你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:通过零信任原则监视 OT 网络

  • 项目

零信任是一种安全策略,用于设计和实现以下安全原则集:

显式验证 使用最低特权访问 假定数据泄露
始终根据所有可用的数据点进行身份验证和授权。 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。

Defender for IoT 在整个 OT 网络中使用站点和区域定义,确保维护网络卫生,使每个子系统保持独立和安全。

本教程介绍如何使用 Defender for IoT 和零信任原则来监视 OT 网络。

在本教程中,你将了解如何执行以下操作:

重要

Azure 门户中的“建议”页目前处于“预览阶段”。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

若要执行本教程中的任务,需要:

查找有关跨子网流量的警报

跨子网流量是在站点和区域之间移动的流量。

跨子网流量可能是合法的,例如当内部系统向其他系统发送通知消息时。 但是,如果内部系统正在向外部服务器发送通信,则需要验证该通信是否完全合法。 如果有消息传出,其中是否包含可以共享的信息? 如果有流量传入,其是否来自安全源?

你已将网络分隔为不同的站点和区域,使每个子系统保持独立和安全,并且可能希望特定站点或区域中的大多数流量保留在该站点或区域的内部。 如果出现跨子网流量,则可能表示网络存在风险。

搜索跨子网流量:

  1. 登录到要调查的 OT 网络传感器,并选择左侧的“设备映射”。

  2. 展开映射左侧的“组”窗格,然后选择“筛选器”>“跨子网连接”。

  3. 在映射上,放大到足够远的距离,以便能够查看设备之间的连接。 选择特定设备,在右侧显示“设备详细信息”窗格,可在其中进一步调查该设备。

    例如,在“设备详细信息”窗格中,选择“活动报告”可创建活动报告并了解特定流量模式的相关详细信息。

查找有关未知设备的警报

你是否知道你的网络上有哪些设备,以及它们正在与谁通信? Defender for IoT 会针对在 OT 子网上检测到的任何未知新设备触发警报,这样你便可以识别该设备并确保设备和网络都是安全的。

未知设备可能包括在网络之间移动的临时设备。 例如,临时设备可能包括技术人员的笔记本电脑(在维护服务器时连接到网络)或访客的智能手机(在办公室连接到来宾网络)。

重要

确定未知设备后,请确保调查这些设备触发的任何进一步警报,因为未知设备上的任何可疑流量都会造成额外的风险。

检查未经授权的/未知设备以及有风险的站点和区域:

  1. 在 Azure 门户上的 Defender for IoT 中,选择“警报”,查看由所有连接到云的传感器触发的警报。 要查找针对未知设备的警报,请筛选具有以下名称的警报:

    • 检测到新资产
    • 意外发现现场设备

    单独执行每个筛选操作。 对于每个筛选操作,请执行下列操作以识别网络中的风险站点和区域,这可能需要刷新安全策略:

    1. 按“站点”对警报进行分组,查看是否有特定站点针对未知设备生成了多个警报。

    2. 将“区域”筛选器添加到显示的警报,将警报范围缩小到特定区域。

若特定站点或区域针对未知设备生成了多个警报,则其存在风险。 建议刷新安全策略,防止太多未知设备连接到网络。

调查针对未知设备的特定警报:

  1. 在“警报”页上选择一个警报,在右侧窗格和“警报详细信息”页中查看更多详细信息。

  2. 如果还不确定设备是否合法,请进一步调查相关的 OT 网络传感器。

    • 登录到触发警报的 OT 网络传感器,然后找到警报并打开其“警报详细信息”页。
    • 使用“映射视图”和“事件时间线”选项卡可查找在网络中检测到设备的位置,以及可能相关的任何其他事件。

  3. 根据需要执行以下操作之一来缓解风险:

    • 如果设备合法,请记住该警报,以免针对同一设备再次触发警报。 在“警报详细信息”页上,选择“记住”。
    • 如果设备不合法,请阻止该设备。

查找未授权的设备

建议主动监视在网络上检测到的未授权的新设备。 定期检查是否存在未授权的设备有助于防止可能渗透到网络的恶意设备或潜在恶意设备的威胁。

例如,使用“查看未授权的设备”建议来识别所有未授权的设备。

查看未授权的设备:

  1. 在Azure 门户上的 Defender for IoT 中,选择“建议(预览版)”,然后搜索“查看未授权的设备”建议。
  2. 查看“运行不正常的设备”选项卡中列出的设备。其中每台设备都处于未授权状态,并可能对你的网络构成风险。

请遵循修正步骤,例如,在你熟悉设备的情况下将设备标记为已授权,或者如果设备在经过调查后仍处于未知状态,则断开设备与网络的连接。

有关详细信息,请参阅使用安全建议增强安全状况

提示

还可通过以下方式查看未授权的设备:按“授权”字段筛选设备清单,仅显示标记为“未授权”的设备。

查找易受攻击的系统

如果网络上的设备有过期的软件或固件,那么该设备可能容易受到攻击。 生命周期已终止且不再有安全更新程序的设备尤其容易受到攻击。

搜索易受攻击的系统:

  1. 在 Azure 门户上的 Defender for IoT 中,选择“工作簿”>“漏洞”,打开“漏洞”工作簿。

  2. 在页面顶部的“订阅”选择器中,选择加入 OT 传感器的 Azure 订阅。

    工作簿中填充了来自整个网络的数据。

  3. 向下滚动,查看“易受攻击的设备”和“易受攻击的组件”列表。 需要注意网络中的这些设备和组件(例如固件或软件更新),如果不再提供更新,则需要更换。

  4. 在页面顶部的“SiteName”中,选择一个或多个站点,以按站点筛选数据。 按站点筛选数据有助于识别特定站点的问题(可能需要在站点范围内进行更新或设备更换)。

模拟恶意流量以测试网络

若要验证特定设备的安全状况,请运行“攻击途径”报告来模拟该设备的流量。 使用模拟流量来查找并缓解漏洞,以免该漏洞遭利用。

运行攻击途径报告:

  1. 登录用于检测要调查的设备的 OT 网络传感器,并选择左侧的“攻击途径”。

  2. 选择“+ 添加模拟”,然后在“添加攻击途径模拟”窗格中输入以下详细信息:

    字段/选项 说明
    名称 为模拟输入有意义的名称,例如零信任和日期。
    最大途径数 选择“20”可包括设备之间支持的最大连接数。
    在设备映射中显示 可选。 选择在传感器的设备映射中显示模拟,以便以后进行进一步调查。
    显示所有源设备 / 显示所有目标设备 选择这两个选项可将模拟中传感器检测到的所有设备显示为可能的源设备和目标设备。

    将“排除设备”和“排除子网”留空,以包括模拟中检测到的所有流量。

  3. 选择“保存”并等待模拟完成运行。 所需时间取决于传感器检测到的流量数量。

  4. 展开新模拟并选择任何检测到的项,在右侧查看更多详细信息。 例如:

    Screenshot of a sample attack vector simulation.

  5. 请特别注意查找以下任何漏洞:

    漏洞 描述
    向 Internet 公开的设备 例如,这些漏洞可能会带有消息“由于 Internet 连接而暴露于外部威胁”。
    具有打开的端口的设备 打开的端口可以合法地用于远程访问,但也可能存在风险。

    例如,这些漏洞可能会显示一条类似于“允许使用 TeamViewer 进行远程访问 允许使用远程桌面进行远程访问”的消息
    跨子网的设备之间的连接 例如,可能会出现消息“设备之间直接连接”,这本身可能是可以接受的,但在跨子网的情况下存在风险。

监视每个站点或区域的检测数据

在 Azure 门户中,从以下位置按站点和区域查看 Defender for IoT 数据:

要监视的示例警报

监视零信任时,以下列表是要监视的重要 Defender for IoT 警报的示例:

  • 连接到网络的未授权的设备,尤其是任何恶意 IP/域名请求
  • 检测到的已知恶意软件
  • 与 Internet 的未授权连接
  • 未经授权的远程访问
  • 检测到的网络扫描操作
  • 未经授权的 PLC 编程
  • 对固件版本的更改
  • “PLC 停止”和其他潜在恶意命令
  • 怀疑设备断开了连接
  • 以太网/IP CIP 服务请求失败
  • BACnet 操作失败
  • 非法 DNP3 操作
  • 未经授权的 SMB 登录

后续步骤

可能需要根据监视结果,或者随着组织中人员和系统随时间的变化,对网络分段进行更改。

修改站点和区域的结构,并重新分配基于站点的访问策略,以确保它们始终符合当前网络的实际情况。

除了使用内置的 Defender for IoT 漏洞工作簿外,还可以创建更多自定义工作簿来优化持续监视。

有关详细信息,请参阅: