Tutorial: Memantau jaringan OT Anda dengan prinsip Zero Trust

Zero Trust adalah strategi keamanan untuk merancang dan menerapkan serangkaian prinsip keamanan berikut:

Memverifikasi secara eksplisit	Gunakan akses hak istimewa minimum	Menganggap pelanggaran
Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia.	Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data.	Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan.

Defender for IoT menggunakan definisi situs dan zona di seluruh jaringan OT Anda untuk memastikan bahwa Anda menjaga kebersihan jaringan dan menjaga setiap subsistem terpisah dan aman.

Tutorial ini menjelaskan cara memantau jaringan OT Anda dengan prinsip Defender for IoT dan Zero Trust.

Dalam tutorial ini, Anda akan mempelajari cara:

• Cari pemberitahuan di perangkat yang tidak diketahui
• Cari sistem yang rentan
• Cari pemberitahuan tentang lalu lintas subnet
• Mensimulasikan lalu lintas berbahaya untuk menguji jaringan Anda

Penting

Halaman Rekomendasi di portal Azure saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Prasyarat

Untuk melakukan tugas dalam tutorial ini, Anda memerlukan:

• Paket Defender untuk IoT OT pada langganan Azure Anda

• Beberapa sensor OT yang terhubung ke cloud yang disebarkan, mengalirkan data lalu lintas ke Defender for IoT. Setiap sensor harus ditetapkan ke situs dan zona yang berbeda, menjaga masing-masing segmen jaringan Anda terpisah dan aman. Untuk informasi selengkapnya, lihat Menyetor sensor OT ke Defender for IoT.

• Izin berikut:

  • Akses ke portal Azure sebagai admin Keamanan, Kontributor, atau pengguna Pemilik. Untuk informasi selengkapnya, lihat Peran dan izin pengguna Azure untuk Defender for IoT.

  • Akses ke sensor Anda sebagai admin atau pengguna Analis Keamanan. Untuk informasi selengkapnya, lihat Pengguna dan peran lokal untuk pemantauan OT dengan Defender for IoT.

Cari pemberitahuan tentang lalu lintas subnet

Lalu lintas subnet adalah lalu lintas yang berpindah antara situs dan zona.

Lalu lintas subnet mungkin sah, seperti ketika sistem internal mengirim pesan pemberitahuan ke sistem lain. Namun, jika sistem internal mengirim komunikasi ke server eksternal, Anda ingin memverifikasi bahwa komunikasi semuanya sah. Jika ada pesan yang keluar, apakah pesan tersebut menyertakan informasi yang dapat dibagikan? Jika ada lalu lintas yang masuk, apakah itu berasal dari sumber yang aman?

Anda telah memisahkan jaringan Anda ke situs dan zona untuk menjaga setiap subsistem terpisah dan aman, dan mungkin mengharapkan sebagian besar lalu lintas di situs atau zona tertentu untuk tetap internal ke situs atau zona tersebut. Jika Anda melihat lalu lintas subnet, itu mungkin menunjukkan bahwa jaringan Anda berisiko.

Untuk mencari lalu lintas subnet:

1. Masuk ke sensor jaringan OT yang ingin Anda selidiki dan pilih Peta perangkat di sebelah kiri.

2. Perluas panel Grup di sebelah kiri peta, lalu pilih Filter>Subnet Silang Koneksi ion.

3. Di peta, perbesar tampilan cukup jauh sehingga Anda dapat melihat koneksi antar perangkat. Pilih perangkat tertentu untuk menampilkan panel detail perangkat di sebelah kanan tempat Anda dapat menyelidiki perangkat lebih lanjut.

   Misalnya, di panel detail perangkat, pilih Laporan Aktivitas untuk membuat laporan aktivitas dan pelajari selengkapnya tentang pola lalu lintas tertentu.

Cari pemberitahuan di perangkat yang tidak diketahui

Apakah Anda tahu perangkat apa yang ada di jaringan Anda, dan dengan siapa mereka berkomunikasi? Defender untuk IoT memicu pemberitahuan untuk perangkat baru yang tidak diketahui yang terdeteksi di subnet OT sehingga Anda dapat mengidentifikasinya dan memastikan keamanan perangkat dan keamanan jaringan Anda.

Perangkat yang tidak diketahui mungkin menyertakan perangkat sementara , yang berpindah antar jaringan. Misalnya, perangkat sementara mungkin menyertakan laptop teknisi, yang terhubung ke jaringan saat memelihara server, atau smartphone pengunjung, yang terhubung ke jaringan tamu di kantor Anda.

Penting

Setelah Anda mengidentifikasi perangkat yang tidak dikenal, pastikan untuk menyelidiki pemberitahuan lebih lanjut yang dipicu oleh perangkat tersebut, karena lalu lintas mencurigakan pada perangkat yang tidak diketahui menciptakan risiko tambahan.

Untuk memeriksa perangkat yang tidak sah/tidak diketahui dan situs dan zona berisiko:

1. Di Defender untuk IoT pada portal Azure, pilih Pemberitahuan untuk melihat pemberitahuan yang dipicu oleh semua sensor yang terhubung ke cloud Anda. Untuk menemukan pemberitahuan untuk perangkat yang tidak dikenal, filter pemberitahuan dengan nama berikut:

   • Aset Baru Terdeteksi
   • Perangkat Bidang Ditemukan Secara Tak Terduga

   Lakukan setiap tindakan filter secara terpisah. Untuk setiap tindakan filter, lakukan hal berikut untuk mengidentifikasi situs dan zona berisiko di jaringan Anda, yang mungkin memerlukan kebijakan keamanan yang di-refresh:

   1. Kelompokkan pemberitahuan Anda menurut Situs untuk melihat apakah Anda memiliki situs tertentu yang menghasilkan banyak pemberitahuan untuk perangkat yang tidak diketahui.

   2. Tambahkan filter Zona ke pemberitahuan yang ditampilkan untuk mempersempit pemberitahuan Anda ke zona tertentu.

Situs atau zona tertentu yang menghasilkan banyak pemberitahuan untuk perangkat yang tidak diketahui berisiko. Kami menyarankan agar Anda menyegarkan kebijakan keamanan untuk mencegah begitu banyak perangkat yang tidak diketahui tersambung ke jaringan Anda.

Untuk menyelidiki pemberitahuan tertentu untuk perangkat yang tidak diketahui:

1. Pada halaman Pemberitahuan , pilih pemberitahuan untuk menampilkan detail selengkapnya di panel di sebelah kanan dan di halaman detail pemberitahuan.

2. Jika Anda belum yakin apakah perangkat sah, selidiki lebih lanjut pada sensor jaringan OT terkait.

   • Masuk ke sensor jaringan OT yang memicu pemberitahuan, lalu temukan pemberitahuan Anda dan buka halaman detail pemberitahuannya.
   • Gunakan tab Tampilan peta dan Garis Waktu Peristiwa untuk menemukan di mana di jaringan perangkat terdeteksi, dan peristiwa lain yang mungkin terkait.

3. Mitigasi risiko sesuai kebutuhan dengan mengambil salah satu tindakan berikut:

   • Pelajari pemberitahuan jika perangkat sah sehingga pemberitahuan tidak dipicu lagi untuk perangkat yang sama. Pada halaman detail pemberitahuan, pilih Pelajari.
   • Blokir perangkat jika tidak sah.

Cari perangkat yang tidak sah

Kami menyarankan agar Anda secara proaktif mengawasi perangkat baru yang tidak sah yang terdeteksi di jaringan Anda. Memeriksa perangkat yang tidak sah secara teratur dapat membantu mencegah ancaman perangkat nakal atau berpotensi berbahaya yang mungkin menyusup ke jaringan Anda.

Misalnya, gunakan rekomendasi Tinjau perangkat yang tidak sah untuk mengidentifikasi semua perangkat yang tidak sah.

Untuk meninjau perangkat yang tidak sah:

1. Di Defender untuk IoT di portal Azure, pilih Rekomendasi (Pratinjau) dan cari rekomendasi Tinjau perangkat yang tidak sah.
2. Lihat perangkat yang tercantum di tab Perangkat tidak sehat. Masing-masing perangkat ini dalam keadaan tidak sah dan mungkin berisiko terhadap jaringan Anda.

Ikuti langkah-langkah remediasi, seperti menandai perangkat sebagai diotorisasi jika perangkat diketahui oleh Anda, atau putuskan sambungan perangkat dari jaringan Anda jika perangkat tetap tidak diketahui setelah penyelidikan.

Untuk informasi selengkapnya, lihat Meningkatkan postur keamanan dengan rekomendasi keamanan.

Tip

Anda juga dapat meninjau perangkat yang tidak sah dengan memfilter inventarisasi perangkat oleh bidang Otorisasi , yang hanya menampilkan perangkat yang ditandai sebagai Tidak Sah.

Cari sistem yang rentan

Jika Anda memiliki perangkat di jaringan Anda dengan perangkat lunak atau firmware yang kedaluarsa, perangkat tersebut mungkin rentan terhadap serangan. Perangkat yang merupakan akhir masa pakai, dan tidak memiliki lebih banyak pembaruan keamanan sangat rentan.

Untuk mencari sistem yang rentan:

1. Di Defender untuk IoT pada portal Azure, pilih Kerentanan> Buku Kerja untuk membuka buku kerja Kerentanan.

2. Di pemilih Langganan di bagian atas halaman, pilih langganan Azure tempat sensor OT Anda di-onboarding.

   Buku kerja diisi dengan data dari seluruh jaringan Anda.

3. Gulir ke bawah untuk melihat daftar perangkat rentan dan komponen Rentan. Perangkat dan komponen ini di jaringan Anda memerlukan perhatian, seperti pembaruan firmware atau perangkat lunak, atau penggantian jika tidak ada lagi pembaruan yang tersedia.

4. Di SiteName pilih di bagian atas halaman, pilih satu atau beberapa situs untuk memfilter data menurut situs. Memfilter data menurut situs dapat membantu Anda mengidentifikasi kekhawatiran di situs tertentu, yang mungkin memerlukan pembaruan di seluruh situs atau penggantian perangkat.

Mensimulasikan lalu lintas berbahaya untuk menguji jaringan Anda

Untuk memverifikasi postur keamanan perangkat tertentu, jalankan laporan vektor Serangan untuk mensimulasikan lalu lintas ke perangkat tersebut. Gunakan lalu lintas yang disimulasikan untuk menemukan dan mengurangi kerentanan sebelum dieksploitasi.

Untuk menjalankan laporan vektor Serangan:

1. Masuk ke sensor jaringan OT yang mendeteksi perangkat yang ingin Anda selidiki, dan pilih Vektor serangan di sebelah kiri.

2. Pilih + Tambahkan simulasi, lalu masukkan detail berikut di panel Tambahkan simulasi vektor serangan:

   Bidang / Opsi	Deskripsi
   Nama	Masukkan nama yang bermakna untuk simulasi Anda, seperti Zero Trust dan tanggal.
   Vektor Maksimum	Pilih 20 untuk menyertakan jumlah koneksi maksimum yang didukung antar perangkat.
   Perlihatkan di Peta Perangkat	Opsional. Pilih untuk menampilkan simulasi di peta perangkat sensor, yang memungkinkan Anda menyelidiki lebih lanjut setelahnya.
   Perlihatkan Semua Perangkat / Sumber Perlihatkan semua Perangkat Target	Pilih keduanya untuk menampilkan semua perangkat sensor yang terdeteksi dalam simulasi Anda sebagai mungkin perangkat sumber dan perangkat tujuan.

   Biarkan Kecualikan Perangkat dan Kecualikan Subnet kosong untuk menyertakan semua lalu lintas yang terdeteksi dalam simulasi Anda.

3. Pilih Simpan dan tunggu hingga simulasi selesai berjalan. Waktu yang diperlukan tergantung pada jumlah lalu lintas yang terdeteksi oleh sensor Anda.

4. Perluas simulasi baru dan pilih salah satu item yang terdeteksi untuk melihat detail selengkapnya di sebelah kanan. Misalnya:

   

5. Carilah salah satu kerentanan berikut:

   Kerentanan	Deskripsi
   Perangkat yang terekspos ke internet	Misalnya, kerentanan ini mungkin ditampilkan dengan pesan Terpapar ancaman eksternal karena konektivitas internet.
   Perangkat dengan port terbuka	Port terbuka mungkin secara sah digunakan untuk akses jarak jauh, tetapi juga bisa menjadi risiko. Misalnya, kerentanan ini mungkin ditampilkan dengan pesan yang mirip dengan Akses jarak jauh yang diizinkan menggunakan Akses jarak jauh yang diizinkan TeamViewer menggunakan Desktop Jauh
   Koneksi antar perangkat yang melintasi subnet	Misalnya, Anda mungkin melihat pesan koneksi Langsung antara perangkat, yang mungkin dapat diterima sendiri, tetapi berisiko dalam konteks melintasi subnet.

Memantau data yang terdeteksi per situs atau zona

Di portal Azure, lihat Data Defender for IoT menurut situs dan zona dari lokasi berikut:

• Inventaris perangkat: Mengelompokkan atau memfilter inventaris perangkat menurut situs atau zona.

• Pemberitahuan: Mengelompokkan atau memfilter pemberitahuan berdasarkan situs saja. Tambahkan kolom Situs atau Zona ke kisi Anda untuk mengurutkan data Anda dalam grup Anda.

• Buku kerja: Buka buku kerja Kerentanan Defender for IoT untuk melihat kerentanan yang terdeteksi per situs. Anda mungkin juga ingin membuat buku kerja kustom untuk organisasi Anda sendiri untuk menampilkan lebih banyak data menurut situs dan zona.

• Situs dan sensor: Memfilter sensor yang tercantum menurut situs atau zona.

Contoh pemberitahuan yang harus diwaspadai

Saat memantau Zero Trust, daftar berikut adalah contoh pemberitahuan Defender for IoT penting untuk diwaspadai:

• Perangkat tidak sah yang terhubung ke jaringan, terutama permintaan IP/Nama domain berbahaya
• Malware yang diketahui terdeteksi
• Koneksi tidak sah ke internet
• Akses jarak jauh yang tidak sah
• Operasi pemindaian jaringan terdeteksi
• Pemrograman PLC tidak sah
• Perubahan pada versi firmware

• "PLC Stop" dan perintah lain yang berpotensi berbahaya
• Perangkat diduga terputus
• Kegagalan permintaan layanan Ethernet/IP CIP
• Operasi BACnet gagal
• Operasi DNP3 ilegal
• Login SMB tidak sah

Langkah berikutnya

Anda mungkin perlu membuat perubahan dalam segmentasi jaringan berdasarkan hasil pemantauan Anda, atau saat orang dan sistem di organisasi Anda berubah dari waktu ke waktu.

Ubah struktur situs dan zona Anda, dan tetapkan kembali kebijakan akses berbasis situs untuk memastikan bahwa situs selalu cocok dengan realitas jaringan Anda saat ini.

Selain menggunakan buku kerja Kerentanan Defender for IoT bawaan , buat lebih banyak buku kerja kustom untuk mengoptimalkan pemantauan berkelanjutan Anda.

Untuk informasi selengkapnya, lihat:

• Mengelola sensor dengan Pertahanan untuk IoT di portal Microsoft Azure
• Mengelola kontrol akses berbasis situs (Pratinjau publik)
• Memvisualisasikan data Pertahanan Microsoft untuk IoT dengan buku kerja Azure Monitor