Supervisión de amenazas de OT en SOC empresariales

A medida que más sectores críticos para la empresa transforman sus sistemas OT en infraestructuras de TI digitales, los equipos del centro de operaciones de seguridad (SOC) y los oficiales principales de seguridad de la información (CISO) tienen cada vez más responsabilidades frente las amenazas de las redes de OT.

Junto con las nuevas responsabilidades, los equipos de SOC abordan nuevos desafíos, entre los que se incluyen:

  • Carencia de experiencia y conocimientos de OT en los equipos de SOC actuales en lo que respecta a las alertas de OT, el equipo industrial, los protocolos y el comportamiento de la red. Esto a menudo se traduce en una comprensión imprecisa o reducida de los incidentes de OT y su impacto empresarial.

  • Comunicación y procesos aislados o ineficaces entre organizaciones de OT y SOC.

  • Tecnología y herramientas limitadas, entre las que se incluyen:

    • Falta de visibilidad e información sobre las redes de OT.

    • Información limitada sobre eventos entre redes de TI/OT empresariales, incluidas herramientas que no permiten a los equipos de SOC evaluar y vincular información entre orígenes de datos en entornos de TI/OT.

    • Bajo nivel de corrección de seguridad automatizada para redes de OT.

    • Se precisa un esfuerzo costoso y lento para integrar las soluciones de seguridad de OT en las soluciones de SOC existentes.

Sin telemetría, contexto e integración de OT con herramientas y flujos de trabajo de SOC existentes, las amenazas operativas y de seguridad de OT se pueden controlar incorrectamente o incluso pasar desapercibidas.

Integración de Defender para IoT y Microsoft Sentinel

Microsoft Sentinel es una solución de nube escalable para la respuesta automatizada de orquestación de seguridad (SOAR) de la administración de eventos e información de seguridad (SIEM). Los equipos de SOC pueden usar Microsoft Sentinel para recopilar datos en las redes, detectar e investigar amenazas y responder a incidentes.

La integración de Defender para IoT y Microsoft Sentinel ofrece funcionalidades integradas a los equipos de SOC. Esto les ayuda de una manera eficiente y eficaz a ver y analizar las alertas de seguridad de OT y los incidentes que generan en un contexto de amenazas organizativas más amplio, así como a responder a ello.

Incorpore la telemetría enriquecida de Defender para IoT a Microsoft Sentinel para salvar la brecha entre los equipos de OT y SOC con el conector de datos de Microsoft Sentinel para Defender para IoT y la solución de Microsoft Defender para IoT.

La solución de Microsoft Defender para IoT instala contenido de seguridad de serie en Microsoft Sentinel, incluidas las reglas de análisis para abrir automáticamente incidentes, libros para visualizar y supervisar datos y cuadernos de estrategias para automatizar acciones de respuesta.

Tras la ingesta de los datos de Defender para IoT en Microsoft Sentinel, los expertos en seguridad pueden trabajar con reglas de análisis, libros y cuadernos de estrategias de SOAR específicos de IoT/OT, así como asignaciones de incidentes a MITRE ATT&CK para ICS.

Workbooks

Para visualizar y supervisar los datos de Defender para IoT, use los libros implementados en el área de trabajo de Microsoft Sentinel como parte de la solución de Microsoft Defender para IoT.

Los libros de Defender para IoT proporcionan investigaciones guiadas para entidades de OT basadas en incidentes abiertos, notificaciones de alertas y actividades para recursos de OT. También proporcionan una experiencia de búsqueda en el marco de MITRE ATT&CK® para ICS y están diseñados para permitir que los analistas, ingenieros de seguridad y MSSP conozcan mejor la situación de la posición de seguridad de OT.

Por ejemplo, los libros pueden mostrar alertas por cualquiera de las dimensiones siguientes:

  • Tipo, como infracción de directiva, infracción de protocolo, malware, etc.
  • severity
  • Tipo de dispositivo OT, como PLC, HMI, estación de trabajo de ingeniería, etc.
  • Proveedor de equipos de OT
  • Alertas a lo largo del tiempo

Los libros también muestran el resultado de la asignación de alertas a tácticas de MITRE ATT&CK para ICS, más la distribución de tácticas por recuento y período de tiempo. Por ejemplo:

Imagen del gráfico MITRE ATT&CK

Cuadernos de estrategias de SOAR

Los cuadernos de estrategias son colecciones de acciones correctivas que se puede ejecutar desde Microsoft Sentinel de forma rutinaria. Un cuaderno de estrategias puede ayudar a automatizar y orquestar la respuesta a amenazas. Se puede ejecutar manualmente o establecerse para ejecutarse automáticamente en respuesta a alertas o incidentes específicos, cuando se desencadena mediante una regla de análisis o una regla de automatización, respectivamente.

Por ejemplo, use cuadernos de estrategias de SOAR para:

  • Abrir un vale de recurso en ServiceNow cuando se detecte un nuevo recurso, como una nueva estación de trabajo de ingeniería. Esta alerta puede ser un dispositivo no autorizado que los adversarios pueden usar para reprogramar los PLC.

  • Enviar un correo electrónico a las partes interesadas pertinentes cuando se detecte actividad sospechosa, por ejemplo, la reprogramación de PLC no planeada. El correo se puede enviar al personal de OT, como un ingeniero de control responsable en la línea de producción relacionada.

Escala de tiempo integrada de incidentes

En la tabla siguiente se muestra cómo el equipo de OT, en el lado Defender para IoT, y el equipo de SOC, en el lado Microsoft Sentinel, pueden detectar y responder rápidamente a amenazas en toda la escala de tiempo de ataque.

Microsoft Sentinel Paso Defender para IoT
Desencadenamiento de alertas de OT Las alertas de OT de alta confianza, con tecnología del grupo de investigación de seguridad de la sección 52 de Defender para IoT, se desencadenan en función de los datos ingeridos en Defender para IoT.
Las reglas de análisis abren automáticamente incidentes solo para casos de uso relevantes, lo que evita la fatiga de alertas de OT. Creación de incidente de OT
Los equipos de SOC asignan el impacto empresarial, incluidos los datos sobre el sitio, la línea, los recursos en peligro y los propietarios de OT. Asignación de impacto empresarial de incidentes de OT
Los equipos de SOC mueven el incidente a Activo y comienzan a investigar, mediante conexiones de red y eventos, libros y la página de la entidad del dispositivo OT Investigación de incidentes de OT Las alertas se mueven a Activo y los equipos de OT investigan mediante datos de PCAP, informes detallados y otros detalles del dispositivo
Los equipos de SOC responden con cuadernos de estrategias y cuadernos de OT Respuesta a los incidentes de OT Los equipos de OT suprimen la alerta o la estudian para la próxima vez, según sea necesario.
Una vez mitigada la amenaza, los equipos de SOC cierran el incidente. Cierre de incidentes de OT Una vez mitigada la amenaza, los equipos de OT cierran la alerta.

Pasos siguientes

Para más información, consulte: