Руководство. Мониторинг сетей OT с использованием принципов "Никому не доверяй"

"Никому не доверяй" — это стратегия безопасности для разработки и реализации следующих наборов принципов безопасности:

Выполняйте проверку явным образом. Руководствуйтесь принципом минимальных прав. Предполагайте наличие бреши в системе безопасности
Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Ограничьте доступ пользователей с помощью JIT/JEA, адаптивных политик на основе рисков и защиты данных. Минимизируйте область воздействия и сегментируйте доступ. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту.

Defender для IoT использует определения сайтов и зон во всей вашей OT-сети, чтобы помочь поддерживать гигиену сети, а также изолировать каждую подсистему и обеспечивать её безопасность.

В этом руководстве описано, как отслеживать сеть OT с помощью принципов Defender для Интернета вещей и "Никому не доверяй".

В этом руководстве рассказывается, как:

Важно!

Страница Рекомендации в портал Azure в настоящее время находится в предварительной версии. Дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступной версии, см. в дополнительных условиях использования для microsoft Azure preview.

Предварительные условия

Для выполнения задач, описанных в этом руководстве, вам потребуется:

Поиск оповещений о трафике между подсетями

Трафик между подсетью — это трафик, который перемещается между сайтами и зонами.

Трафик между подсетями может быть допустимым, например, когда внутренняя система отправляет уведомления другим системам. Однако если внутренняя система отправляет данные на внешние серверы, необходимо убедиться, что все это взаимодействие является допустимым. Если сообщения выходят, включают ли они сведения, которыми можно делиться? Если идет трафик, поступает ли он из безопасных источников?

Вы отделили сеть между сайтами и зонами, чтобы каждая подсистема была отдельной и безопасной, и может ожидать, что большая часть трафика на определенном сайте или зоне останется внутренней для этого сайта или зоны. Если вы видите трафик между подсетью, это может указывать на то, что ваша сеть находится под угрозой.

Чтобы найти трафик между подсетью, выполните приведенные далее действия.

  1. Войдите в сетевой датчик OT, который вы хотите изучить, и выберите Карта устройств слева.

  2. Разверните панель Группы слева от карты, а затем выберите Фильтр>Межподсетевое подключение.

  3. На карте увеличьте масштаб настолько, чтобы можно было просматривать подключения между устройствами. Выберите определенные устройства, чтобы отобразить область сведений об устройстве справа, где можно изучить устройство.

    Например, в области сведений об устройстве выберите Отчет о действиях , чтобы создать отчет о действиях и узнать больше о конкретных шаблонах трафика.

Поиск оповещений на неизвестных устройствах

Знаете ли вы, какие устройства находятся в вашей сети и с кем они взаимодействуют? Defender для Интернета вещей активирует оповещения для любого нового неизвестного устройства, обнаруженного в подсетях OT, чтобы вы могли идентифицировать его и обеспечить безопасность устройства и безопасность сети.

Неизвестные устройства могут включать временные устройства, которые перемещаются между сетями. Например, к временно подключаемым устройствам могут относиться ноутбук специалиста, который он подключает к сети при обслуживании серверов, или смартфон посетителя, который подключается к гостевой сети в вашем офисе.

Важно!

Определив неизвестные устройства, обязательно изучите все дальнейшие оповещения, инициируемые этими устройствами, так как любой подозрительный трафик на неизвестных устройствах создает дополнительный риск.

Чтобы проверить наличие несанкционированных или неизвестных устройств, а также рискованных сайтов и зон:

  1. В Defender для Интернета вещей на портал Azure выберите Оповещения, чтобы просмотреть оповещения, активированные всеми подключенными к облаку датчиками. Чтобы найти оповещения для неизвестных устройств, отфильтруйте оповещения со следующими именами:

    • Обнаружен новый ресурс
    • Полевое устройство обнаружено неожиданно

    Выполнять каждое действие фильтра отдельно. Для каждого действия фильтра выполните следующие действия, чтобы определить опасные сайты и зоны в сети, для которых могут потребоваться обновленные политики безопасности.

    1. Группируйте оповещения по сайтам , чтобы узнать, есть ли у вас определенный сайт, который создает много оповещений для неизвестных устройств.

    2. Добавьте фильтр "Зона " в отображаемые оповещения, чтобы сузить количество оповещений до определенных зон.

Определенные сайты или зоны, которые создают много оповещений для неизвестных устройств, подвергаются риску. Рекомендуется обновить политики безопасности, чтобы предотвратить подключение большого числа неизвестных устройств к сети.

Чтобы изучить конкретное оповещение для неизвестных устройств, выполните следующие действия:

  1. На странице Оповещения выберите оповещение , чтобы просмотреть дополнительные сведения в области справа и на странице сведений об оповещении.

  2. Если вы пока не уверены, является ли устройство легитимным, продолжите проверку с помощью связанного сетевого датчика OT.

    • Войдите в сетевой датчик OT, который активировал оповещение, а затем найдите оповещение и откройте страницу сведений об оповещении.
    • Используйте вкладки Представление карты и Временная шкала событий , чтобы найти, где в сети было обнаружено устройство, и все другие события, которые могут быть связаны.
  3. При необходимости уменьшите риск, выполнив одно из следующих действий:

    • Пометьте оповещение, если устройство является доверенным, чтобы это оповещение больше не срабатывало для того же устройства. На странице сведений об оповещении выберите Learn .
    • Заблокируйте устройство, если оно не является допустимым.

Поиск несанкционированных устройств

Рекомендуется упреждающе следить за новыми, несанкционированными устройствами, обнаруженными в сети. Регулярная проверка несанкционированных устройств помогает предотвратить угрозы несанкционированных или потенциально вредоносных устройств, которые могут проникнуть в вашу сеть.

Например, используйте рекомендацию Проверка несанкционированных устройств , чтобы определить все несанкционированные устройства.

Чтобы проверить несанкционированные устройства, выполните следующие действия.

  1. В Defender для Интернета вещей на портал Azure выберите Рекомендации (предварительная версия) и найдите рекомендацию Проверка несанкционированных устройств.
  2. Просмотрите устройства, перечисленные на вкладке Проблемные устройства. Каждое из этих устройств не авторизовано и может представлять угрозу для вашей сети.

Выполните действия по исправлению, например, чтобы пометить устройство как авторизованное, если устройство известно вам, или отключите устройство от сети, если устройство остается неизвестным после исследования.

Дополнительные сведения см. в статье Повышение уровня безопасности с помощью рекомендаций по безопасности.

Совет

Вы также можете проверить несанкционированные устройства, отфильтровав данные инвентаризации устройств по полю авторизации , где отображаются только устройства, помеченные как Неавторизованные.

Поиск уязвимых систем

Если в вашей сети есть устройства с устаревшим программным обеспечением или встроенным ПО, они могут быть уязвимы для атак. Устройства с истекшим сроком поддержки, которые больше не получают обновления безопасности, особенно уязвимы.

Чтобы найти уязвимые системы, выполните приведенные далее действия.

  1. В Defender для Интернета вещей на портале Azure выберите Книги>Уязвимости, чтобы открыть книгу Уязвимости.

  2. В селекторе подписки в верхней части страницы выберите подписку Azure, в которой подключены ваши датчики OT.

    Рабочая книга содержит данные со всей вашей сети.

  3. Прокрутите вниз, чтобы просмотреть списки уязвимых устройств и уязвимых компонентов. Эти устройства и компоненты в сети требуют внимания, например обновление встроенного ПО или программное обеспечение, а также замена, если больше обновлений не доступно.

  4. В разделе SiteName выберите в верхней части страницы один или несколько сайтов, чтобы отфильтровать данные по сайтам. Фильтрация данных по сайтам помогает выявить проблемы на определенных сайтах, которые могут потребовать обновления на уровне сайта или замены устройств.

Имитация вредоносного трафика для тестирования сети

Чтобы проверить состояние безопасности определенного устройства, запустите отчет о векторе атаки , чтобы имитировать трафик на это устройство. Используйте имитированный трафик для обнаружения и устранения уязвимостей перед их использованием.

Чтобы запустить отчет о векторе атаки, выполните приведенные далее действия.

  1. Войдите в сетевой датчик OT, который определяет устройство, которое вы хотите исследовать, и выберите вектор атаки слева.

  2. Выберите + Добавить имитацию, а затем введите следующие сведения в области Добавление имитации вектора атаки :

    Поле / опция Описание
    Name Введите понятное имя для моделирования, например "Никому не доверяй" и дату.
    Максимальное число векторов Выберите 20 , чтобы включить максимальное поддерживаеме количество подключений между устройствами.
    Показать на карте устройств Необязательный параметр. Выберите , чтобы отобразить симуляцию на карте устройства датчика, что позволит вам продолжить изучение.
    Показать все исходные устройства / Показать все целевые устройства Выберите оба, чтобы отобразить все обнаруженные датчиком устройства в моделировании как возможные исходные и конечные устройства.

    Оставьте поля Исключить устройства и Исключить подсети пустыми , чтобы включить весь обнаруженный трафик в имитацию.

  3. Выберите Сохранить и дождитесь завершения имитации. Время зависит от объема трафика, обнаруженного датчиком.

  4. Разверните новое моделирование и выберите любой из обнаруженных элементов, чтобы просмотреть дополнительные сведения справа. Например, вы можете:

    Снимок экрана: пример имитации вектора атаки.

  5. Обратите внимание на любую из следующих уязвимостей:

    Уязвимость Описание
    Устройства, доступные в Интернете Например, эти уязвимости могут отображаться с сообщением Подвержено внешним угрозам из-за подключения к Интернету.
    Устройства с открытыми портами Открытые порты могут законно использоваться для удаленного доступа, но также могут быть риском.

    Например, эти уязвимости могут отображаться с сообщением, похожим на разрешенный удаленный доступ с помощью TeamViewer Разрешенный удаленный доступ с помощью удаленного рабочего стола.
    Подключения между устройствами, пересекающими подсети Например, может появиться сообщение о прямом подключении между устройствами, которое может быть приемлемым сам по себе, но рискованным в контексте пересечения подсетей.

Мониторинг обнаруженных данных для каждого сайта или зоны

На портале Azure просматривайте данные Defender for IoT с разбивкой по сайтам и зонам в следующих разделах:

Примеры оповещений, на которые стоит обратить внимание

При мониторинге в рамках "Никому не доверяй" следующий список содержит примеры важных оповещений Defender для Интернета вещей, на которые следует обращать внимание:

  • Несанкционированное устройство, подключенное к сети, особенно любые вредоносные запросы IP-адреса или доменного имени
  • Обнаружена известная вредоносная программа
  • Несанкционированное подключение к Интернету
  • Несанкционированный удаленный доступ
  • Обнаружена операция сканирования сети
  • Несанкционированное программирование PLC
  • Изменения версий встроенного ПО
  • "Остановка PLC" и другие потенциально вредоносные команды
  • Устройство подозревается в отключении
  • Сбой запроса к службе CIP Ethernet/IP
  • Сбой операции BACnet
  • Неправовая операция DNP3
  • Неавторизованный вход в SMB

Дальнейшие действия

Возможно, вам потребуется внести изменения в сегментацию сети на основе результатов мониторинга или по мере изменения людей и систем в организации с течением времени.

Измените структуру сайтов и зон и переназначьте политики доступа, привязанные к сайтам, чтобы они всегда соответствовали текущей конфигурации сети.

Помимо использования встроенной книги Уязвимости в Defender for IoT, создайте другие настраиваемые книги, чтобы оптимизировать непрерывный мониторинг.

Дополнительные сведения см. в разделе: