Microsoft Defender para IoT para organizaciones

  • Artículo
  • Tiempo de lectura: 5 minutos

Internet de las cosas (IoT) admite miles de millones de dispositivos conectados que usan redes de tecnología operativa (OT). Los dispositivos y redes IoT/OT suelen diseñarse sin priorizar la seguridad y, por tanto, no se pueden proteger mediante los sistemas tradicionales. Con cada nueva oleada de innovación, el riesgo para los dispositivos IoT y las redes OT aumenta las posibles superficies de ataque.

Microsoft Defender para IoT es una solución de seguridad unificada para identificar dispositivos IoT y OT, además de vulnerabilidades y amenazas. Con Defender para IoT, puede administrarlos mediante una interfaz central. En este conjunto de documentación se describe cómo las organizaciones de usuarios finales pueden proteger todo su entorno de IoT/OT, incluida la protección de dispositivos existentes o la creación de seguridad en nuevas innovaciones de IoT.

Diagrama en el que se muestra un ejemplo de la solución de cobertura de un extremo a otro de Defender for IoT.

En el caso de las organizaciones de usuarios finales, Microsoft Defender para IoT proporciona una supervisión de capa de red sin agente que se integra sin problemas con equipos industriales y herramientas de SOC. Puede implementar Microsoft Defender para IoT en entornos híbridos y conectados a Azure o en un entorno completamente local.

En el caso de los generadores de dispositivos IoT, Microsoft Defender para IoT también ofrece un micro-agente ligero que admite sistemas operativos de IoT estándar, como Linux y RTOS. El agente del generador de dispositivos de Microsoft Defender le ayuda a garantizar que la seguridad se integra en los proyectos de IoT/OT, desde la nube. Para obtener más información, consulte la documentación de Microsoft Defender para IoT para generadores de dispositivos.

Supervisión de dispositivos sin agente

Muchos dispositivos IoT y OT heredados no son compatibles con los agentes y, por lo tanto, pueden quedarse sin revisiones, mal configurados e invisibles para los equipos de TI. Estos dispositivos se convierten en objetivos fáciles para los actores de amenazas que quieren adentrarse en las redes corporativas.

Las herramientas tradicionales de supervisión de la seguridad de red pueden no comprender las redes que contienen protocolos, dispositivos y comportamientos de máquina a máquina (M2M) especializados. La supervisión sin agente de Defender para IoT proporciona visibilidad y seguridad en esas redes.

  • Detecte los dispositivos IoT/OT en la red, sus detalles y cómo se comunican. Recopile los datos de sensores de red, Microsoft Defender para punto de conexión y orígenes de terceros.

  • Evalúe los riesgos y administre vulnerabilidades mediante el aprendizaje automático, la inteligencia sobre amenazas y el análisis de comportamiento. Por ejemplo:

    • Identifique los dispositivos sin revisar, los puertos abiertos, las aplicaciones no autorizadas, las conexiones no autorizadas, los cambios en las configuraciones de dispositivo, el código PLC, el firmware, etc.

    • Ejecute búsquedas en el tráfico histórico en todas las dimensiones y protocolos pertinentes. Acceda a PCAP de plena fidelidad para profundizar más.

    • Detecte amenazas avanzadas que los IOC estáticos hayan pasado por alto, como malware de día cero, malware sin archivos y tácticas que aprovechan recursos ya existentes.

  • Responda a amenazas mediante la integración con servicios de Microsoft, como Microsoft Sentinel, sistemas que no son de Microsoft y API. Use integraciones avanzadas para la Administración de eventos e información de seguridad (SIEM), las operaciones de seguridad y respuesta (SOAR) y los servicios de detección y respuesta extendidas (XDR), etc.

Una experiencia de usuario centralizada permite al equipo de seguridad visualizar y proteger todos sus dispositivos TI, IoT y OT, independientemente de dónde se encuentren.

Compatibilidad con redes híbridas, locales y en la nube

Defender para IoT puede admitir varias configuraciones de red:

  • Nube: amplíe el recorrido a la nube mediante la entrega de los datos a Azure. Allí puede visualizar los datos desde una ubicación central. Esos datos se pueden compartir con otros servicios de Microsoft para la supervisión y la respuesta de seguridad de un extremo a otro.

  • Entorno local: por ejemplo, en entornos aislados, es posible que quiera mantener todos los datos en un entorno completamente local. Use los datos proporcionados por cada sensor y las visualizaciones centrales proporcionadas por una consola de administración local para garantizar la seguridad en la red.

  • Híbrido: puede que tenga requisitos de red híbrida donde puede entregar algunos datos a la nube y otros datos deben permanecer en el entorno local. En este caso, configure el sistema en una configuración flexible y escalable que se adapte a sus necesidades.

Independientemente de la configuración, los datos detectados por un sensor específico también están siempre disponibles en la consola del sensor.

Ampliación de la compatibilidad con protocolos de su propiedad

Los dispositivos IoT e ICS se pueden proteger mediante protocolos insertados y de su propiedad, personalizados o no estándar. Use el SDK del entorno de desarrollo abierto (ODE) de Horizon para desarrollar complementos de disección que descodifiquen el tráfico de red, independientemente del tipo de protocolo.

Por ejemplo, en un entorno que ejecuta MODBUS, puede generar una alerta cuando el sensor detecta un comando de escritura en un registro de memoria en una dirección IP y un destino Ethernet específicos. O bien, puede que desee generar una alerta cuando se realice cualquier acceso a una dirección IP específica. Las alertas se desencadenan cuando se cumplen las condiciones de la regla de alertas de Horizon.

Use la mensajería y el desencadenamiento de alertas personalizadas y basadas en condiciones como ayuda para identificar actividad de red específica y actualizar de forma eficaz los equipos operativos, de TI y de seguridad. Póngase en contacto con ms-horizon-support@microsoft.com para más información sobre cómo trabajar con el SDK de Open Development Environment (ODE) y crear complementos de protocolo.

Protección de redes empresariales

Microsoft Defender para IoT puede proteger los dispositivos IoT y OT, independientemente de si están conectados a redes IoT dedicadas, OT o TI.

La protección de red de Enterprise IoT amplía las características sin agente más allá de los entornos operativos, lo que proporciona cobertura para todos los dispositivos IoT de su entorno. Por ejemplo, un entorno de IoT empresarial puede incluir impresoras, cámaras y dispositivos de su propiedad, creados para alguna finalidad.

Al expandir Microsoft Defender para IoT a la red empresarial, puede aplicar las características de Microsoft 365 Defender para la detección de recursos y usar Microsoft Defender para punto de conexión para un único paquete integrado que puede proteger toda la infraestructura de IoT/OT.

Use los sensores de Microsoft Defender para IoT como orígenes de datos adicionales. Estos sensores proporcionan visibilidad en áreas de la red de la organización donde no está implementado Microsoft Defender para punto de conexión y cuando los empleados acceden a la información de forma remota. Los sensores de Microsoft Defender para IoT proporcionan visibilidad sobre las comunicaciones de IoT a IoT y de IoT a Internet. La integración de Defender para IoT y Defender para punto de conexión sincroniza los dispositivos IoT empresariales que detecta en la red cualquiera de los servicios.

Para más información, consulte la documentación de Microsoft 365 Defender y Microsoft Defender para punto de conexión.

Pasos siguientes

Para más información, consulte: