Tutorial: Monitorizar as suas redes OT com princípios de Confiança Zero

Confiança Zero é uma estratégia de segurança para conceber e implementar os seguintes conjuntos de princípios de segurança:

Verificar explicitamente Utilizar o acesso com privilégios mínimos Assumir violação
Autentique e autorize sempre com base em todos os pontos de dados disponíveis. Limite o acesso do utilizador com Acesso Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptáveis baseadas em riscos e proteção de dados. Minimizar o raio de explosão e o acesso de segmento. Verifique a encriptação ponto a ponto e utilize a análise para obter visibilidade, deteção de ameaças e melhorar as defesas.

O Defender para IoT utiliza definições de site e zona na sua rede OT para garantir que mantém a higiene de rede e mantém cada subsistema separado e seguro.

Este tutorial descreve como monitorizar a sua rede OT com o Defender para IoT e Confiança Zero princípios.

Neste tutorial, vai aprender a:

Importante

A página Recomendações no portal do Azure está atualmente em PRÉ-VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure para obter termos legais adicionais aplicáveis às funcionalidades Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Pré-requisitos

Para realizar as tarefas neste tutorial, precisa de:

Procurar alertas sobre o tráfego entre sub-redes

O tráfego entre sub-redes é o tráfego que se move entre sites e zonas.

O tráfego entre sub-redes pode ser legítimo, como quando um sistema interno envia mensagens de notificação para outros sistemas. No entanto, se um sistema interno estiver a enviar comunicações para servidores externos, quer verificar se a comunicação é legítima. Se existirem mensagens a sair, incluem informações que podem ser partilhadas? Se há tráfego a entrar, vem de origens seguras?

Separou a sua rede em sites e zonas para manter cada subsistema separado e seguro e pode esperar que a maioria do tráfego num site ou zona específico permaneça interna nesse site ou zona. Se vir tráfego entre sub-redes, poderá indicar que a sua rede está em risco.

Para procurar tráfego entre sub-redes:

  1. Inicie sessão num sensor de rede OT que pretende investigar e selecione Mapa do dispositivo à esquerda.

  2. Expanda o painel Grupos à esquerda do mapa e, em seguida, selecione Filtrar>Ligação entre Sub-redes.

  3. No mapa, amplie o suficiente para poder ver as ligações entre dispositivos. Selecione dispositivos específicos para mostrar um painel de detalhes do dispositivo à direita, onde pode investigar mais aprofundadamente o dispositivo.

    Por exemplo, no painel de detalhes do dispositivo, selecione Relatório de Atividade para criar um relatório de atividade e saiba mais sobre padrões de tráfego específicos.

Procurar alertas em dispositivos desconhecidos

Sabe com que dispositivos estão na sua rede e com quem estão a comunicar? O Defender para IoT aciona alertas para qualquer dispositivo novo e desconhecido detetado nas sub-redes OT para que possa identificá-lo e garantir a segurança do dispositivo e a segurança de rede.

Os dispositivos desconhecidos podem incluir dispositivos transitórios , que se movem entre redes. Por exemplo, os dispositivos transitórios podem incluir o portátil de um técnico, que ligam à rede ao manter servidores ou o smartphone de um visitante, que liga a uma rede de convidados no seu escritório.

Importante

Depois de identificar dispositivos desconhecidos, confirme que investiga quaisquer alertas adicionais acionados por esses dispositivos, uma vez que qualquer tráfego suspeito em dispositivos desconhecidos cria um risco adicional.

Para verificar a existência de dispositivos não autorizados/desconhecidos e de sites e zonas de risco:

  1. No Defender para IoT no portal do Azure, selecione Alertas para ver os alertas acionados por todos os sensores ligados à cloud. Para localizar alertas para dispositivos desconhecidos, filtre por alertas com os seguintes nomes:

    • Novo Recurso Detetado
    • Dispositivo de Campo Detetado Inesperadamente

    Executar cada ação de filtro separadamente. Para cada ação de filtro, faça o seguinte para identificar sites e zonas de risco na sua rede, o que pode exigir políticas de segurança atualizadas:

    1. Agrupe os alertas por Site para ver se tem um site específico que está a gerar muitos alertas para dispositivos desconhecidos.

    2. Adicione o filtro Zona aos alertas apresentados para reduzir os alertas a zonas específicas.

Estão em risco sites ou zonas específicos que geram muitos alertas para dispositivos desconhecidos. Recomendamos que atualize as políticas de segurança para impedir que tantos dispositivos desconhecidos se liguem à sua rede.

Para investigar um alerta específico para dispositivos desconhecidos:

  1. Na página Alertas , selecione um alerta para ver mais detalhes no painel à direita e na página de detalhes do alerta.

  2. Se ainda não tiver a certeza se o dispositivo é legítimo, investigue mais aprofundadamente o sensor de rede OT relacionado.

    • Inicie sessão no sensor de rede OT que acionou o alerta e, em seguida, localize o alerta e abra a respetiva página de detalhes do alerta.
    • Utilize os separadores Vista de Mapa e Linha cronológica do Evento para localizar onde na rede o dispositivo foi detetado e quaisquer outros eventos que possam estar relacionados.

  3. Mitige o risco conforme necessário ao efetuar uma das seguintes ações:

    • Saiba o alerta se o dispositivo for legítimo para que o alerta não seja acionado novamente para o mesmo dispositivo. Na página de detalhes do alerta, selecione Aprender.
    • Bloqueie o dispositivo se não for legítimo.

Procurar dispositivos não autorizados

Recomendamos que observe proativamente dispositivos novos e não autorizados detetados na sua rede. A verificação regular de dispositivos não autorizados pode ajudar a evitar ameaças de dispositivos fraudulentos ou potencialmente maliciosos que possam infiltrar-se na sua rede.

Por exemplo, utilize a recomendação Rever dispositivos não autorizados para identificar todos os dispositivos não autorizados.

Para rever dispositivos não autorizados:

  1. No Defender para IoT no portal do Azure, selecione Recomendações (Pré-visualização) e procure a recomendação Rever dispositivos não autorizados.
  2. Veja os dispositivos listados no separador Dispositivos em mau estado de funcionamento. Cada um destes dispositivos não autorizados pode ser um risco para a sua rede.

Siga os passos de remediação, tais como marcar o dispositivo como autorizado se o dispositivo for conhecido por si ou desligar o dispositivo da sua rede se o dispositivo permanecer desconhecido após a investigação.

Para obter mais informações, veja Melhorar a postura de segurança com recomendações de segurança.

Sugestão

Também pode rever dispositivos não autorizados ao filtrar o inventário de dispositivos pelo campo Autorização , mostrando apenas os dispositivos marcados como Não Autorizados.

Procurar sistemas vulneráveis

Se tiver dispositivos na sua rede com software ou firmware desatualizado, estes poderão estar vulneráveis a ataques. Os dispositivos que estão em fim de vida e não têm mais atualizações de segurança são especialmente vulneráveis.

Para procurar sistemas vulneráveis:

  1. No Defender para IoT no portal do Azure, selecioneVulnerabilidades> dos Livrospara abrir o livro Vulnerabilidades.

  2. No seletor subscrição na parte superior da página, selecione a subscrição Azure onde os sensores de OT estão integrados.

    O livro é preenchido com dados de toda a rede.

  3. Desloque-se para baixo para ver as listas de dispositivos vulneráveis e componentes vulneráveis. Estes dispositivos e componentes na sua rede necessitam de atenção, como uma atualização de firmware ou software, ou substituição se não existirem mais atualizações disponíveis.

  4. No SiteName , selecione na parte superior da página, selecione um ou mais sites para filtrar os dados por site. Filtrar dados por site pode ajudá-lo a identificar preocupações em sites específicos, o que pode exigir atualizações ao nível do site ou substituições de dispositivos.

Simular tráfego malicioso para testar a sua rede

Para verificar a postura de segurança de um dispositivo específico, execute um relatório de vetor de ataque para simular o tráfego para esse dispositivo. Utilize o tráfego simulado para localizar e mitigar vulnerabilidades antes de serem exploradas.

Para executar um relatório de vetor de ataque:

  1. Inicie sessão num sensor de rede OT que detete o dispositivo que pretende investigar e selecione Vetor de ataque à esquerda.

  2. Selecione + Adicionar simulação e, em seguida, introduza os seguintes detalhes no painel Adicionar simulação de vetor de ataque :

    Campo/Opção Descrição
    Nome Introduza um nome significativo para a simulação, como Confiança Zero e a data.
    Vetores Máximos Selecione 20 para incluir o número máximo de ligações suportadas entre dispositivos.
    Mostrar no Mapa do Dispositivo Opcional. Selecione para mostrar a simulação no mapa do dispositivo do sensor, o que lhe permite investigar mais tarde.
    Mostrar Todos os Dispositivos de / OrigemMostrar todos os Dispositivos de Destino Selecione ambos para mostrar todos os dispositivos detetados do sensor na simulação como possíveis dispositivos de origem e dispositivos de destino.

    Deixe em branco Excluir Dispositivos e Excluir Sub-redes para incluir todo o tráfego detetado na simulação.

  3. Selecione Guardar e aguarde que a simulação termine a execução. O tempo que demora depende da quantidade de tráfego detetado pelo sensor.

  4. Expanda a nova simulação e selecione qualquer um dos itens detetados para ver mais detalhes à direita. Por exemplo:

    Captura de ecrã de uma simulação de vetor de ataque de exemplo.

  5. Procure especialmente qualquer uma das seguintes vulnerabilidades:

    Vulnerabilidade Descrição
    Dispositivos expostos à Internet Por exemplo, estas vulnerabilidades podem ser apresentadas com uma mensagem de Exposto a ameaças externas devido à conectividade à Internet.
    Dispositivos com portas abertas As portas abertas podem ser utilizadas legitimamente para acesso remoto, mas também podem ser um risco.

    Por exemplo, estas vulnerabilidades podem ser apresentadas com uma mensagem semelhante a Acesso remoto permitido através do TeamViewer Acesso remoto permitido através do Ambiente de Trabalho Remoto
    Ligações entre dispositivos que atravessam sub-redes Por exemplo, poderá ver uma mensagem de Ligação direta entre dispositivos, que pode ser aceitável por si só, mas arriscada no contexto da passagem de sub-redes.

Monitorizar dados detetados por site ou zona

Na portal do Azure, veja Dados do Defender para IoT por site e zona a partir das seguintes localizações:

Alertas de exemplo a ter em atenção

Ao monitorizar Confiança Zero, a lista seguinte é um exemplo de alertas importantes do Defender para IoT a ter em atenção:

  • Dispositivo não autorizado ligado à rede, especialmente quaisquer pedidos de IP/Nome de domínio maliciosos
  • Software maligno conhecido detetado
  • Ligação não autorizada à Internet
  • Acesso remoto não autorizado
  • Operação de análise de rede detetada
  • Programação PLC não autorizada
  • Alterações às versões de firmware
  • "Plc Stop" e outros comandos potencialmente maliciosos
  • Suspeita-se que o dispositivo esteja desligado
  • Falha no pedido do serviço Ethernet/IP CIP
  • A operação BACnet falhou
  • Operação DNP3 ilegal
  • Início de sessão SMB não autorizado

Passos seguintes

Poderá ter de fazer alterações na segmentação de rede com base nos resultados da monitorização ou à medida que as pessoas e os sistemas na sua organização mudam ao longo do tempo.

Modifique a estrutura dos seus sites e zonas e reatribua políticas de acesso baseadas no site para garantir que correspondem sempre às realidades de rede atuais.

Além de utilizar o livro incorporado vulnerabilidades do Defender para IoT, crie mais livros personalizados para otimizar a monitorização contínua.

Para mais informações, consulte:

  • Last updated on