Tutorial: Monitore suas redes OT com os princípios Zero Trust

Zero Trust é uma estratégia de segurança para projetar e implementar os seguintes conjuntos de princípios de segurança:

Verificar explicitamente	Usar acesso com privilégios mínimos	Assuma a violação
Sempre autentique e autorize com base em todos os pontos de dados disponíveis.	Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados.	Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas.

O Defender for IoT usa definições de local e zona em toda a sua rede OT para garantir que você mantenha a higiene da rede e mantenha cada subsistema separado e seguro.

Este tutorial descreve como monitorar sua rede OT com os princípios Defender for IoT e Zero Trust.

Neste tutorial, irá aprender a:

• Procure alertas em dispositivos desconhecidos
• Procure sistemas vulneráveis
• Procure alertas sobre tráfego entre sub-redes
• Simule tráfego malicioso para testar a sua rede

Importante

A página Recomendações no portal do Azure está atualmente em Pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Pré-requisitos

Para executar as tarefas neste tutorial, você precisa:

• Um plano Defender for IoT OT na sua subscrição do Azure

• Vários sensores OT conectados à nuvem implantados, transmitindo dados de tráfego para o Defender for IoT. Cada sensor deve ser atribuído a um local e zona diferentes, mantendo cada um dos segmentos de rede separados e seguros. Para obter mais informações, consulte Sensores OT integrados ao Defender for IoT.

• As seguintes permissões:

  • Acesso ao portal do Azure como administrador de segurança, colaborador ou usuário proprietário. Para obter mais informações, consulte Funções de usuário e permissões do Azure para o Defender for IoT.

  • Acesso aos seus sensores como administrador ou utilizador do Analista de Segurança . Para obter mais informações, consulte Usuários e funções locais para monitoramento de OT com o Defender for IoT.

Procure alertas sobre tráfego entre sub-redes

O tráfego entre sub-redes é o tráfego que se move entre sites e zonas.

O tráfego entre sub-redes pode ser legítimo, como quando um sistema interno envia mensagens de notificação para outros sistemas. No entanto, se um sistema interno estiver enviando comunicações para servidores externos, você deseja verificar se a comunicação é legítima. Se houver mensagens saindo, elas incluem informações que podem ser compartilhadas? Se houver tráfego entrando, ele vem de fontes seguras?

Você separou sua rede em sites e zonas para manter cada subsistema separado e seguro, e pode esperar que a maioria do tráfego em um site ou zona específica permaneça interna a esse site ou zona. Se você vir tráfego entre sub-redes, isso pode indicar que sua rede está em risco.

Para procurar tráfego entre sub-redes:

1. Inicie sessão num sensor de rede OT que pretende investigar e selecione Mapa do dispositivo à esquerda.

2. Expanda o painel Grupos à esquerda do mapa e selecione Filtrar>Conexão de Sub-rede Cruzada.

3. No mapa, aumente o zoom o suficiente para que você possa visualizar as conexões entre dispositivos. Selecione dispositivos específicos para mostrar um painel de detalhes do dispositivo à direita, onde você pode investigar o dispositivo mais a fundo.

   Por exemplo, no painel de detalhes do dispositivo, selecione Relatório de atividades para criar um relatório de atividades e saber mais sobre padrões de tráfego específicos.

Procure alertas em dispositivos desconhecidos

Você sabe quais dispositivos estão na sua rede e com quem eles estão se comunicando? O Defender for IoT dispara alertas para qualquer dispositivo novo e desconhecido detetado em sub-redes OT para que você possa identificá-lo e garantir a segurança do dispositivo e da rede.

Dispositivos desconhecidos podem incluir dispositivos transitórios , que se movem entre redes. Por exemplo, dispositivos transitórios podem incluir o laptop de um técnico, que ele conecta à rede ao manter servidores, ou o smartphone de um visitante, que se conecta a uma rede de convidados em seu escritório.

Importante

Depois de identificar dispositivos desconhecidos, certifique-se de investigar quaisquer alertas adicionais que estejam sendo acionados por esses dispositivos, pois qualquer tráfego suspeito em dispositivos desconhecidos cria um risco adicional.

Para verificar se há dispositivos não autorizados/desconhecidos e locais e zonas de risco:

1. No Defender for IoT no portal do Azure, selecione Alertas para exibir os alertas acionados por todos os seus sensores conectados à nuvem. Para localizar alertas para dispositivos desconhecidos, filtre alertas com os seguintes nomes:

   • Novo ativo detetado
   • Dispositivo de campo descoberto inesperadamente

   Execute cada ação de filtro separadamente. Para cada ação de filtro, faça o seguinte para identificar sites e zonas de risco na rede, que podem exigir políticas de segurança atualizadas:

   1. Agrupe seus alertas por Site para ver se você tem um site específico que está gerando muitos alertas para dispositivos desconhecidos.

   2. Adicione o filtro Zona aos alertas exibidos para restringir os alertas a zonas específicas.

Sites ou zonas específicas que geram muitos alertas para dispositivos desconhecidos estão em risco. Recomendamos que você atualize suas políticas de segurança para evitar que tantos dispositivos desconhecidos se conectem à sua rede.

Para investigar um alerta específico para dispositivos desconhecidos:

1. Na página Alertas, selecione um alerta para ver mais detalhes no painel à direita e na página de detalhes do alerta.

2. Se você ainda não tem certeza se o dispositivo é legítimo, investigue mais sobre o sensor de rede OT relacionado.

   • Inicie sessão no sensor de rede OT que disparou o alerta e, em seguida, localize o alerta e abra a página de detalhes do alerta.
   • Use as guias Visualização de mapa e Linha do tempo do evento para localizar onde na rede o dispositivo foi detetado e quaisquer outros eventos que possam estar relacionados.

3. Reduza o risco conforme necessário tomando uma das seguintes ações:

   • Saiba mais sobre o alerta se o dispositivo for legítimo para que o alerta não seja acionado novamente para o mesmo dispositivo. Na página de detalhes do alerta, selecione Aprender.
   • Bloqueie o dispositivo se não for legítimo.

Procure dispositivos não autorizados

Recomendamos que esteja proativamente atento a novos dispositivos não autorizados detetados na sua rede. A verificação regular de dispositivos não autorizados pode ajudar a prevenir ameaças de dispositivos fraudulentos ou potencialmente maliciosos que possam infiltrar-se na sua rede.

Por exemplo, use a recomendação Revisar dispositivos não autorizados para identificar todos os dispositivos não autorizados.

Para rever dispositivos não autorizados:

1. No Defender for IoT no portal do Azure, selecione Recomendações (Pré-visualização) e procure a recomendação Rever dispositivos não autorizados.
2. Exiba os dispositivos listados na guia Dispositivos não íntegros. Cada um desses dispositivos não autorizado e pode ser um risco para a sua rede.

Siga as etapas de correção, como marcar o dispositivo como autorizado se o dispositivo for conhecido por você, ou desconectá-lo da rede se o dispositivo permanecer desconhecido após investigação.

Para obter mais informações, consulte Melhorar a postura de segurança com recomendações de segurança.

Gorjeta

Você também pode revisar dispositivos não autorizados filtrando o inventário de dispositivos pelo campo Autorização, mostrando apenas os dispositivos marcados como Não autorizados.

Procure sistemas vulneráveis

Se tiver dispositivos na sua rede com software ou firmware desatualizados, estes poderão estar vulneráveis a ataques. Os dispositivos em fim de vida útil e que não têm mais atualizações de segurança são especialmente vulneráveis.

Para procurar sistemas vulneráveis:

1. No Defender for IoT no portal do Azure, selecione Vulnerabilidades das pastas de trabalho para abrir a pasta de>trabalho Vulnerabilidades.

2. No seletor Subscrição na parte superior da página, selecione a subscrição do Azure onde os seus sensores OT estão integrados.

   A pasta de trabalho é preenchida com dados de toda a rede.

3. Desloque-se para baixo para ver as listas de Dispositivos vulneráveis e Componentes vulneráveis. Esses dispositivos e componentes na rede exigem atenção, como uma atualização de firmware ou software, ou substituição se não houver mais atualizações disponíveis.

4. Na seleção SiteName na parte superior da página, selecione um ou mais sites para filtrar os dados por site. A filtragem de dados por site pode ajudá-lo a identificar preocupações em sites específicos, que podem exigir atualizações em todo o site ou substituições de dispositivos.

Simule tráfego malicioso para testar a sua rede

Para verificar a postura de segurança de um dispositivo específico, execute um relatório de vetor de ataque para simular o tráfego para esse dispositivo. Use o tráfego simulado para localizar e mitigar vulnerabilidades antes que elas sejam exploradas.

Para executar um relatório de vetor de ataque:

1. Entre em um sensor de rede OT que deteta o dispositivo que você deseja investigar e selecione Vetor de ataque à esquerda.

2. Selecione + Adicionar simulação e insira os seguintes detalhes no painel Adicionar simulação de vetor de ataque:

   Campo / Opção	Description
   Nome	Insira um nome significativo para sua simulação, como Zero Trust e a data.
   Vetores máximos	Selecione 20 para incluir o número máximo suportado de conexões entre dispositivos.
   Mostrar no Mapa do Dispositivo	Opcional. Selecione para mostrar a simulação no mapa do dispositivo do sensor, o que permite que você investigue mais adiante.
   Mostrar todos os dispositivos de origem Mostrar todos os dispositivos / de destino	Selecione ambos para mostrar todos os dispositivos detetados do sensor em sua simulação como possíveis dispositivos de origem e dispositivos de destino.

   Deixe Excluir dispositivos e Excluir sub-redes em branco para incluir todo o tráfego detetado na sua simulação.

3. Selecione Salvar e aguarde até que a simulação termine a execução. O tempo necessário depende da quantidade de tráfego detetado pelo sensor.

4. Expanda a nova simulação e selecione qualquer um dos itens detetados para ver mais detalhes à direita. Por exemplo:

   

5. Procure especialmente qualquer uma das seguintes vulnerabilidades:

   Vulnerabilidade	Description
   Dispositivos expostos à internet	Por exemplo, essas vulnerabilidades podem ser mostradas com uma mensagem de Exposto a ameaças externas devido à conectividade com a Internet.
   Dispositivos com portas abertas	As portas abertas podem ser legitimamente utilizadas para acesso remoto, mas também podem constituir um risco. Por exemplo, essas vulnerabilidades podem ser mostradas com uma mensagem semelhante a Acesso remoto permitido usando o TeamViewer Acesso remoto permitido usando a Área de Trabalho Remota
   Conexões entre dispositivos que cruzam sub-redes	Por exemplo, você pode ver uma mensagem de Conexão direta entre dispositivos, que pode ser aceitável por si só, mas arriscada no contexto de cruzamento de sub-redes.

Monitorar dados detetados por site ou zona

No portal do Azure, exiba os dados do Defender for IoT por site e zona dos seguintes locais:

• Inventário de dispositivos: agrupe ou filtre o inventário de dispositivos por local ou zona.

• Alertas: agrupe ou filtre alertas apenas por site. Adicione a coluna Site ou Zona à sua grelha para ordenar os seus dados dentro do seu grupo.

• Pastas de trabalho: abra a pasta de trabalho Defender for IoT Vulnerabilities para exibir as vulnerabilidades detetadas por site. Você também pode querer criar pastas de trabalho personalizadas para sua própria organização para exibir mais dados por site e zona.

• Sites e sensores: filtre os sensores listados por local ou zona.

Exemplos de alertas a observar

Ao monitorar o Zero Trust, a lista a seguir é um exemplo de alertas importantes do Defender for IoT a serem observados:

• Dispositivo não autorizado conectado à rede, especialmente quaisquer solicitações maliciosas de IP/nome de domínio
• Malware conhecido detetado
• Ligação não autorizada à Internet
• Acesso remoto não autorizado
• Operação de varredura de rede detetada
• Programação PLC não autorizada
• Alterações às versões de firmware

• "PLC Stop" e outros comandos potencialmente maliciosos
• Suspeita-se que o dispositivo esteja desligado
• Falha na solicitação de serviço CIP Ethernet/IP
• Falha na operação BACnet
• Operação DNP3 ilegal
• Login SMB não autorizado

Próximos passos

Pode ser necessário fazer alterações na segmentação da rede com base nos resultados do monitoramento ou à medida que as pessoas e os sistemas da organização mudam ao longo do tempo.

Modifique a estrutura de seus sites e zonas e reatribua políticas de acesso baseadas em site para garantir que elas sempre correspondam às suas realidades de rede atuais.

Além de usar a pasta de trabalho interna do Defender for IoT Vulnerabilities , crie mais pastas de trabalho personalizadas para otimizar seu monitoramento contínuo.

Para obter mais informações, consulte:

• Gerencie sensores com o Defender for IoT no portal do Azure
• Gerenciar controle de acesso baseado no site (visualização pública)
• Visualizar dados do Microsoft Defender para IoT com pastas de trabalho do Azure Monitor