Samouczek: monitorowanie sieci OT za pomocą zasad zero trust
Zero Trust to strategia zabezpieczeń do projektowania i implementowania następujących zestawów zasad zabezpieczeń:
Jawną weryfikację | Korzystanie z dostępu z najmniejszymi uprawnieniami | Zakładanie naruszeń zabezpieczeń |
---|---|---|
Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. | Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. | Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. |
Usługa Defender for IoT używa definicji lokacji i strefy w sieci OT, aby zapewnić zachowanie higieny sieci i zachowanie oddzielnego i bezpiecznego podsystemu.
W tym samouczku opisano sposób monitorowania sieci OT za pomocą zasad usługi Defender for IoT i Zero Trust.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
Ważne
Strona Rekomendacje w witrynie Azure Portal jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wymagania wstępne
Aby wykonać zadania w tym samouczku, potrzebne są następujące elementy:
Plan usługi Defender for IoT OT w ramach subskrypcji platformy Azure
Wiele czujników OT połączonych z chmurą wdrożonych, przesyłanych strumieniowo danych ruchu do usługi Defender for IoT. Każdy czujnik powinien być przypisany do innej lokacji i strefy, zachowując oddzielne i bezpieczne segmenty sieci. Aby uzyskać więcej informacji, zobacz Dołączanie czujników OT do usługi Defender dla IoT.
Następujące uprawnienia:
Dostęp do witryny Azure Portal jako administrator zabezpieczeń, współautor lub właściciel. Aby uzyskać więcej informacji, zobacz Role i uprawnienia użytkownika platformy Azure dla usługi Defender dla IoT.
Dostęp do czujników jako użytkownik Administracja lub analityk zabezpieczeń. Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.
Wyszukiwanie alertów dotyczących ruchu między podsieciami
Ruch między podsieciami jest ruchem, który przenosi się między lokacjami i strefami.
Ruch między podsieciami może być uzasadniony, na przykład wtedy, gdy wewnętrzny system wysyła komunikaty powiadomień do innych systemów. Jeśli jednak wewnętrzny system wysyła komunikację do serwerów zewnętrznych, chcesz sprawdzić, czy komunikacja jest zgodna z prawem. Jeśli pojawiają się komunikaty, czy zawierają one informacje, które mogą być udostępniane? Czy ruch jest przychodzący, czy pochodzi z bezpiecznych źródeł?
Sieć została oddzielona lokacjami i strefami, aby zachować oddzielny i bezpieczny każdy podsystem i może oczekiwać, że większość ruchu w określonej lokacji lub strefie pozostanie wewnętrzna w tej lokacji lub strefie. Jeśli widzisz ruch między podsieciami, może to oznaczać, że sieć jest zagrożona.
Aby wyszukać ruch między podsieciami:
Zaloguj się do czujnika sieciowego OT, który chcesz zbadać, i wybierz pozycję Mapa urządzenia po lewej stronie.
Rozwiń okienko Grupy po lewej stronie mapy, a następnie wybierz pozycję Filtruj>podsieć krzyżową Połączenie ion.
Na mapie powiększ wystarczająco dużo, aby można było wyświetlić połączenia między urządzeniami. Wybierz określone urządzenia, aby wyświetlić okienko szczegółów urządzenia po prawej stronie, w którym można dokładniej zbadać urządzenie.
Na przykład w okienku szczegółów urządzenia wybierz pozycję Raport aktywności, aby utworzyć raport aktywności i dowiedzieć się więcej o konkretnych wzorcach ruchu.
Wyszukiwanie alertów na nieznanych urządzeniach
Czy wiesz, z jakich urządzeń korzystasz z sieci i z kim się komunikują? Usługa Defender dla IoT wyzwala alerty dla każdego nowego, nieznanego urządzenia wykrytego w podsieciach OT, dzięki czemu można je zidentyfikować i zapewnić bezpieczeństwo urządzenia i bezpieczeństwo sieci.
Nieznane urządzenia mogą obejmować urządzenia przejściowe , które przechodzą między sieciami. Na przykład urządzenia przejściowe mogą zawierać laptop technika, który łączy się z siecią podczas utrzymywania serwerów lub smartfona gościa, który łączy się z siecią gościa w biurze.
Ważne
Po zidentyfikowaniu nieznanych urządzeń należy zbadać wszelkie dalsze alerty wyzwalane przez te urządzenia, ponieważ każdy podejrzany ruch na nieznanych urządzeniach stwarza dodatkowe ryzyko.
Aby sprawdzić, czy nieautoryzowane/nieznane urządzenia i ryzykowne witryny i strefy:
W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Alerty , aby wyświetlić alerty wyzwalane przez wszystkie czujniki połączone z chmurą. Aby znaleźć alerty dla nieznanych urządzeń, odfiltruj alerty o następujących nazwach:
- Wykryto nowy zasób
- Urządzenie pola zostało nieoczekiwanie odnalezione
Wykonaj każdą akcję filtru oddzielnie. Dla każdej akcji filtru wykonaj następujące czynności, aby zidentyfikować ryzykowne lokacje i strefy w sieci, które mogą wymagać odświeżonych zasad zabezpieczeń:
Grupuj alerty według witryny , aby sprawdzić, czy masz określoną witrynę generującą wiele alertów dla nieznanych urządzeń.
Dodaj filtr Strefa do wyświetlanych alertów, aby zawęzić alerty do określonych stref.
Określone witryny lub strefy, które generują wiele alertów dla nieznanych urządzeń, są zagrożone. Zalecamy odświeżenie zasad zabezpieczeń, aby zapobiec nawiązywaniu połączenia z siecią tak wielu nieznanych urządzeń.
Aby zbadać określony alert dla nieznanych urządzeń:
Na stronie Alerty wybierz alert, aby wyświetlić więcej szczegółów w okienku po prawej stronie i na stronie szczegółów alertu.
Jeśli nie masz jeszcze pewności, czy urządzenie jest zgodne z prawem, zbadaj dokładniej powiązany czujnik sieciowy OT.
- Zaloguj się do czujnika sieciowego OT, który wyzwolił alert, a następnie znajdź alert i otwórz stronę szczegółów alertu.
- Użyj kart Widok mapy i Oś czasu zdarzeń, aby zlokalizować miejsce w sieci, w której wykryto urządzenie, oraz wszelkie inne zdarzenia, które mogą być powiązane.
Zniweluj ryzyko zgodnie z potrzebami, wykonując jedną z następujących czynności:
- Dowiedz się, czy urządzenie jest uzasadnione, aby alert nie został ponownie wyzwolony dla tego samego urządzenia. Na stronie szczegółów alertu wybierz pozycję Learn.
- Zablokuj urządzenie, jeśli nie jest zgodne z prawem.
Wyszukiwanie nieautoryzowanych urządzeń
Zalecamy proaktywne obserwowanie nowych, nieautoryzowanych urządzeń wykrytych w sieci. Regularne sprawdzanie nieautoryzowanych urządzeń może pomóc w zapobieganiu zagrożeniom nieautoryzowanym lub potencjalnie złośliwym urządzeniom, które mogą przeniknąć do sieci.
Na przykład użyj zalecenia Przejrzyj nieautoryzowane urządzenia , aby zidentyfikować wszystkie nieautoryzowane urządzenia.
Aby przejrzeć nieautoryzowane urządzenia:
- W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Rekomendacje (wersja zapoznawcza) i wyszukaj zalecenie Przejrzyj nieautoryzowane urządzenia.
- Wyświetl urządzenia wymienione na karcie Urządzenia w złej kondycji. Każde z tych urządzeń nieautoryzowane i może stanowić zagrożenie dla sieci.
Wykonaj kroki korygowania, takie jak oznaczenie urządzenia jako autoryzowane, jeśli urządzenie jest znane, lub odłącz urządzenie od sieci, jeśli urządzenie pozostanie nieznane po zbadaniu.
Aby uzyskać więcej informacji, zobacz Ulepszanie stanu zabezpieczeń za pomocą zaleceń dotyczących zabezpieczeń.
Napiwek
Możesz również przejrzeć nieautoryzowane urządzenia, filtrując spis urządzeń według pola Autoryzacja , pokazując tylko urządzenia oznaczone jako Nieautoryzowane.
Wyszukiwanie systemów podatnych na zagrożenia
Jeśli masz urządzenia w sieci z nieaktualnym oprogramowaniem lub oprogramowaniem układowym, mogą być narażone na ataki. Urządzenia, które są kompleksowe i nie mają więcej aktualizacji zabezpieczeń, są szczególnie narażone.
Aby wyszukać systemy podatne na zagrożenia:
W usłudze Defender for IoT w witrynie Azure Portal wybierz pozycję Luki w zabezpieczeniach skoroszytów>, aby otworzyć skoroszyt Luk w zabezpieczeniach.
W selektorze Subskrypcja w górnej części strony wybierz subskrypcję platformy Azure, w której są dołączane czujniki OT.
Skoroszyt jest wypełniany danymi z całej sieci.
Przewiń w dół, aby wyświetlić listy zagrożonych urządzeń i składników podatnych na zagrożenia. Te urządzenia i składniki w sieci wymagają uwagi, na przykład oprogramowania układowego lub aktualizacji oprogramowania lub wymiany, jeśli nie są dostępne żadne aktualizacje.
W polu SiteName wybierz pozycję w górnej części strony, wybierz co najmniej jedną witrynę, aby przefiltrować dane według witryny. Filtrowanie danych według lokacji może pomóc w zidentyfikowaniu problemów w określonych lokacjach, co może wymagać aktualizacji w całej lokacji lub wymiany urządzeń.
Symulowanie złośliwego ruchu w celu przetestowania sieci
Aby sprawdzić stan zabezpieczeń określonego urządzenia, uruchom raport wektora ataku, aby symulować ruch do tego urządzenia. Użyj symulowanego ruchu, aby zlokalizować i wyeliminować luki w zabezpieczeniach, zanim zostaną wykorzystane.
Aby uruchomić raport wektora ataku:
Zaloguj się do czujnika sieciowego OT, który wykrywa urządzenie, które chcesz zbadać, i wybierz pozycję Wektor ataku po lewej stronie.
Wybierz pozycję + Dodaj symulację, a następnie wprowadź następujące szczegóły w okienku Dodawanie symulacji wektora ataku:
Pole/opcja opis Nazwa/nazwisko Wprowadź zrozumiałą nazwę symulacji, taką jak Zero Trust i data. Maksymalna liczba wektorów Wybierz 20 , aby uwzględnić maksymalną obsługiwaną liczbę połączeń między urządzeniami. Pokaż na mapie urządzenia Opcjonalny. Wybierz, aby wyświetlić symulację na mapie urządzenia czujnika, co pozwala dokładniej zbadać później. Pokaż wszystkie urządzenia / źródłowe Pokaż wszystkie urządzenia docelowe Wybierz oba, aby wyświetlić wszystkie wykryte urządzenia czujnika w symulacji jako możliwe urządzenia źródłowe i urządzenia docelowe. Pozostaw pole Wyklucz urządzenia i Wyklucz podsieci puste, aby uwzględnić cały wykryty ruch w symulacji.
Wybierz pozycję Zapisz i poczekaj na zakończenie działania symulacji. Czas potrzebny na to zależy od ilości ruchu wykrytego przez czujnik.
Rozwiń nową symulację i wybierz dowolny wykryty element, aby wyświetlić więcej szczegółów po prawej stronie. Na przykład:
Poszukaj szczególnie następujących luk w zabezpieczeniach:
Problemy opis Urządzenia uwidocznione w Internecie Na przykład te luki w zabezpieczeniach mogą być wyświetlane z komunikatem Uwidocznione na zagrożenia zewnętrzne z powodu łączności z Internetem. Urządzenia z otwartymi portami Otwarte porty mogą być legalnie używane do dostępu zdalnego, ale mogą być również ryzykowne.
Na przykład te luki w zabezpieczeniach mogą być wyświetlane z komunikatem podobnym do Dozwolone dostęp zdalny przy użyciu programu TeamViewer Dozwolone dostęp zdalny przy użyciu pulpitu zdalnegoPołączenie między urządzeniami, które przecinają podsieci Na przykład może zostać wyświetlony komunikat o bezpośrednim połączeniu między urządzeniami, który może być akceptowalny samodzielnie, ale ryzykowny w kontekście przekraczania podsieci.
Monitorowanie wykrytych danych na lokację lub strefę
W witrynie Azure Portal wyświetl dane usługi Defender dla IoT według lokacji i strefy z następujących lokalizacji:
Spis urządzeń: grupuj lub filtruj spis urządzeń według witryny lub strefy.
Alerty: grupuj lub filtruj alerty tylko według witryny. Dodaj kolumnę Lokacja lub Strefa do siatki, aby posortować dane w grupie.
Skoroszyty: otwórz skoroszyt luk w zabezpieczeniach usługi Defender for IoT, aby wyświetlić wykryte luki w zabezpieczeniach w poszczególnych witrynach. Możesz również utworzyć niestandardowe skoroszyty dla własnej organizacji, aby wyświetlić więcej danych według witryny i strefy.
Lokacje i czujniki: filtruj czujniki wymienione według lokacji lub strefy.
Przykładowe alerty do obejrzenia
Podczas monitorowania usługi Zero Trust na poniższej liście przedstawiono przykład ważnych alertów usługi Defender dla IoT, które należy obserwować:
- Nieautoryzowane urządzenie połączone z siecią, zwłaszcza wszelkie złośliwe żądania nazw adresów IP/domen
- Wykryto znane złośliwe oprogramowanie
- Nieautoryzowane połączenie z Internetem
- Nieautoryzowany dostęp zdalny
- Wykryto operację skanowania sieci
- Nieautoryzowane programowanie PLC
- Zmiany w wersjach oprogramowania układowego
- "PLC Stop" i inne potencjalnie złośliwe polecenia
- Urządzenie jest podejrzane o odłączenie
- Błąd żądania usługi Ethernet/IP CIP
- Operacja BACnet nie powiodła się
- Niedozwolona operacja DNP3
- Nieautoryzowane logowanie za pomocą protokołu SMB
Następne kroki
Może być konieczne wprowadzenie zmian w segmentacji sieci na podstawie wyników monitorowania lub zmiany osób i systemów w organizacji w miarę upływu czasu.
Zmodyfikuj strukturę lokacji i stref oraz przypisz ponownie zasady dostępu oparte na lokacjach, aby zapewnić, że będą one zawsze zgodne z bieżącą rzeczywistością sieci.
Oprócz korzystania z wbudowanego skoroszytu usługi Defender dla luk w zabezpieczeniach IoT utwórz więcej skoroszytów niestandardowych w celu zoptymalizowania ciągłego monitorowania.
Aby uzyskać więcej informacji, zobacz: