Proteja IoT con Microsoft Defender para sensores IoT
Imagen: putilov_denis/Adobe Stock
Asegurar el Internet de las Cosas es cada vez más importante. El hardware de IoT está en el corazón de muchas tecnologías operativas modernas, sistemas habilitados para negocios y sistemas que combinan hardware de IoT moderno con dispositivos tradicionales de control y recopilación de datos. Sin embargo, no podemos protegerlo de la misma manera que podemos proteger las PC y los servidores, porque gran parte del hardware de IoT tiene un solo propósito, está diseñado para ejecutarse desde el firmware, sin la capacidad de instalar software adicional.
Este enfoque es tanto una bendición como una maldición. El hardware de propósito único es relativamente difícil de comprometer, pero también es difícil de monitorear. Además, no es posible instalar un agente en él porque los microcontroladores simples tienen memoria limitada y menos subprocesos.
En algunos casos, las empresas pueden usar hardware central seguro, como los sistemas Microsoft Azure Sphere con procesadores Pluton incorporados. Pero en su mayor parte, utilizan equipos construidos alrededor de centros de operaciones de seguridad de microcontroladores listos para usar de proveedores como NXP y Broadcom.
mirar: Kit de contratación: Desarrollador IoT (Edición Premium de Tecnopedia)
Como resultado, las empresas a menudo confían en hardware que no se puede administrar ni monitorear, la base de la falta de confiabilidad de la tecnología operativa. Esto ha resultado en un compromiso de hardware que conduce al cierre de sistemas críticos, incluidos los maliciosos dispositivos que apuntan a dispositivos con actualizaciones de firmware maliciosas.
Los riesgos asociados con el hardware OT son sustanciales, y los ataques no solo pueden comprometer el equipo, sino que también pueden dañar el equipo físico, al igual que los resultados del ataque de Stuxnet a ciertos tipos de equipos SCADA.
Presentación de Defender para sensores IoT
Entonces, ¿cómo protegemos nuestros dispositivos, redes y negocios, especialmente cuando ya hemos implementado una gran cantidad de hardware? Una opción es Defender para IoT de Microsoft, que agrega sensores de red y herramientas de análisis de firmware para ayudar a detectar hardware dañado y riesgoso, y utiliza el aprendizaje automático con Microsoft Sentinel para identificar amenazas de manera temprana.
Debido a que el hardware de IoT y OT es a menudo un sistema patentado dedicado que ejecuta firmware personalizado, las técnicas basadas en agentes no funcionan. En cambio, en el corazón de Defender para IoT se encuentran los dispositivos sensores de red que se pueden usar para obtener un inventario de dispositivos en la red y, lo que es más importante, sus patrones de tráfico. Esto permite a los equipos de TI comprender el estado actual de la red IoT, mapear su topología y ayudar a determinar cómo conectar y segmentar mejor los dispositivos.
Cobertura de IoT de lectura obligada
Mientras tanto, se pueden usar otras herramientas para identificar versiones de firmware, lo que permite a los equipos de seguridad ver dispositivos potencialmente riesgosos o mal configurados. Las redes OT suelen ser diversas y combinan hardware IoT con tecnologías como sistemas de control de procesos y control industrial y SCADA. Este enfoque puede ser una forma útil de identificar ganancias rápidas, especialmente en un entorno de OT que ha crecido orgánicamente a lo largo de los años.
Saber qué se puede actualizar o qué se debe cambiar ayuda a priorizar los dispositivos en función de sus puntuaciones de riesgo y a crear un modelo de amenazas que identifique posibles métodos de ataque. Además, puede identificar dispositivos que pueden haber sido implementados y olvidados o desconectados de la plataforma de gestión.
sensor de uso
Una vez que está en funcionamiento, la plataforma de sensores no solo busca paquetes de red TCP/IP, sino que sus herramientas de inspección profunda de paquetes pueden identificar los principales protocolos de comunicación industrial, incluidos los que utilizan los servicios propietarios. Los sensores toman una copia del tráfico de la red y la analizan, evitando afectar cualquier hardware que pueda ser vulnerable al sondeo activo y asegurando que los sistemas OT continúen funcionando.
El uso de hardware IoT requiere un enfoque diferente al de la ciberseguridad tradicional, ya que el sistema necesita identificar anomalías en lugar de rastrear peligros conocidos.
Implementar Defender para IoT es fácil. Dado que el sensor es un dispositivo de capa 7, es transparente para el resto de la red y puede conectarse a conmutadores de red en la red OT. Luego, los resultados se entregan al servicio Defender for IoT, localmente a una consola de administración o SOC alojado en la nube, y herramientas de administración de eventos e información de seguridad.
El sensor en sí puede ser un dispositivo virtual, que solo requiere acceso a una tarjeta de red dedicada en el servidor host, que se ejecuta en Hyper-V de Microsoft o ESXi de VMware. Alternativamente, las empresas pueden comprar servidores preconfigurados de varios proveedores, listos para ser activados e instalados en su red. Si las organizaciones eligen configurar sus propios sensores físicos o virtuales, Microsoft proporciona una lista de requisitos que cubren diferentes tamaños de redes OT, con opciones para monitorear toda la red, sitios específicos y líneas de producción individuales.
Una vez instalados, los sensores pueden monitorear continuamente el tráfico en la red OT, observando actividades sospechosas y almacenando capturas de paquetes. Esto permite que los equipos de seguridad usen la consola para buscar actividad sospechosa y revisar el historial de tráfico de la red para determinar si un dispositivo fue comprometido, cuándo y cómo. Una herramienta como esta tiene una ventaja adicional: puede ayudar a identificar hardware mal configurado que puede afectar el rendimiento de la red y la producción.
Integre con Sentinel para la automatización de la seguridad
La opción de Microsoft Sentinel para Defender para IoT permite a las empresas incluir hardware de IoT como parte de su centro de operaciones de seguridad, lo que permite a los equipos de seguridad utilizar herramientas y paneles familiares para proteger los sistemas operativos y las plataformas de TI. Los analistas de seguridad podrán identificar amenazas que abarcan toda la infraestructura de una empresa, lo que ayudará a evitar el movimiento lateral del hardware IoT comprometido al resto de la red.
La integración de las dos plataformas es muy sencilla. Sentinel ahora incluye una versión preliminar pública del paquete de soluciones Defender para IoT. Esto se puede implementar con unos pocos clics, transmitiendo datos desde las herramientas de IoT a Sentinel. El paquete incluye conjuntos de reglas predefinidas para ayudar a identificar incidentes y libros de jugadas que automatizan muchas estrategias de respuesta a incidentes. Todo esto está contenido en un tablero que ayuda a visualizar los sistemas de IoT en el contexto de todo el entorno de TI y OT.
mirar: Las mejores soluciones de seguridad de IIoT (República tecnológica)
Una gran ventaja de esta integración es una vista de panel único de todos los eventos de seguridad. Esto se puede filtrar para identificar problemas específicos de IoT, que luego se pueden usar para resaltar el impacto comercial del incidente.
Microsoft planea agregar herramientas de mapeo a esto, para que los equipos de seguridad puedan vincular el hardware de IoT a ubicaciones específicas, lo que podría ayudar a clasificar incidentes identificando ubicaciones importantes; Los problemas en los sistemas HVAC son mucho más graves. Esto les permite implementar ingenieros de manera eficiente, especialmente cuando el hardware de IoT se puede implementar globalmente.
Una vez que el servicio compuesto se está ejecutando, los usuarios pueden hacer clic en las herramientas de Defender para IoT desde el panel de Sentinel para un análisis más profundo de eventos específicos. Mientras tanto, los equipos de seguridad pueden usar las herramientas gráficas de investigación de Sentinel para explorar la causa de los incidentes, lo que ayuda a determinar qué está pasando en la red y qué técnicas están usando los malos para atacar los dispositivos.
Un concepto útil para la seguridad de IoT es la «joya de la corona». Estos son dispositivos que ejecutan servicios vitales, y cualquier ataque puede afectar no solo la infraestructura de TI, sino también las operaciones críticas. Este es otro concepto que ayuda a clasificar incidentes, eleva la respuesta cuando es necesario y ayuda a garantizar que las operaciones continúen, incluso cuando la red está bajo ataque.
Los libros de jugadas de Sentinel son una herramienta importante porque permiten que los equipos de seguridad escriban y respondan automáticamente a los incidentes, alerten a los propietarios de los dispositivos y les permitan iniciar investigaciones junto con los métodos de seguridad más tradicionales. Esto permite que el personal de seguridad de TI identifique rápidamente los falsos positivos y ayuda a entrenar las herramientas de aprendizaje automático de Sentinel.
Reduzca los riesgos de seguridad de IoT con Microsoft Defender
Dichas herramientas serán cada vez más importantes a medida que más empresas comiencen a integrar las plataformas OT existentes con el resto de sus activos de TI. Es fácil descartar tales dispositivos como «simples» sin considerar el impacto que una brecha de seguridad podría tener en el negocio, no solo como una cuestión de pérdida de datos, sino también por la interrupción de las instalaciones de producción y el daño a las fábricas físicas.
El uso de Defender para IoT con Sentinel puede ayudar a reducir significativamente el riesgo, proporcionar información faltante e identificar problemas antes de que se conviertan en compromisos.
Descubra más sobre IoT con estas capacidades más recientes: cómo IoT está automatizando las operaciones de almacén y cinco formas en que IoT industrial es diferente de IoT.
