Zero Trust en uw OT-netwerken
Zero Trust is een beveiligingsstrategie voor het ontwerpen en implementeren van de volgende sets beveiligingsprincipes:
| Expliciet verifiëren | Toegang tot minimale bevoegdheden gebruiken | Stel dat er sprake is van een schending |
|---|---|---|
| Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten. | Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging. | Minimaliseer straal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren. |
Implementeer Zero Trust-principes in uw operationele technologienetwerken (OT) om u te helpen bij uitdagingen, zoals:
Externe verbindingen beheren in uw OT-systemen, het beveiligen van uw netwerksprongen en het voorkomen van zijwaartse verplaatsing in uw netwerk
Verbindingen tussen afhankelijke systemen controleren en verminderen, identiteitsprocessen vereenvoudigen, zoals voor contractanten die zich aanmelden bij uw netwerk
Single points of failure in uw netwerk vinden, problemen in specifieke netwerksegmenten identificeren en vertragingen en bandbreedteknelpunten verminderen
Unieke risico's en uitdagingen voor OT-netwerken
OT-netwerkarchitecturen verschillen vaak van traditionele IT-infrastructuur. OT-systemen gebruiken unieke technologie met eigen protocollen en hebben mogelijk verouderde platforms en beperkte connectiviteit en kracht. OT-netwerken kunnen ook specifieke veiligheidsvereisten en unieke blootstellingen hebben aan fysieke of lokale aanvallen, zoals via externe contractanten die zich aanmelden bij uw netwerk.
Omdat OT-systemen vaak kritieke netwerkinfrastructuren ondersteunen, zijn ze vaak ontworpen om prioriteit te geven aan fysieke veiligheid of beschikbaarheid via beveiligde toegang en bewaking. Uw OT-netwerken werken bijvoorbeeld afzonderlijk van ander bedrijfsnetwerkverkeer om downtime voor regelmatig onderhoud te voorkomen of om specifieke beveiligingsproblemen te verhelpen.
Naarmate meer OT-netwerken worden gemigreerd naar cloudomgevingen, kan het toepassen van Zero Trust-principes specifieke uitdagingen opleveren. Voorbeeld:
- OT-systemen zijn mogelijk niet ontworpen voor meerdere gebruikers en op rollen gebaseerd toegangsbeleid en hebben mogelijk alleen eenvoudige verificatieprocessen.
- OT-systemen hebben mogelijk niet de verwerkingskracht die beschikbaar is om volledig veilig toegangsbeleid toe te passen en vertrouw in plaats daarvan al het verkeer dat is ontvangen als veilig.
- Verouderde technologie biedt uitdagingen bij het behouden van organisatiekennis, het toepassen van updates en het gebruik van standaardhulpprogramma's voor beveiligingsanalyse om zichtbaarheid te krijgen en detectie van bedreigingen te stimuleren.
Een beveiligingsinbreuk in uw bedrijfskritieke systemen kan echter leiden tot echte gevolgen buiten traditionele IT-incidenten en niet-naleving kan van invloed zijn op het vermogen van uw organisatie om te voldoen aan overheids- en branchevoorschriften.
Zero Trust-principes toepassen op OT-netwerken
Blijf dezelfde Zero Trust-principes toepassen in uw OT-netwerken als in traditionele IT-netwerken, maar met enkele logistieke aanpassingen indien nodig. Voorbeeld:
Zorg ervoor dat alle verbindingen tussen netwerken en apparaten worden geïdentificeerd en beheerd, waardoor onbekende onderlinge afhankelijkheden tussen systemen en onverwachte downtime tijdens onderhoudsprocedures worden voorkomen.
Omdat sommige OT-systemen mogelijk niet alle beveiligingsprocedures ondersteunen die u nodig hebt, raden we u aan verbindingen tussen netwerken en apparaten te beperken tot een beperkt aantal jumphosts. Jumphosts kunnen vervolgens worden gebruikt om externe sessies met andere apparaten te starten.
Zorg ervoor dat uw jumphosts sterkere beveiligingsmaatregelen en verificatieprocedures hebben, zoals meervoudige verificatie en bevoegde toegangsbeheersystemen.
Segmenteer uw netwerk om de toegang tot gegevens te beperken, ervoor te zorgen dat alle communicatie tussen apparaten en segmenten wordt versleuteld en beveiligd, en om laterale verplaatsing tussen systemen te voorkomen. Zorg er bijvoorbeeld voor dat alle apparaten die toegang hebben tot het netwerk vooraf zijn geautoriseerd en beveiligd volgens het beleid van uw organisatie.
Mogelijk moet u de communicatie in uw gehele industriële controle- en veiligheidsinformatiesystemen (ICS en SIS) vertrouwen. U kunt uw netwerk echter vaak verder segmenteren in kleinere gebieden, waardoor het eenvoudiger is om te controleren op beveiliging en onderhoud.
Evalueer signalen zoals apparaatlocatie, status en gedrag, met behulp van statusgegevens om de toegang of vlag voor herstel te gateen. Vereisen dat apparaten up-to-date zijn voor toegang en analyses gebruiken om zichtbaarheid te krijgen en verdediging te schalen met geautomatiseerde antwoorden.
Blijf beveiligingsgegevens bewaken, zoals geautoriseerde apparaten en de basislijn voor netwerkverkeer, om ervoor te zorgen dat uw beveiligingsperimeter de integriteit en wijzigingen in uw organisatie na verloop van tijd behoudt. Mogelijk moet u uw segmenten en toegangsbeleid wijzigen wanneer personen, apparaten en systemen veranderen.
Zero Trust met Defender for IoT
Implementeer Microsoft Defender for IoT-netwerksensoren om apparaten te detecteren en verkeer over uw OT-netwerken te bewaken. Defender for IoT beoordeelt uw apparaten op beveiligingsproblemen en biedt risicogebaseerde risicobeperkingsstappen en bewaakt uw apparaten continu op afwijkend of niet-geautoriseerd gedrag.
Wanneer u OT-netwerksensoren implementeert, gebruikt u sites en zones om uw netwerk te segmenteren.
- Sites weerspiegelen veel apparaten die zijn gegroepeerd op een specifieke geografische locatie, zoals het kantoor op een specifiek adres.
- Zones weerspiegelen een logisch segment binnen een site om een functioneel gebied te definiëren, zoals een specifieke productielijn.
Wijs elke OT-sensor toe aan een specifieke site en zone om ervoor te zorgen dat elke OT-sensor een specifiek gebied van het netwerk omvat. Door uw sensor te segmenteren op verschillende sites en zones, kunt u controleren op verkeer tussen segmenten en beveiligingsbeleid afdwingen voor elke zone.
Zorg ervoor dat u op sites gebaseerd toegangsbeleid toewijst, zodat u toegang tot Defender for IoT-gegevens en -activiteiten met minimale bevoegdheden kunt bieden.
Als uw groeiende bedrijf bijvoorbeeld fabrieken en kantoren heeft in Parijs, Lagos, Dubai en Azure, kunt u uw netwerk als volgt segmenteren:
| Site | Zones |
|---|---|
| Kantoor in Parijs | - Begane grond (gasten) - Verdieping 1 (Verkoop) - Verdieping 2 (Executive) |
| Kantoor in Lagos | - Begane grond (Kantoren) - Verdiepingen 1-2 (fabriek) |
| Kantoor in Dubai | - Begane grond (Congrescentrum) - Verdieping 1 (Verkoop) - Verdieping 2 (Kantoren) |
| Office Van Den 19 | - Begane grond (Kantoren) - Verdiepingen 1-2 (fabriek) |
Volgende stappen
Maak sites en zones tijdens het onboarden van OT-sensoren in Azure Portal en wijs sitetoegangsbeleid toe aan uw Azure-gebruikers.
Als u in een omgeving met luchtkoppeling werkt met een on-premises beheerconsole, maakt u OT-site en zones rechtstreeks op de on-premises beheerconsole.
Gebruik ingebouwde Defender for IoT-werkmappen en maak zelf aangepaste werkmappen om uw beveiligingsperimeter in de loop van de tijd te bewaken.
Zie voor meer informatie:
- Sites en zones maken bij het onboarden van een OT-sensor
- Toegangsbeheer op basis van sites beheren
- Uw OT-netwerk bewaken met Zero Trust-principes
Zie voor meer informatie: