Självstudie: Övervaka dina OT-nätverk med Nolltillit principer

  • Artikel

Nolltillit är en säkerhetsstrategi för att utforma och implementera följande uppsättningar av säkerhetsprinciper:

Verifiera explicit Använd åtkomst med minst behörighet Anta intrång
Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd. Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet.

Defender för IoT använder plats- och zondefinitioner i ditt OT-nätverk för att säkerställa att du upprätthåller nätverkshygienen och håller varje undersystem separat och säkert.

I den här självstudien beskrivs hur du övervakar ditt OT-nätverk med Principer för Defender för IoT och Nolltillit.

I den här självstudien lär du dig att:

Viktigt!

Sidan Rekommendationer i Azure-portalen är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förutsättningar

Om du vill utföra uppgifterna i den här självstudien behöver du:

Leta efter aviseringar om trafik mellan undernät

Trafik mellan undernät är trafik som flyttas mellan platser och zoner.

Trafik mellan undernät kan vara legitim, till exempel när ett internt system skickar meddelanden till andra system. Men om ett internt system skickar kommunikation till externa servrar vill du kontrollera att kommunikationen är legitim. Om det finns meddelanden som går ut, innehåller de information som kan delas? Om det kommer in trafik, kommer den från säkra källor?

Du har separerat nätverket till platser och zoner för att hålla varje undersystem separat och säkert, och kan förvänta dig att de flesta trafik i en specifik plats eller zon förblir intern för den platsen eller zonen. Om du ser trafik mellan undernät kan det tyda på att nätverket är i fara.

Så här söker du efter trafik mellan undernät:

  1. Logga in på en OT-nätverkssensor som du vill undersöka och välj Enhetskarta till vänster.

  2. Expandera fönstret Grupper till vänster på kartan och välj sedan Filtrera>korsundernät Anslut ion.

  3. På kartan zoomar du in tillräckligt långt så att du kan visa anslutningarna mellan enheter. Välj specifika enheter för att visa ett fönster för enhetsinformation till höger där du kan undersöka enheten ytterligare.

    I fönstret enhetsinformation väljer du till exempel Aktivitetsrapport för att skapa en aktivitetsrapport och lär dig mer om specifika trafikmönster.

Leta efter aviseringar på okända enheter

Vet du vilka enheter som finns i nätverket och vilka de kommunicerar med? Defender för IoT utlöser aviseringar för alla nya okända enheter som identifieras i OT-undernät så att du kan identifiera den och säkerställa både enhetssäkerhet och nätverkssäkerhet.

Okända enheter kan innehålla tillfälliga enheter som flyttas mellan nätverk. Till exempel kan tillfälliga enheter innehålla en teknikers bärbara dator, som de ansluter till nätverket när de underhåller servrar, eller en besökares smartphone, som ansluter till ett gästnätverk på ditt kontor.

Viktigt!

När du har identifierat okända enheter bör du undersöka eventuella ytterligare aviseringar som utlöses av dessa enheter, eftersom all misstänkt trafik på okända enheter skapar en extra risk.

Så här söker du efter obehöriga/okända enheter och riskfyllda platser och zoner:

  1. I Defender för IoT på Azure-portalen väljer du Aviseringar för att visa aviseringarna som utlöses av alla dina molnanslutna sensorer. Om du vill hitta aviseringar för okända enheter filtrerar du efter aviseringar med följande namn:

    • Ny tillgång har identifierats
    • Fältenhet upptäcktes oväntat

    Utför varje filteråtgärd separat. För varje filteråtgärd gör du följande för att identifiera riskfyllda webbplatser och zoner i nätverket, vilket kan kräva uppdaterade säkerhetsprinciper:

    1. Gruppera dina aviseringar efter webbplats för att se om du har en specifik webbplats som genererar många aviseringar för okända enheter.

    2. Lägg till zonfiltret i aviseringarna som visas för att begränsa aviseringarna till specifika zoner.

Specifika platser eller zoner som genererar många aviseringar för okända enheter är utsatta för risk. Vi rekommenderar att du uppdaterar dina säkerhetsprinciper för att förhindra att så många okända enheter ansluter till nätverket.

Så här undersöker du en specifik avisering för okända enheter:

  1. På sidan Aviseringar väljer du en avisering för att visa mer information i fönstret till höger och på sidan med aviseringsinformation.

  2. Om du ännu inte är säker på om enheten är legitim kan du undersöka den relaterade OT-nätverkssensorn ytterligare.

    • Logga in på ot-nätverkssensorn som utlöste aviseringen och leta sedan upp aviseringen och öppna sidan med aviseringsinformation.
    • Använd flikarna Mappningsvy och Händelsetidslinje för att hitta var i nätverket enheten identifierades och andra händelser som kan vara relaterade.

  3. Minska risken efter behov genom att vidta någon av följande åtgärder:

    • Lär dig aviseringen om enheten är legitim så att aviseringen inte utlöses igen för samma enhet. På sidan med aviseringsinformation väljer du Läs.
    • Blockera enheten om den inte är legitim.

Leta efter obehöriga enheter

Vi rekommenderar att du proaktivt bevakar nya, obehöriga enheter som har identifierats i nätverket. Genom att regelbundet söka efter obehöriga enheter kan du förhindra hot om oseriösa eller potentiellt skadliga enheter som kan infiltrera nätverket.

Använd till exempel rekommendationen Granska obehöriga enheter för att identifiera alla obehöriga enheter.

Så här granskar du obehöriga enheter:

  1. I Defender för IoT på Azure-portalen väljer du Rekommendationer (förhandsversion) och söker efter rekommendationen Granska obehöriga enheter.
  2. Visa de enheter som visas på fliken Ej felfria enheter . Var och en av dessa enheter är obehöriga och kan utgöra en risk för nätverket.

Följ reparationsstegen, till exempel för att markera enheten som auktoriserad om enheten är känd för dig, eller koppla från enheten från nätverket om enheten fortfarande är okänd efter undersökningen.

Mer information finns i Förbättra säkerhetsstatusen med säkerhetsrekommendationer.

Dricks

Du kan också granska obehöriga enheter genom att filtrera enhetsinventeringen efter fältet Auktorisering och endast visa enheter som markerats som Obehöriga.

Leta efter sårbara system

Om du har enheter i nätverket med inaktuell programvara eller inbyggd programvara kan de vara sårbara för angrepp. Enheter som är i livets slutpunkt och som inte har fler säkerhetsuppdateringar är särskilt sårbara.

Så här söker du efter sårbara system:

  1. I Defender för IoT på Azure-portalen väljer du Sårbarheter>för arbetsböcker för att öppna arbetsboken Sårbarheter.

  2. I prenumerationsväljaren överst på sidan väljer du den Azure-prenumeration där dina OT-sensorer är registrerade.

    Arbetsboken fylls med data från hela nätverket.

  3. Rulla ned för att visa listorna över sårbara enheter och sårbara komponenter. Dessa enheter och komponenter i nätverket kräver uppmärksamhet, till exempel en inbyggd programvara eller programuppdatering, eller ersättning om inga fler uppdateringar är tillgängliga.

  4. I SiteName väljer du högst upp på sidan och väljer en eller flera platser för att filtrera data efter plats. Genom att filtrera data efter plats kan du identifiera problem på specifika platser, vilket kan kräva platsomfattande uppdateringar eller enhetsbyten.

Simulera skadlig trafik för att testa nätverket

Om du vill verifiera säkerhetsstatusen för en specifik enhet kör du en attackvektorrapport för att simulera trafik till enheten. Använd den simulerade trafiken för att hitta och minimera sårbarheter innan de utnyttjas.

Så här kör du en attackvektorrapport:

  1. Logga in på en OT-nätverkssensor som identifierar den enhet som du vill undersöka och välj Attackvektor till vänster.

  2. Välj + Lägg till simulering och ange sedan följande information i fönstret Lägg till attackvektorsimulering :

    Fält/alternativ beskrivning
    Namn Ange ett beskrivande namn för simuleringen, till exempel Nolltillit och datumet.
    Maximalt antal vektorer Välj 20 för att inkludera det maximala antalet anslutningar som stöds mellan enheter.
    Visa i enhetskarta Valfritt. Välj för att visa simuleringen i sensorns enhetskarta, vilket gör att du kan undersöka vidare efteråt.
    Visa alla källenheter / Visa alla målenheter Välj båda för att visa alla sensorns identifierade enheter i simuleringen som möjliga källenheter och målenheter.

    Låt exkludera enheter och exkludera undernät vara tomma om du vill inkludera all identifierad trafik i simuleringen.

  3. Välj Spara och vänta tills simuleringen är klar. Hur lång tid det tar beror på hur mycket trafik som identifieras av sensorn.

  4. Expandera den nya simuleringen och välj något av de identifierade objekten för att visa mer information till höger. Till exempel:

    Screenshot of a sample attack vector simulation.

  5. Leta särskilt efter någon av följande sårbarheter:

    Säkerhetsrisk beskrivning
    Enheter som exponeras för Internet Dessa sårbarheter kan till exempel visas med ett meddelande om exponerade för externa hot på grund av internetanslutning.
    Enheter med öppna portar Öppna portar kan legitimt användas för fjärråtkomst, men kan också vara en risk.

    Dessa sårbarheter kan till exempel visas med ett meddelande som liknar Tillåten fjärråtkomst med Hjälp av TeamViewer Tillåten fjärråtkomst med fjärrskrivbord
    Anslut mellan enheter som korsar undernät Du kan till exempel se ett meddelande om direktanslutning mellan enheter, vilket kan vara acceptabelt på egen hand, men riskabelt i samband med korsande undernät.

Övervaka identifierade data per plats eller zon

I Azure-portalen visar du Defender för IoT-data efter plats och zon från följande platser:

  • Enhetsinventering: Gruppera eller filtrera enhetsinventeringen efter plats eller zon.

  • Aviseringar: Gruppera eller filtrera endast aviseringar efter plats. Lägg till kolumnen Webbplats eller Zon i rutnätet för att sortera dina data i gruppen.

  • Arbetsböcker: Öppna arbetsboken Defender for IoT Vulnerabilities för att visa identifierade sårbarheter per webbplats. Du kanske också vill skapa anpassade arbetsböcker för din egen organisation för att visa mer data efter plats och zon.

  • Platser och sensorer: Filtrera de sensorer som anges efter plats eller zon.

Exempelaviseringar att hålla utkik efter

När du övervakar Nolltillit är följande lista ett exempel på viktiga Defender for IoT-aviseringar att hålla utkik efter:

  • Obehörig enhet som är ansluten till nätverket, särskilt eventuella skadliga IP-/domännamnsbegäranden
  • Känd skadlig kod har identifierats
  • Obehörig anslutning till Internet
  • Obehörig fjärråtkomst
  • Nätverksgenomsökning har identifierats
  • Otillåten PLC-programmering
  • Ändringar i versioner av inbyggd programvara
  • "PLC Stop" och andra potentiellt skadliga kommandon
  • Enheten misstänks vara frånkopplad
  • Fel vid begäran om Ethernet-/IP CIP-tjänst
  • BACnet-åtgärden misslyckades
  • Ogiltig DNP3-åtgärd
  • Obehörig SMB-inloggning

Nästa steg

Du kan behöva göra ändringar i nätverkssegmenteringen baserat på resultatet av din övervakning, eller när personer och system i organisationen ändras över tid.

Ändra strukturen för dina webbplatser och zoner och tilldela om platsbaserade åtkomstprinciper så att de alltid matchar dina aktuella nätverksverkligheter.

Förutom att använda den inbyggda arbetsboken Defender for IoT Vulnerabilities skapar du fler anpassade arbetsböcker för att optimera din kontinuerliga övervakning.

Mer information finns i: