Teljes felügyelet és az OT-hálózatok
Teljes felügyelet a következő biztonsági alapelvek tervezésére és megvalósítására szolgáló biztonsági stratégia:
| Explicit ellenőrzés | A legkevésbé jogosultsági hozzáférés használata | A szabálysértés feltételezése |
|---|---|---|
| Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján. | Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel. | Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához. |
Implementáljon Teljes felügyelet elveket az operatív technológiai (OT-) hálózatokon, hogy segítsen a kihívások megoldásában, például:
Távoli kapcsolatok vezérlése az OT-rendszerekbe, a hálózati ugróoszlopok védelme és az oldalirányú mozgás megakadályozása a hálózaton
A függő rendszerek közötti összekapcsolások áttekintése és csökkentése, az identitásfolyamatok egyszerűsítése, például a hálózatba bejelentkező alvállalkozók esetében
A hálózat egyetlen meghibásodási pontjának megkeresése, az egyes hálózati szegmensek problémáinak azonosítása, valamint a késések és a sávszélesség szűk keresztmetszeteinek csökkentése
Egyedi kockázatok és kihívások az OT-hálózatok esetében
Az OT hálózati architektúrák gyakran különböznek a hagyományos informatikai infrastruktúrától. Az OT-rendszerek egyedi technológiát használnak a védett protokollokkal, és lehetnek elöregedő platformjai, valamint korlátozott kapcsolatuk és teljesítményük. Az OT-hálózatokra vonatkozó biztonsági követelmények és a fizikai vagy helyi támadásoknak való egyedi kitettségek is lehetnek, például a hálózatba bejelentkező külső alvállalkozókon keresztül.
Mivel az OT-rendszerek gyakran támogatják a kritikus hálózati infrastruktúrákat, gyakran a fizikai biztonság vagy a rendelkezésre állás rangsorolására szolgálnak a biztonságos hozzáféréssel és monitorozással szemben. Előfordulhat például, hogy az OT-hálózatok a többi vállalati hálózati forgalomtól elkülönítve működnek, hogy elkerüljék a rendszeres karbantartás állásidejét, vagy hogy enyhítsék a biztonsági problémákat.
Mivel egyre több OT-hálózat migrál felhőalapú környezetekbe, az Teljes felügyelet alapelvek alkalmazása konkrét kihívásokat jelenthet. Például:
- Az OT-rendszerek nem több felhasználóhoz és szerepköralapú hozzáférési szabályzatokhoz tervezhetők, és csak egyszerű hitelesítési folyamatokkal rendelkeznek.
- Előfordulhat, hogy az OT-rendszerek nem rendelkeznek a biztonságos hozzáférési szabályzatok teljes körű alkalmazásához szükséges feldolgozási teljesítménnyel, és ehelyett megbízhatónak tekintik az összes fogadott forgalmat.
- Az öregedési technológia kihívást jelent a szervezeti ismeretek megőrzése, a frissítések alkalmazása és a standard biztonsági elemzési eszközök használata terén a láthatóság és a fenyegetésészlelés érdekében.
A kritikus fontosságú rendszerek biztonsági biztonsága azonban valós következményekkel járhat a hagyományos informatikai incidenseken túl, és a meg nem felelés hatással lehet a szervezet kormányzati és iparági előírásoknak való megfelelésére.
Teljes felügyelet alapelvek alkalmazása AZ OT-hálózatokra
Továbbra is alkalmazza ugyanazokat az Teljes felügyelet elveket az OT-hálózatokban, mint a hagyományos informatikai hálózatokban, de szükség szerint néhány logisztikai módosítással. Például:
Győződjön meg arról, hogy a hálózatok és eszközök közötti összes kapcsolat azonosítható és felügyelt, megakadályozva a rendszerek közötti ismeretlen kölcsönös függőségeket, és a karbantartási eljárások során váratlan állásidőt tartalmaz.
Mivel egyes OT-rendszerek nem feltétlenül támogatják a szükséges biztonsági eljárásokat, javasoljuk, hogy a hálózatok és eszközök közötti kapcsolatokat korlátozott számú ugró gazdagépre korlátozza. A jump gazdagépek ezután távoli munkamenetek indítására használhatók más eszközökkel.
Győződjön meg arról, hogy a ugró gazdagépek erősebb biztonsági intézkedésekkel és hitelesítési eljárásokkal rendelkeznek, például többtényezős hitelesítéssel és emelt szintű hozzáférés-kezelési rendszerekkel.
Szegmentálja a hálózatot az adathozzáférés korlátozásához, biztosítva az eszközök és szegmensek közötti összes kommunikáció titkosítását és biztonságát, valamint megakadályozza a rendszerek közötti oldalirányú mozgást. Győződjön meg például arról, hogy a hálózathoz hozzáférő összes eszköz előre engedélyezett és biztonságos a szervezet szabályzatainak megfelelően.
Előfordulhat, hogy megbíznia kell a teljes ipari ellenőrzési és biztonsági információs rendszerek (ICS és SIS) közötti kommunikációban. A hálózatokat azonban gyakran tovább oszthatja kisebb területekre, így könnyebben figyelheti a biztonságot és a karbantartást.
Kiértékelheti az olyan jeleket, mint az eszköz helye, állapota és viselkedése, állapotadatok használatával a hozzáférés kapujának vagy a szervizelés jelölőinek használatával. Követelje meg, hogy az eszközök naprakészek legyenek a hozzáféréshez, és elemzések használatával átláthatóvá és skálázhatóvá teheti a védelmet automatizált válaszokkal.
A biztonsági metrikák, például az engedélyezett eszközök és a hálózati forgalom alapkonfigurációjának folyamatos figyelése annak biztosítása érdekében, hogy a biztonsági szegély megtartsa integritását, és a szervezet változásai idővel bekövetkezhessenek. Előfordulhat például, hogy módosítania kell a szegmenseket és a hozzáférési szabályzatokat a személyek, eszközök és rendszerek változásakor.
Teljes felügyelet az IoT-hez készült Defenderrel
A Microsoft Defender for IoT hálózati érzékelők üzembe helyezése az eszközök észleléséhez és az OT-hálózatok közötti forgalom figyeléséhez. Az IoT Defender felméri az eszközei biztonsági réseit, kockázatalapú kockázatcsökkentési lépéseket tesz lehetővé, és folyamatosan figyeli az eszközöket a rendellenes vagy jogosulatlan viselkedésre.
Az OT hálózati érzékelők üzembe helyezésekor használjon helyeket és zónákat a hálózat szegmentálásához.
- A webhelyek számos, adott földrajzi hely szerint csoportosított eszközt tükröznek, például egy adott címen található irodát.
- A zónák egy logikai szegmenst tükröznek egy helyen egy funkcionális terület, például egy adott gyártósor definiálásához.
Rendelje hozzá az egyes OT-érzékelőket egy adott helyhez és zónához, hogy minden egyes OT-érzékelő lefedje a hálózat egy adott területét. Az érzékelő helyek és zónák közötti szegmentálásával figyelheti a szegmensek között áthaladó forgalmat, és biztonsági szabályzatokat kényszeríthet ki az egyes zónákra.
Győződjön meg arról, hogy webhelyalapú hozzáférési szabályzatokat rendel hozzá, hogy az IoT-adatokhoz és -tevékenységekhez a Defenderhez a legkevésbé kiemelt hozzáférést biztosíthassa.
Ha például a növekvő vállalatnak vannak gyárai és irodái Párizsban, Lagosban, Dubaiban és Tianjinben, az alábbiak szerint szegmentálta a hálózatot:
| Site | Zóna |
|---|---|
| Párizsi iroda | - Földszint (Vendégek) - 1. emelet (Értékesítés) - 2. emelet (ügyvezető) |
| Lagos office | - Földszint (Irodák) - Emeletek 1-2 (Gyár) |
| Dubaji iroda | - Földszint (Konferenciaközpont) - 1. emelet (Értékesítés) - 2. emelet (irodák) |
| Tianjin-iroda | - Földszint (Irodák) - Emeletek 1-2 (Gyár) |
További lépések
Hozzon létre webhelyeket és zónákat az OT-érzékelők előkészítése során az Azure Portalon, és rendeljen helyalapú hozzáférési szabályzatokat az Azure-felhasználókhoz.
Ha egy helyszíni felügyeleti konzollal légi környezetben dolgozik, hozzon létre ot-helyet és zónákat közvetlenül a helyszíni felügyeleti konzolon.
Használjon beépített Defender for IoT-munkafüzeteket, és hozzon létre saját egyéni munkafüzeteket a biztonsági szegélyek időbeli figyeléséhez.
For more information, see:
- Helyek és zónák létrehozása EGY OT-érzékelő előkészítésekor
- Webhelyalapú hozzáférés-vezérlés kezelése
- Az OT-hálózat monitorozása Teljes felügyelet alapelveivel
For more information, see: