Zelfstudie: Uw OT-netwerken bewaken met Zero Trust-principes

Zero Trust is een beveiligingsstrategie voor het ontwerpen en implementeren van de volgende sets beveiligingsprincipes:

Expliciet verifiëren	Toegang tot minimale bevoegdheden gebruiken	Stel dat er sprake is van een schending
Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten.	Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging.	Minimaliseer straal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren.

Defender for IoT maakt gebruik van site- en zonedefinities in uw OT-netwerk om ervoor te zorgen dat u netwerk hygiëne onderhoudt en elk subsysteem gescheiden en veilig houdt.

In deze zelfstudie wordt beschreven hoe u uw OT-netwerk bewaakt met Defender for IoT- en Zero Trust-principes.

In deze zelfstudie leert u het volgende:

• Waarschuwingen zoeken op onbekende apparaten
• Zoeken naar kwetsbare systemen
• Waarschuwingen zoeken voor verkeer tussen subnetten
• Schadelijk verkeer simuleren om uw netwerk te testen

Belangrijk

De Aanbevelingen pagina in Azure Portal is momenteel beschikbaar als PREVIEW-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Vereisten

Als u de taken in deze zelfstudie wilt uitvoeren, hebt u het volgende nodig:

• Een Defender for IoT OT-abonnement op uw Azure-abonnement

• Meerdere met de cloud verbonden, OT-sensoren geïmplementeerd en verkeersgegevens streamen naar Defender for IoT. Elke sensor moet worden toegewezen aan een andere site en zone, zodat elk van uw netwerksegmenten gescheiden en veilig blijft. Zie OT-sensoren onboarden voor Defender for IoT voor meer informatie.

• De volgende machtigingen:

  • Toegang tot Azure Portal als een beveiligingsbeheerder, inzender of eigenaargebruiker . Zie Azure-gebruikersrollen en -machtigingen voor Defender for IoT voor meer informatie.

  • Toegang tot uw sensoren als gebruiker van Beheer of beveiligingsanalist. Zie On-premises gebruikers en rollen voor OT-bewaking met Defender for IoT voor meer informatie.

Waarschuwingen zoeken voor verkeer tussen subnetten

Verkeer tussen subnetten is verkeer dat tussen sites en zones wordt verplaatst.

Verkeer tussen subnetten kan legitiem zijn, bijvoorbeeld wanneer een intern systeem meldingsberichten naar andere systemen verzendt. Als een intern systeem echter communicatie naar externe servers verzendt, wilt u controleren of de communicatie allemaal legitiem is. Als er berichten zijn, bevatten ze dan informatie die kan worden gedeeld? Als er verkeer binnenkomt, is het afkomstig van beveiligde bronnen?

U hebt uw netwerk gescheiden in sites en zones om elk subsysteem gescheiden en veilig te houden en verwacht dat het meeste verkeer op een specifieke site of zone intern blijft voor die site of zone. Als u verkeer tussen subnetten ziet, kan dit erop wijzen dat uw netwerk risico loopt.

Zoeken naar verkeer tussen subnetten:

1. Meld u aan bij een OT-netwerksensor die u wilt onderzoeken en selecteer apparaattoewijzing aan de linkerkant.

2. Vouw het deelvenster Groepen aan de linkerkant van de kaart uit en selecteer vervolgens Filter>Cross Subnet Verbinding maken ion.

3. Zoom op de kaart ver genoeg in, zodat u de verbindingen tussen apparaten kunt bekijken. Selecteer specifieke apparaten om een deelvenster met apparaatdetails aan de rechterkant weer te geven waar u het apparaat verder kunt onderzoeken.

   Selecteer bijvoorbeeld in het deelvenster Met apparaatdetails het activiteitenrapport om een activiteitenrapport te maken en meer te weten te komen over specifieke verkeerspatronen.

Waarschuwingen zoeken op onbekende apparaten

Weet u met welke apparaten in uw netwerk en met wie ze communiceren? Defender for IoT activeert waarschuwingen voor elk nieuw, onbekend apparaat dat is gedetecteerd in OT-subnetten, zodat u deze kunt identificeren en ervoor kunt zorgen dat zowel de apparaatbeveiliging als uw netwerkbeveiliging worden beveiligd.

Onbekende apparaten kunnen tijdelijke apparaten bevatten, die schakelen tussen netwerken. Tijdelijke apparaten kunnen bijvoorbeeld een laptop van een technicus bevatten, die ze verbinden met het netwerk bij het onderhouden van servers of een smartphone van een bezoeker, die verbinding maakt met een gastnetwerk op uw kantoor.

Belangrijk

Zodra u onbekende apparaten hebt geïdentificeerd, moet u eventuele verdere waarschuwingen onderzoeken die door deze apparaten worden geactiveerd, omdat verdacht verkeer op onbekende apparaten een extra risico creëert.

Controleren op niet-geautoriseerde/onbekende apparaten en riskante sites en zones:

1. Selecteer in Defender for IoT in Azure Portal waarschuwingen om de waarschuwingen weer te geven die worden geactiveerd door al uw met de cloud verbonden sensoren. Als u waarschuwingen voor onbekende apparaten wilt zoeken, filtert u op waarschuwingen met de volgende namen:

   • Nieuwe asset gedetecteerd
   • Veldapparaat onverwacht gedetecteerd

   Voer elke filteractie afzonderlijk uit. Ga voor elke filteractie als volgt te werk om riskante sites en zones in uw netwerk te identificeren, waarvoor mogelijk een vernieuwd beveiligingsbeleid is vereist:

   1. Groepeer uw waarschuwingen per site om te zien of u een specifieke site hebt die veel waarschuwingen genereert voor onbekende apparaten.

   2. Voeg het zonefilter toe aan de waarschuwingen die worden weergegeven om uw waarschuwingen te beperken tot specifieke zones.

Specifieke sites of zones die veel waarschuwingen genereren voor onbekende apparaten lopen gevaar. U wordt aangeraden uw beveiligingsbeleid te vernieuwen om te voorkomen dat zoveel onbekende apparaten verbinding maken met uw netwerk.

Een specifieke waarschuwing voor onbekende apparaten onderzoeken:

1. Selecteer op de pagina Waarschuwingen een waarschuwing om meer details weer te geven in het deelvenster aan de rechterkant en op de pagina met waarschuwingsgegevens.

2. Als u nog niet zeker weet of het apparaat legitiem is, onderzoekt u verder op de gerelateerde OT-netwerksensor.

   • Meld u aan bij de OT-netwerksensor die de waarschuwing heeft geactiveerd en zoek uw waarschuwing en open de pagina met waarschuwingsgegevens.
   • Gebruik de tabbladen Kaartweergave en Gebeurtenistijdlijn om te zoeken naar de locatie in het netwerk waarop het apparaat is gedetecteerd en andere gebeurtenissen die mogelijk gerelateerd zijn.

3. Beperk het risico indien nodig door een van de volgende acties uit te voeren:

   • Informatie over de waarschuwing als het apparaat legitiem is, zodat de waarschuwing niet opnieuw wordt geactiveerd voor hetzelfde apparaat. Selecteer Learn op de pagina met waarschuwingsgegevens.
   • Het apparaat blokkeren als het niet legitiem is.

Zoeken naar niet-geautoriseerde apparaten

U wordt aangeraden proactief te kijken naar nieuwe, niet-geautoriseerde apparaten die in uw netwerk zijn gedetecteerd. Regelmatig controleren op niet-geautoriseerde apparaten kan helpen bedreigingen van rogue of mogelijk schadelijke apparaten te voorkomen die uw netwerk kunnen infiltreren.

Gebruik bijvoorbeeld de aanbeveling Niet-geautoriseerde apparaten controleren om alle niet-geautoriseerde apparaten te identificeren.

Niet-geautoriseerde apparaten controleren:

1. Selecteer in Defender for IoT in Azure Portal Aanbevelingen (preview) en zoek naar de aanbeveling Niet-geautoriseerde apparaten controleren.
2. Bekijk de apparaten die worden vermeld op het tabblad Beschadigde apparaten . Elk van deze apparaten is niet gemachtigd en kan een risico voor uw netwerk zijn.

Volg de herstelstappen, zoals het markeren van het apparaat als geautoriseerd als het apparaat bekend is bij u, of de verbinding met het apparaat met uw netwerk verbreken als het apparaat na onderzoek onbekend blijft.

Zie Beveiligingspostuur verbeteren met aanbevelingen voor beveiliging voor meer informatie.

Tip

U kunt ook niet-geautoriseerde apparaten controleren door de apparaatinventaris te filteren op het veld Autorisatie , waarbij alleen apparaten worden weergegeven die zijn gemarkeerd als Niet geautoriseerd.

Zoeken naar kwetsbare systemen

Als u apparaten in uw netwerk hebt met verouderde software of firmware, zijn ze mogelijk kwetsbaar voor aanvallen. Apparaten die het einde van de levensduur hebben en geen beveiligingsupdates meer hebben, zijn bijzonder kwetsbaar.

Zoeken naar kwetsbare systemen:

1. Selecteer in Defender for IoT in Azure Portal Werkmapproblemen> om de werkmap Beveiligingsproblemen te openen.

2. Selecteer in de abonnementskiezer boven aan de pagina het Azure-abonnement waarin uw OT-sensoren worden onboarded.

   De werkmap wordt gevuld met gegevens uit het hele netwerk.

3. Schuif omlaag om de lijsten met kwetsbare apparaten en kwetsbare onderdelen weer te geven. Deze apparaten en onderdelen in uw netwerk vereisen aandacht, zoals een firmware- of software-update, of vervanging als er geen updates meer beschikbaar zijn.

4. Selecteer in de sitenaam boven aan de pagina een of meer sites om de gegevens op site te filteren. Door gegevens te filteren op site kunt u problemen op specifieke sites identificeren, waarvoor mogelijk updates of apparaatvervangingen voor de hele site nodig zijn.

Schadelijk verkeer simuleren om uw netwerk te testen

Als u de beveiligingspostuur van een specifiek apparaat wilt controleren, voert u een aanvalsvectorrapport uit om verkeer naar dat apparaat te simuleren. Gebruik het gesimuleerde verkeer om beveiligingsproblemen te vinden en te beperken voordat ze worden misbruikt.

Een aanvalsvectorrapport uitvoeren:

1. Meld u aan bij een OT-netwerksensor die het apparaat detecteert dat u wilt onderzoeken en selecteer aanvalsvector aan de linkerkant.

2. Selecteer + Simulatie toevoegen en voer vervolgens de volgende details in het deelvenster Aanvalsvectorsimulatie toevoegen in:

   Veld/optie	Description
   Naam	Voer een betekenisvolle naam in voor uw simulatie, zoals Zero Trust en de datum.
   Maximumvectors	Selecteer 20 om het maximaal ondersteunde aantal verbindingen tussen apparaten op te nemen.
   Weergeven in apparaatoverzicht	Optioneel. Selecteer deze optie om de simulatie weer te geven in de apparaatkaart van de sensor, zodat u later verder kunt onderzoeken.
   Alle bronapparaten / weergeven alle doelapparaten	Selecteer beide om alle gedetecteerde apparaten van de sensor in uw simulatie weer te geven als mogelijke bronapparaten en doelapparaten.

   Laat de uitgesloten apparaten leeg en sluit subnetten uit om al het gedetecteerde verkeer in uw simulatie op te nemen.

3. Selecteer Opslaan en wacht tot de simulatie is voltooid. De tijd die nodig is, is afhankelijk van de hoeveelheid verkeer dat door uw sensor is gedetecteerd.

4. Vouw de nieuwe simulatie uit en selecteer een van de gedetecteerde items om meer details aan de rechterkant weer te geven. Voorbeeld:

   

5. Kijk vooral naar een van de volgende beveiligingsproblemen:

   Beveiligingsprobleem	Beschrijving
   Apparaten die worden blootgesteld aan internet	Deze beveiligingsproblemen kunnen bijvoorbeeld worden weergegeven met een bericht van Blootgesteld aan externe bedreigingen vanwege internetverbinding.
   Apparaten met open poorten	Open poorten kunnen legitiem worden gebruikt voor externe toegang, maar kan ook een risico zijn. Deze beveiligingsproblemen kunnen bijvoorbeeld worden weergegeven met een bericht dat vergelijkbaar is met Toegestane externe toegang via TeamViewer: externe toegang via Extern bureaublad
   Verbinding maken tussen apparaten die subnetten kruisen	U ziet bijvoorbeeld een bericht over directe verbinding tussen apparaten, wat op zichzelf acceptabel kan zijn, maar riskant is in de context van het kruisen van subnetten.

Gedetecteerde gegevens per site of zone bewaken

Bekijk in Azure Portal defender for IoT-gegevens op site en zone vanaf de volgende locaties:

• Apparaatinventaris: De apparaatinventaris groeperen of filteren op site of zone.

• Waarschuwingen: Alleen waarschuwingen groeperen of filteren op site. Voeg de kolom Site of Zone toe aan uw raster om uw gegevens in uw groep te sorteren.

• Werkmappen: Open de werkmap Defender for IoT-beveiligingsproblemen om gedetecteerde beveiligingsproblemen per site weer te geven. U kunt ook aangepaste werkmappen maken voor uw eigen organisatie om meer gegevens per site en zone weer te geven.

• Sites en sensoren: Filter de sensoren die worden vermeld op site of zone.

Voorbeeldwaarschuwingen voor controle op

Bij het bewaken van Zero Trust is de volgende lijst een voorbeeld van belangrijke Defender for IoT-waarschuwingen om te kijken naar:

• Niet-geautoriseerd apparaat dat is verbonden met het netwerk, met name schadelijke IP-/domeinnaamaanvragen
• Bekende malware gedetecteerd
• Niet-geautoriseerde verbinding met internet
• Onbevoegde externe toegang
• Netwerkscanbewerking gedetecteerd
• Niet-geautoriseerde PLC-programmering
• Wijzigingen in firmwareversies

• "PLC Stop" en andere mogelijk schadelijke opdrachten
• Apparaat wordt vermoed dat de verbinding wordt verbroken
• Fout in ethernet-/IP CIP-serviceaanvraag
• BACnet-bewerking is mislukt
• Illegale DNP3-bewerking
• Niet-geautoriseerde SMB-aanmelding

Volgende stappen

Mogelijk moet u wijzigingen aanbrengen in uw netwerksegmentatie op basis van de resultaten van uw bewaking, of naarmate personen en systemen in uw organisatie na verloop van tijd veranderen.

Wijzig de structuur van uw sites en zones en wijs sitetoegangsbeleid opnieuw toe om ervoor te zorgen dat ze altijd overeenkomen met uw huidige netwerkconformiteiten.

Naast het gebruik van de ingebouwde werkmap defender voor IoT-beveiligingsproblemen, kunt u meer, aangepaste werkmappen maken om uw continue bewaking te optimaliseren.

Zie voor meer informatie:

• Sensoren beheren met Defender for IoT in Azure Portal
• Toegangsbeheer op basis van sites beheren (openbare preview)
• Microsoft Defender for IoT-gegevens visualiseren met Azure Monitor-werkmappen