Руководство. Мониторинг сетей OT с использованием принципов нулевого доверия

Zero Trust — это стратегия безопасности для разработки и реализации следующих принципов безопасности:

Defender для Интернета вещей использует определения сайтов и зон в сети OT, чтобы обеспечить соблюдение гигиены сети и сохранение каждой подсистемы отдельной и безопасной.

В этом руководстве описывается мониторинг сети OT с помощью принципов Defender для Интернета вещей и нулевого доверия.

В этом руководстве описано, как:

Предпосылки

Для выполнения задач, описанных в этом руководстве, вам потребуется:

• Defender for IoT OT план в вашей подписке Azure

• Несколько подключенных к облаку датчиков OT, потоковая передача данных трафика в Defender для Интернета вещей. Каждый датчик должен быть назначен другому сайту и зоне, сохраняя каждый из сегментов сети отдельным и безопасным. Дополнительные сведения см. в разделе "Подключение датчиков OT к Defender для Интернета вещей".

• Следующие разрешения:

  • Доступ к порталу Azure в качестве администратора безопасности, участника или пользователя владельца . Дополнительные сведения см. в статье о ролях пользователей и разрешениях Azure для Defender для Интернета вещей.

  • Доступ к вашим датчикам как администратор или аналитик безопасности. Дополнительные сведения см. в о локальных пользователях и ролях для мониторинга OT с помощью Защитника для Интернета вещей.

Поиск оповещений о трафике между подсетями

Трафик между подсетью — это трафик, перемещающийся между сайтами и зонами.

Трафик между подсетями может быть допустимым, например, когда внутренняя система отправляет сообщения уведомления другим системам. Однако если внутренняя система отправляет обмен данными на внешние серверы, необходимо убедиться, что связь является законной. Если есть сообщения, они включают информацию, которая может быть предоставлена? Если есть трафик, поступающий из безопасных источников?

Вы разделили свою сеть на сайты и зоны, чтобы каждая подсистема была отдельной и безопасной, и можете ожидать, что основной трафик в определенном сайте или зоне будет оставаться внутри этого сайта или зоны. Если вы видите трафик между подсетью, это может указывать на то, что ваша сеть находится под угрозой.

Поиск трафика между подсетями:

1. Войдите в сетевой датчик OT, который вы хотите изучить, и выберите карту устройств слева.

2. Разверните панель Группы слева от карты, затем выберите Фильтр>Соединение между подсетями.

3. На карте достаточно увеличить масштаб, чтобы вы могли просматривать подключения между устройствами. Выберите определенные устройства, чтобы отобразить область сведений об устройстве справа, где можно изучить устройство дальше.

   Например, в области сведений об устройстве выберите "Отчет о действиях ", чтобы создать отчет о действиях и узнать больше о конкретных шаблонах трафика.

Поиск оповещений на неизвестных устройствах

Знаете ли вы, какие устройства находятся в сети и с кем они взаимодействуют? Defender для Интернета вещей активирует оповещения для любого нового неизвестного устройства, обнаруженного в подсетях OT, чтобы определить его и обеспечить безопасность устройства и сетевую безопасность.

Неизвестные устройства могут включать временные устройства, которые перемещаются между сетями. Например, временные устройства могут включать ноутбук технического специалиста, который подключают к сети при обслуживании серверов, или смартфон посетителя, который подключается к гостевой сети в офисе.

Чтобы проверить наличие несанкционированных или неизвестных устройств и рискованных сайтов и зон:

1. В Defender для Интернета вещей на портале Azure выберите оповещения для просмотра оповещений, инициируемых всеми подключенными к облаку датчиками. Чтобы найти оповещения для неизвестных устройств, отфильтруйте оповещения со следующими именами:

   • Обнаружен новый ресурс
   • Полевое устройство обнаружено неожиданно

   Выполните каждое действие фильтра отдельно. Для каждого действия фильтра выполните следующие действия, чтобы определить рискованные сайты и зоны в сети, которые могут потребовать обновленных политик безопасности:

   1. Сгруппируйте оповещения по сайту , чтобы узнать, есть ли у вас определенный сайт, который создает множество оповещений для неизвестных устройств.

   2. Добавьте фильтр зоны в оповещения, отображаемые для сужения оповещений до определенных зон.

Определенные сайты или зоны, которые создают множество оповещений для неизвестных устройств, подвергаются риску. Рекомендуется обновить политики безопасности, чтобы предотвратить подключение многих неизвестных устройств к сети.

Чтобы изучить определенное оповещение для неизвестных устройств, выполните следующие действия.

1. На странице "Оповещения" выберите оповещение, чтобы просмотреть дополнительные сведения в области справа и на странице сведений об оповещении.

2. Если вы еще не уверены, является ли устройство законным, изучите дополнительные сведения о связанном сетевом датчике OT.

   • Войдите в сетевой датчик OT, который активировал оповещение, а затем найдите оповещение и откройте страницу сведений об оповещении.
   • Используйте вкладки "Представление карты " и " Временная шкала событий ", чтобы определить, где обнаружено устройство, и любые другие события, которые могут быть связаны.

3. Чтобы снизить риск при необходимости, выполните одно из следующих действий:

   • Узнайте оповещение, если устройство является законным, чтобы оповещение не было активировано повторно для того же устройства. На странице сведений об оповещении выберите Learn.
   • Блокировать устройство, если оно не является законным.

Поиск несанкционированных устройств

Рекомендуется заранее отслеживать новые неавторизованные устройства, обнаруженные в сети. Регулярное проверка несанкционированных устройств может помочь предотвратить угрозы изгоев или потенциально вредоносных устройств, которые могут инфильтровать вашу сеть.

Например, используйте рекомендацию "Проверка несанкционированных устройств ", чтобы определить все несанкционированные устройства.

Чтобы просмотреть неавторизованные устройства, выполните следующие действия.

1. В Defender для Интернета вещей на портале Azure выберите рекомендации (предварительная версия) и найдите рекомендацию проверки несанкционированных устройств .
2. Просмотрите устройства, перечисленные на вкладке "Неработоспособные устройства ". Каждое из этих устройств в несанкционированном доступе и может быть угрозой для вашей сети.

Выполните действия по исправлению, например пометить устройство как авторизованное, если устройство известно вам, или отключите устройство от сети, если устройство остается неизвестным после расследования.

Дополнительные сведения см. в статье "Повышение уровня безопасности" с помощью рекомендаций по безопасности.

Поиск уязвимых систем

Если у вас есть устройства в сети с устаревшим программным обеспечением или встроенного ПО, они могут быть уязвимы для атак. Устройства, которые являются конечными и не имеют больше обновлений для системы безопасности, особенно уязвимы.

Поиск уязвимых систем:

1. В Defender для Интернета вещей на портале Azure выберите"Уязвимостикниг">, чтобы открыть книгу уязвимостей.

2. В селекторе подписки в верхней части страницы выберите подписку Azure, в которой подключены датчики OT.

   Книга заполняется данными из всей сети.

3. Прокрутите вниз, чтобы просмотреть списки уязвимых устройств и уязвимых компонентов. Для этих устройств и компонентов в сети требуется внимание, например встроенное ПО или обновление программного обеспечения, или замена, если больше обновлений нет.

4. В верхней части страницы выберите один или несколько сайтов, чтобы отфильтровать данные по сайту. Фильтрация данных по сайту может помочь выявить проблемы на определенных сайтах, которые могут потребовать обновления на уровне сайта или замены устройств.

Имитация вредоносного трафика для тестирования сети

Чтобы проверить состояние безопасности определенного устройства, запустите отчет вектора атаки , чтобы имитировать трафик на это устройство. Используйте имитированный трафик для обнаружения и устранения уязвимостей перед их использованием.

Чтобы запустить отчет о векторе атаки, выполните следующую команду:

1. Войдите в сетевой датчик OT, который обнаруживает устройство, которое требуется исследовать, и выберите вектор атаки слева.

2. Нажмите кнопку +Добавить имитацию, а затем введите следующие сведения в области "Добавление вектора атаки ".

   Поле / Опция	Описание
   Имя	Введите понятное имя для имитации, например "Нулевое доверие " и дату.
   Максимальные векторы	Выберите 20 , чтобы включить максимальное поддерживаемого количества подключений между устройствами.
   Отображение на карте устройства	Необязательно. Выберите, чтобы отобразить симуляцию на карте устройств датчика, что позволит вам провести дальнейшее исследование.
   Отображение всех исходных устройств / Показать все целевые устройства	Выберите оба, чтобы отобразить все обнаруженные устройства датчика в моделировании как возможные исходные устройства и конечные устройства.

   Оставьте поля Исключить устройства и Исключить подсети пустыми, чтобы включить весь обнаруженный трафик в имитацию.

3. Нажмите кнопку "Сохранить " и дождитесь завершения выполнения имитации. Время, которое требуется, зависит от объема трафика, обнаруженного датчиком.

4. Разверните новое моделирование и выберите любой из обнаруженных элементов, чтобы просмотреть дополнительные сведения справа. Рассмотрим пример.

   

5. Ищите особенно любой из следующих уязвимостей:

   Уязвимость	Описание
   Устройства, подключенные к Интернету	Например, эти уязвимости могут отображаться с сообщением об открытых внешних угрозах из-за подключения к Интернету.
   Устройства с открытыми портами	Открытые порты могут использоваться для удаленного доступа, но также могут быть риском. Например, эти уязвимости могут отображаться с сообщением, похожим на разрешенный удаленный доступ с помощью TeamViewer Разрешенный удаленный доступ с помощью удаленного рабочего стола
   Подключения между устройствами, пересекающими подсети	Например, может появиться сообщение о прямом подключении между устройствами, которое может быть приемлемым самостоятельно, но рискованным в контексте пересечения подсетей.

Мониторинг обнаруженных данных для каждого сайта или зоны

На портале Azure просмотрите данные Defender для Интернета вещей по сайтам и зонам из следующих расположений:

• Инвентаризация устройств: группирование или фильтрация инвентаризации устройств по сайту или зоне.

• Оповещения: группируйте или фильтруйте оповещения только по сайту. Добавьте столбец "Сайт " или " Зона " в сетку для сортировки данных в группе.

• Книги: Откройте рабочую книгу Vulnerabilities Defender for IoT, чтобы просмотреть обнаруженные уязвимости по сайту. Вы также можете создать пользовательские рабочие книги для вашей организации, чтобы просматривать больше данных по сайтам и зонам.

• Сайты и датчики: фильтрация датчиков , перечисленных по сайту или зоне.

Примеры оповещений, требующих внимания

При мониторинге в рамках концепции Zero Trust следующий список демонстрирует примеры важных оповещений в Defender для IoT, на которые следует обратить внимание:

Дальнейшие действия

Возможно, вам потребуется внести изменения в сегментацию сети на основе результатов мониторинга или изменения пользователей и систем в организации с течением времени.

Измените структуру ваших сайтов и зон, а также переназначьте связанные с сайтом политики доступа, чтобы гарантировать их соответствие текущим сетевым реалиям.

Помимо использования встроенной книги Defender для Уязвимостей Интернета вещей, создайте дополнительные пользовательские книги для оптимизации непрерывного мониторинга.

Дополнительные сведения можно найти здесь

• Управление датчиками с помощью Defender для Интернета вещей на портале Azure
• Управление доступом на основе сайта (общедоступная предварительная версия)
• Визуализация данных Microsoft Defender для Интернета вещей с использованием рабочих книг Azure Monitor