Поделиться через

Руководство. Мониторинг сетей OT с использованием принципов нулевого доверия

  • Статья

Zero Trust — это стратегия безопасности для разработки и реализации следующих принципов безопасности:

Прямая проверка Использование наименьших привилегий для доступа Предполагайте наличие бреши в системе безопасности
Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.

Defender для Интернета вещей использует определения сайтов и зон в сети OT, чтобы обеспечить соблюдение гигиены сети и сохранение каждой подсистемы отдельной и безопасной.

В этом руководстве описывается мониторинг сети OT с помощью принципов Defender для Интернета вещей и нулевого доверия.

В этом руководстве описано следующее:

Важно!

Страница Рекомендации в портал Azure в настоящее время находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Необходимые компоненты

Для выполнения задач, описанных в этом руководстве, вам потребуется:

Поиск оповещений о трафике между подсетями

Трафик между подсетью — это трафик, перемещающийся между сайтами и зонами.

Трафик между подсетями может быть допустимым, например, когда внутренняя система отправляет сообщения уведомления другим системам. Однако если внутренняя система отправляет обмен данными на внешние серверы, необходимо убедиться, что связь является законной. Если есть сообщения, они включают информацию, которую можно совместно использовать? Если есть трафик, поступающий из безопасных источников?

Вы разделили сеть на сайты и зоны, чтобы обеспечить отдельную и безопасную каждую подсистему, и может ожидать, что большинство трафика в определенном сайте или зоне будут оставаться внутренними на этом сайте или зоне. Если вы видите трафик между подсетью, это может указывать на то, что ваша сеть находится под угрозой.

Поиск трафика между подсетью:

  1. Войдите в сетевой датчик OT, который вы хотите изучить и выбрать карту устройств слева.

  2. Разверните область "Группы" слева от карты, а затем выберите "Фильтр>между подсетью" Подключение.

  3. На карте достаточно увеличить масштаб, чтобы вы могли просматривать подключения между устройствами. Выберите определенные устройства, чтобы отобразить область сведений об устройстве справа, где можно изучить устройство дальше.

    Например, в области сведений об устройстве выберите "Отчет о действиях", чтобы создать отчет о действиях и узнать больше о конкретных шаблонах трафика.

Поиск оповещений на неизвестных устройствах

Знаете ли вы, какие устройства находятся в сети и с кем они взаимодействуют? Defender для Интернета вещей активирует оповещения для любого нового неизвестного устройства, обнаруженного в подсетях OT, чтобы определить его и обеспечить безопасность устройства и сетевую безопасность.

Неизвестные устройства могут включать временные устройства, которые перемещаются между сетями. Например, временные устройства могут включать ноутбук технического специалиста, который они подключаются к сети при обслуживании серверов или смартфон посетителя, который подключается к гостевой сети в офисе.

Важно!

После определения неизвестных устройств обязательно изучите все дополнительные оповещения, активируемые этими устройствами, так как любой подозрительный трафик на неизвестных устройствах создает дополнительный риск.

Чтобы проверка для несанкционированных или неизвестных устройств и рискованных сайтов и зон:

  1. В Defender для Интернета вещей в портал Azure выберите оповещения, чтобы просмотреть оповещения, активированные всеми подключенными к облаку датчиками. Чтобы найти оповещения для неизвестных устройств, отфильтруйте оповещения со следующими именами:

    • Обнаружен новый ресурс
    • Непредвиденное обнаружение устройства поля

    Выполните каждое действие фильтра отдельно. Для каждого действия фильтра выполните следующие действия, чтобы определить рискованные сайты и зоны в сети, которые могут потребовать обновленных политик безопасности:

    1. Сгруппируйте оповещения по сайту , чтобы узнать, есть ли у вас определенный сайт, который создает множество оповещений для неизвестных устройств.

    2. Добавьте фильтр зоны в оповещения, отображаемые для сужения оповещений до определенных зон.

Определенные сайты или зоны, которые создают множество оповещений для неизвестных устройств, подвергаются риску. Рекомендуется обновить политики безопасности, чтобы предотвратить подключение многих неизвестных устройств к сети.

Чтобы изучить определенное оповещение для неизвестных устройств, выполните следующие действия.

  1. На странице "Оповещения" выберите оповещение, чтобы просмотреть дополнительные сведения в области справа и на странице сведений об оповещении.

  2. Если вы еще не уверены, является ли устройство законным, изучите дополнительные сведения о связанном сетевом датчике OT.

    • Войдите в сетевой датчик OT, который активировал оповещение, а затем найдите оповещение и откройте страницу сведений об оповещении.
    • Используйте вкладки "Представление карты" и "Временная шкала событий", чтобы определить, где обнаружено устройство, и любые другие события, которые могут быть связаны.

  3. Чтобы снизить риск при необходимости, выполните одно из следующих действий:

    • Узнайте оповещение, если устройство является законным, чтобы оповещение не было активировано повторно для того же устройства. На странице сведений об оповещении выберите Learn.
    • Блокировать устройство, если оно не является законным.

Поиск несанкционированных устройств

Рекомендуется заранее отслеживать новые неавторизованные устройства, обнаруженные в сети. Регулярно проверка для несанкционированных устройств может помочь предотвратить угрозы изгоев или потенциально вредоносных устройств, которые могут вмешаться в вашу сеть.

Например, используйте рекомендацию "Проверка несанкционированных устройств ", чтобы определить все несанкционированные устройства.

Чтобы просмотреть неавторизованные устройства, выполните следующие действия.

  1. В Defender для Интернета вещей в портал Azure выберите Рекомендации (предварительная версия) и выполните поиск рекомендации по проверке несанкционированных устройств.
  2. Просмотрите устройства, перечисленные на вкладке "Неработоспособные устройства ". Каждое из этих устройств в несанкционированном доступе и может быть угрозой для вашей сети.

Выполните действия по исправлению, например пометить устройство как авторизованное, если устройство известно вам, или отключите устройство от сети, если устройство остается неизвестным после расследования.

Дополнительные сведения см. в статье "Повышение уровня безопасности" с помощью рекомендаций по безопасности.

Совет

Кроме того, вы можете просмотреть неавторизованные устройства, отфильтровав инвентаризацию устройств по полю авторизации, где отображаются только устройства, помеченные как несанкционированные.

Поиск уязвимых систем

Если у вас есть устройства в сети с устаревшим программным обеспечением или встроенного ПО, они могут быть уязвимы для атак. Устройства, которые являются конечными и не имеют больше обновлений для системы безопасности, особенно уязвимы.

Поиск уязвимых систем:

  1. В Defender для Интернета вещей в портал Azure выберите уязвимости> книг, чтобы открыть книгу уязвимостей.

  2. В селекторе подписки в верхней части страницы выберите подписку Azure, в которой подключены датчики OT.

    Книга заполняется данными из всей сети.

  3. Прокрутите вниз, чтобы просмотреть списки уязвимых устройств и уязвимых компонентов. Для этих устройств и компонентов в сети требуется внимание, например встроенное ПО или обновление программного обеспечения, или замена, если больше обновлений нет.

  4. В верхней части страницы выберите один или несколько сайтов, чтобы отфильтровать данные по сайту. Фильтрация данных по сайту может помочь выявить проблемы на определенных сайтах, которые могут потребовать обновления на уровне сайта или замены устройств.

Имитация вредоносного трафика для тестирования сети

Чтобы проверить состояние безопасности определенного устройства, запустите отчет вектора атаки, чтобы имитировать трафик на это устройство. Используйте имитированный трафик для обнаружения и устранения уязвимостей перед их использованием.

Чтобы запустить отчет о векторе атаки, выполните следующую команду:

  1. Войдите в сетевой датчик OT, который обнаруживает устройство, которое требуется исследовать, и выберите вектор атаки слева.

  2. Нажмите кнопку +Добавить имитацию, а затем введите следующие сведения в области "Добавление вектора атаки".

    Поле / параметр Description
    Имя Введите понятное имя для имитации, например "Нулевое доверие" и дату.
    Максимальные векторы Выберите 20 , чтобы включить максимальное поддерживаемого количества подключений между устройствами.
    Отображение на карте устройства Необязательно. Выберите, чтобы отобразить имитацию на карте устройства датчика, что позволяет дальше исследовать.
    Отображение всех исходных устройств с отображением всех целевых / устройств Выберите оба, чтобы отобразить все обнаруженные устройства датчика в моделировании как возможные исходные устройства и конечные устройства.

    Оставьте значения "Исключить устройства" и "Исключить подсети", чтобы включить весь обнаруженный трафик в имитацию.

  3. Нажмите кнопку "Сохранить " и дождитесь завершения выполнения имитации. Время, которое требуется, зависит от объема трафика, обнаруженного датчиком.

  4. Разверните новое моделирование и выберите любой из обнаруженных элементов, чтобы просмотреть дополнительные сведения справа. Например:

    Screenshot of a sample attack vector simulation.

  5. Ищите особенно любой из следующих уязвимостей:

    Уязвимость Description
    Устройства, предоставляемые Интернету Например, эти уязвимости могут отображаться с сообщением об открытых внешних угрозах из-за подключения к Интернету.
    Устройства с открытыми портами Открытые порты могут использоваться для удаленного доступа, но также могут быть риском.

    Например, эти уязвимости могут отображаться с сообщением, похожим на разрешенный удаленный доступ с помощью TeamViewer Разрешенный удаленный доступ с помощью удаленного рабочего стола
    Подключение между устройствами, пересекающими подсети Например, может появиться сообщение о прямом подключении между устройствами, которое может быть приемлемым самостоятельно, но рискованным в контексте пересечения подсетей.

Мониторинг обнаруженных данных для каждого сайта или зоны

В портал Azure просмотрите данные Defender для Интернета вещей по сайтам и зонам из следующих расположений:

Примеры оповещений для просмотра

При мониторинге нулевого доверия в следующем списке приведен пример важных оповещений Defender для Интернета вещей для отслеживания:

  • Несанкционированное устройство, подключенное к сети, особенно любое вредоносное IP-адрес или доменное имя
  • Обнаруженные известные вредоносные программы
  • Несанкционированное подключение к Интернету
  • Несанкционированный удаленный доступ
  • Обнаружена операция сканирования сети
  • Несанкционированное программирование PLC
  • Изменения версий встроенного ПО
  • "STOP PLC" и другие потенциально вредоносные команды
  • Устройство подозревается в отключении
  • Сбой запроса службы Ethernet/IP CIP
  • Сбой операции BACnet
  • Недопустимая операция DNP3
  • Неавторизованный S МБ вход

Следующие шаги

Возможно, вам потребуется внести изменения в сегментацию сети на основе результатов мониторинга или изменения пользователей и систем в организации с течением времени.

Измените структуру сайтов и зон и переназначьте политики доступа на основе сайта, чтобы гарантировать, что они всегда соответствуют текущим сетевым реалиям.

Помимо использования встроенной книги Defender для Уязвимостей Интернета вещей, создайте дополнительные пользовательские книги для оптимизации непрерывного мониторинга.

Дополнительные сведения см. в разделе: