Поделиться через


Руководство. Мониторинг сетей OT с использованием принципов нулевого доверия

Zero Trust — это стратегия безопасности для разработки и реализации следующих принципов безопасности:

Явная проверка Использование минимального доступа к привилегиям Предположим взлом.
Всегда осуществляйте аутентификацию и авторизацию на основе всех доступных данных. Ограничение доступа пользователей с помощью Just-In-Time и Just-Enough-Access (JIT/JEA), адаптивных политик, основанных на оценке рисков, и защиты данных. Минимизируйте радиус взрыва и сегментируйте доступ. Проверьте сквозное шифрование и используйте аналитику, чтобы получить видимость, стимулировать обнаружение угроз и улучшать методы защиты.

Defender для Интернета вещей использует определения сайтов и зон в сети OT, чтобы обеспечить соблюдение гигиены сети и сохранение каждой подсистемы отдельной и безопасной.

В этом руководстве описывается мониторинг сети OT с помощью принципов Defender для Интернета вещей и нулевого доверия.

В этом руководстве описано, как:

Это важно

Страница рекомендаций на портале Azure в настоящее время находится в предварительной версии. См. Дополнительные условия использования для предварительных версий Microsoft Azure, в которых изложены дополнительные юридические условия, применимые к функциям Azure, находящимся в бета-версии, предварительной версии или еще не доступным в общем пользовании.

Предпосылки

Для выполнения задач, описанных в этом руководстве, вам потребуется:

Поиск оповещений о трафике между подсетями

Трафик между подсетью — это трафик, перемещающийся между сайтами и зонами.

Трафик между подсетями может быть допустимым, например, когда внутренняя система отправляет сообщения уведомления другим системам. Однако если внутренняя система отправляет обмен данными на внешние серверы, необходимо убедиться, что связь является законной. Если есть сообщения, они включают информацию, которая может быть предоставлена? Если есть трафик, поступающий из безопасных источников?

Вы разделили свою сеть на сайты и зоны, чтобы каждая подсистема была отдельной и безопасной, и можете ожидать, что основной трафик в определенном сайте или зоне будет оставаться внутри этого сайта или зоны. Если вы видите трафик между подсетью, это может указывать на то, что ваша сеть находится под угрозой.

Поиск трафика между подсетями:

  1. Войдите в сетевой датчик OT, который вы хотите изучить, и выберите карту устройств слева.

  2. Разверните панель Группы слева от карты, затем выберите Фильтр>Соединение между подсетями.

  3. На карте достаточно увеличить масштаб, чтобы вы могли просматривать подключения между устройствами. Выберите определенные устройства, чтобы отобразить область сведений об устройстве справа, где можно изучить устройство дальше.

    Например, в области сведений об устройстве выберите "Отчет о действиях ", чтобы создать отчет о действиях и узнать больше о конкретных шаблонах трафика.

Поиск оповещений на неизвестных устройствах

Знаете ли вы, какие устройства находятся в сети и с кем они взаимодействуют? Defender для Интернета вещей активирует оповещения для любого нового неизвестного устройства, обнаруженного в подсетях OT, чтобы определить его и обеспечить безопасность устройства и сетевую безопасность.

Неизвестные устройства могут включать временные устройства, которые перемещаются между сетями. Например, временные устройства могут включать ноутбук технического специалиста, который подключают к сети при обслуживании серверов, или смартфон посетителя, который подключается к гостевой сети в офисе.

Это важно

После определения неизвестных устройств обязательно изучите все дополнительные оповещения, активируемые этими устройствами, так как любой подозрительный трафик на неизвестных устройствах создает дополнительный риск.

Чтобы проверить наличие несанкционированных или неизвестных устройств и рискованных сайтов и зон:

  1. В Defender для Интернета вещей на портале Azure выберите оповещения для просмотра оповещений, инициируемых всеми подключенными к облаку датчиками. Чтобы найти оповещения для неизвестных устройств, отфильтруйте оповещения со следующими именами:

    • Обнаружен новый ресурс
    • Полевое устройство обнаружено неожиданно

    Выполните каждое действие фильтра отдельно. Для каждого действия фильтра выполните следующие действия, чтобы определить рискованные сайты и зоны в сети, которые могут потребовать обновленных политик безопасности:

    1. Сгруппируйте оповещения по сайту , чтобы узнать, есть ли у вас определенный сайт, который создает множество оповещений для неизвестных устройств.

    2. Добавьте фильтр зоны в оповещения, отображаемые для сужения оповещений до определенных зон.

Определенные сайты или зоны, которые создают множество оповещений для неизвестных устройств, подвергаются риску. Рекомендуется обновить политики безопасности, чтобы предотвратить подключение многих неизвестных устройств к сети.

Чтобы изучить определенное оповещение для неизвестных устройств, выполните следующие действия.

  1. На странице "Оповещения" выберите оповещение, чтобы просмотреть дополнительные сведения в области справа и на странице сведений об оповещении.

  2. Если вы еще не уверены, является ли устройство законным, изучите дополнительные сведения о связанном сетевом датчике OT.

    • Войдите в сетевой датчик OT, который активировал оповещение, а затем найдите оповещение и откройте страницу сведений об оповещении.
    • Используйте вкладки "Представление карты " и " Временная шкала событий ", чтобы определить, где обнаружено устройство, и любые другие события, которые могут быть связаны.
  3. Чтобы снизить риск при необходимости, выполните одно из следующих действий:

    • Узнайте оповещение, если устройство является законным, чтобы оповещение не было активировано повторно для того же устройства. На странице сведений об оповещении выберите Learn.
    • Блокировать устройство, если оно не является законным.

Поиск несанкционированных устройств

Рекомендуется заранее отслеживать новые неавторизованные устройства, обнаруженные в сети. Регулярное проверка несанкционированных устройств может помочь предотвратить угрозы изгоев или потенциально вредоносных устройств, которые могут инфильтровать вашу сеть.

Например, используйте рекомендацию "Проверка несанкционированных устройств ", чтобы определить все несанкционированные устройства.

Чтобы просмотреть неавторизованные устройства, выполните следующие действия.

  1. В Defender для Интернета вещей на портале Azure выберите рекомендации (предварительная версия) и найдите рекомендацию проверки несанкционированных устройств .
  2. Просмотрите устройства, перечисленные на вкладке "Неработоспособные устройства ". Каждое из этих устройств в несанкционированном доступе и может быть угрозой для вашей сети.

Выполните действия по исправлению, например пометить устройство как авторизованное, если устройство известно вам, или отключите устройство от сети, если устройство остается неизвестным после расследования.

Дополнительные сведения см. в статье "Повышение уровня безопасности" с помощью рекомендаций по безопасности.

Подсказка

Кроме того, вы можете просмотреть неавторизованные устройства, отфильтровав инвентаризацию устройств по полю авторизации , где отображаются только устройства, помеченные как несанкционированные.

Поиск уязвимых систем

Если у вас есть устройства в сети с устаревшим программным обеспечением или встроенного ПО, они могут быть уязвимы для атак. Устройства, которые являются конечными и не имеют больше обновлений для системы безопасности, особенно уязвимы.

Поиск уязвимых систем:

  1. В Defender для Интернета вещей на портале Azure выберите"Уязвимостикниг">, чтобы открыть книгу уязвимостей.

  2. В селекторе подписки в верхней части страницы выберите подписку Azure, в которой подключены датчики OT.

    Книга заполняется данными из всей сети.

  3. Прокрутите вниз, чтобы просмотреть списки уязвимых устройств и уязвимых компонентов. Для этих устройств и компонентов в сети требуется внимание, например встроенное ПО или обновление программного обеспечения, или замена, если больше обновлений нет.

  4. В верхней части страницы выберите один или несколько сайтов, чтобы отфильтровать данные по сайту. Фильтрация данных по сайту может помочь выявить проблемы на определенных сайтах, которые могут потребовать обновления на уровне сайта или замены устройств.

Имитация вредоносного трафика для тестирования сети

Чтобы проверить состояние безопасности определенного устройства, запустите отчет вектора атаки , чтобы имитировать трафик на это устройство. Используйте имитированный трафик для обнаружения и устранения уязвимостей перед их использованием.

Чтобы запустить отчет о векторе атаки, выполните следующую команду:

  1. Войдите в сетевой датчик OT, который обнаруживает устройство, которое требуется исследовать, и выберите вектор атаки слева.

  2. Нажмите кнопку +Добавить имитацию, а затем введите следующие сведения в области "Добавление вектора атаки ".

    Поле / Опция Описание
    Имя Введите понятное имя для имитации, например "Нулевое доверие " и дату.
    Максимальные векторы Выберите 20 , чтобы включить максимальное поддерживаемого количества подключений между устройствами.
    Отображение на карте устройства Необязательно. Выберите, чтобы отобразить симуляцию на карте устройств датчика, что позволит вам провести дальнейшее исследование.
    Отображение всех исходных устройств / Показать все целевые устройства Выберите оба, чтобы отобразить все обнаруженные устройства датчика в моделировании как возможные исходные устройства и конечные устройства.

    Оставьте поля Исключить устройства и Исключить подсети пустыми, чтобы включить весь обнаруженный трафик в имитацию.

  3. Нажмите кнопку "Сохранить " и дождитесь завершения выполнения имитации. Время, которое требуется, зависит от объема трафика, обнаруженного датчиком.

  4. Разверните новое моделирование и выберите любой из обнаруженных элементов, чтобы просмотреть дополнительные сведения справа. Рассмотрим пример.

    Снимок экрана: пример имитации вектора атаки.

  5. Ищите особенно любой из следующих уязвимостей:

    Уязвимость Описание
    Устройства, подключенные к Интернету Например, эти уязвимости могут отображаться с сообщением об открытых внешних угрозах из-за подключения к Интернету.
    Устройства с открытыми портами Открытые порты могут использоваться для удаленного доступа, но также могут быть риском.

    Например, эти уязвимости могут отображаться с сообщением, похожим на разрешенный удаленный доступ с помощью TeamViewer Разрешенный удаленный доступ с помощью удаленного рабочего стола
    Подключения между устройствами, пересекающими подсети Например, может появиться сообщение о прямом подключении между устройствами, которое может быть приемлемым самостоятельно, но рискованным в контексте пересечения подсетей.

Мониторинг обнаруженных данных для каждого сайта или зоны

На портале Azure просмотрите данные Defender для Интернета вещей по сайтам и зонам из следующих расположений:

Примеры оповещений, требующих внимания

При мониторинге в рамках концепции Zero Trust следующий список демонстрирует примеры важных оповещений в Defender для IoT, на которые следует обратить внимание:

  • Несанкционированное устройство подключено к сети, особенно любые запросы на вредоносные IP-адреса или доменные имена.
  • Обнаруженные известные вредоносные программы
  • Несанкционированное подключение к Интернету
  • Несанкционированный удаленный доступ
  • Обнаружена операция сканирования сети
  • Несанкционированное программирование PLC
  • Изменения версий встроенного ПО
  • "STOP PLC" и другие потенциально вредоносные команды
  • Устройство подозревается в отключении
  • Сбой запроса службы Ethernet/IP CIP
  • Сбой операции BACnet
  • Недопустимая операция DNP3
  • Несанкционированный вход в SMB

Дальнейшие действия

Возможно, вам потребуется внести изменения в сегментацию сети на основе результатов мониторинга или изменения пользователей и систем в организации с течением времени.

Измените структуру ваших сайтов и зон, а также переназначьте связанные с сайтом политики доступа, чтобы гарантировать их соответствие текущим сетевым реалиям.

Помимо использования встроенной книги Defender для Уязвимостей Интернета вещей, создайте дополнительные пользовательские книги для оптимизации непрерывного мониторинга.

Дополнительные сведения можно найти здесь