para las que debe estar atento:

• Dispositivo no autorizado conectado a la red, especialmente cualquier solicitud de nombre de dominio o IP malintencionada
• Malware conocido detectado
• Conexión no autorizada a Internet
• Acceso remoto no autorizado
• Operación de detección de red detectada
• Programación de PLC no autorizada
• Cambios en las versiones de firmware

• "PLC Stop" y otros comandos potencialmente malintencionados
• Se sospecha que el dispositivo está desconectado
• Error de solicitud de servicio IP/Ethernet
• Error en la operación de BACnet
• Operación de DNP3 no válida
• Inicio de sesión SMB no autorizado

Pasos siguientes

Es posible que tenga que realizar cambios en la segmentación de red en función de los resultados de la supervisión, o a medida que los usuarios y sistemas de su organización cambien con el tiempo.

Modifique la estructura de los sitios y zonas y reasigne directivas de acceso basadas en el sitio para asegurarse de que siempre coinciden con las realidades de red actuales.

Además de usar el libro integrado Vulnerabilidades de Defender para IoT, cree más libros personalizados para optimizar la supervisión continua.

Para más información, vea:

• Administración de sensores con Defender para IoT en el Azure Portal
• Administración del control de acceso basado en el sitio (versión preliminar pública)
• Visualización de Microsoft Defender para datos de IoT con libros de Azure Monitor