Поделиться через


Нулевое доверие и сети OT

Zero Trust — это стратегия безопасности для разработки и реализации следующих принципов безопасности:

Прямая проверка Использование наименьших привилегий для доступа Предполагайте наличие бреши в системе безопасности
Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.

Реализуйте принципы нулевого доверия в сетях операционных технологий (OT), чтобы помочь вам с проблемами, такими как:

  • Управление удаленными подключениями к системам OT, защита записей переключения сети и предотвращение бокового перемещения по сети

  • Проверка и уменьшение взаимодействия между зависимыми системами, упрощение процессов идентификации, например для подрядчиков, вход в сеть

  • Поиск отдельных точек сбоя в сети, определение проблем в определенных сегментах сети и снижение задержек и узких мест пропускной способности

Уникальные риски и проблемы для сетей OT

Архитектура сети OT часто отличается от традиционной ИТ-инфраструктуры. Системы OT используют уникальную технологию с собственными протоколами и могут иметь устаревшие платформы и ограниченные возможности подключения и мощности. Сети OT также могут иметь определенные требования к безопасности и уникальные последствия физических или локальных атак, например через внешних подрядчиков, вошедующих в вашу сеть.

Так как системы OT часто поддерживают критически важные сетевые инфраструктуры, они часто предназначены для определения приоритета физической безопасности или доступности по сравнению с безопасным доступом и мониторингом. Например, сети OT могут работать отдельно от другого корпоративного сетевого трафика, чтобы избежать простоя для регулярного обслуживания или устранения конкретных проблем безопасности.

По мере переноса дополнительных сетей OT в облачные среды применение принципов нулевого доверия может привести к конкретным проблемам. Например:

  • Системы OT могут не быть разработаны для нескольких пользователей и политик доступа на основе ролей и могут иметь только простые процессы проверки подлинности.
  • Системы OT могут не иметь возможности обработки, доступные для полного применения политик безопасного доступа, и вместо этого доверять всем трафику, полученному как безопасный.
  • Технология старения вызывает трудности в сохранении знаний организации, применении обновлений и использовании стандартных средств аналитики безопасности для получения видимости и обнаружения угроз.

Однако компрометация безопасности в критически важных системах может привести к реальным последствиям, выходящим за рамки традиционных ИТ-инцидентов, и несоответствие может повлиять на способность вашей организации соответствовать государственным и отраслевым нормативным требованиям.

Применение принципов нулевого доверия к сетям OT

Продолжайте применять те же принципы нулевого доверия в сетях OT, что и в традиционных ИТ-сетях, но при необходимости в некоторых материально-технических изменениях. Например:

  • Убедитесь, что все подключения между сетями и устройствами определены и управляются, предотвращая неизвестные взаимозависимости между системами и содержащие непредвиденные простои во время процедур обслуживания.

    Так как некоторые системы OT могут не поддерживать все необходимые методики безопасности, рекомендуется ограничить подключения между сетями и устройствами до ограниченного количества узлов переходов. Затем узлы переходов можно использовать для запуска удаленных сеансов с другими устройствами.

    Убедитесь, что узлы переходов имеют более строгие меры безопасности и методики проверки подлинности, такие как многофакторная проверка подлинности и системы управления привилегированным доступом.

  • Сегментируйте сеть, чтобы ограничить доступ к данным, гарантируя, что все обмен данными между устройствами и сегментами шифруются и защищаются, а также предотвращают боковое перемещение между системами. Например, убедитесь, что все устройства, обращаюющиеся к сети, предварительно авторизованы и защищены в соответствии с политиками вашей организации.

    Возможно, вам потребуется доверять обмен данными по всей промышленной системе контроля и безопасности (ICS и SIS). Однако часто можно сегментировать сеть в небольших областях, что упрощает мониторинг безопасности и обслуживания.

  • Оцените сигналы, такие как расположение устройства, работоспособности и поведение, используя данные о работоспособности для шлюза доступа или флага для исправления. Требовать, чтобы устройства были актуальными для доступа, а также использовать аналитику для получения видимости и масштабирования защиты с помощью автоматизированных ответов.

  • Продолжайте отслеживать метрики безопасности, такие как авторизованные устройства и базовые показатели сетевого трафика, чтобы убедиться, что периметр безопасности сохраняет целостность и изменения в организации со временем. Например, может потребоваться изменить сегменты и политики доступа в качестве пользователей, устройств и систем.

Ноль доверия с Defender для Интернета вещей

Разверните сетевые датчики Microsoft Defender для Интернета вещей для обнаружения устройств и мониторинга трафика в сетях OT. Defender для Интернета вещей оценивает ваши устройства на наличие уязвимостей и предоставляет шаги по устранению рисков и непрерывно отслеживает устройства для аномального или несанкционированного поведения.

При развертывании сетевых датчиков OT используйте сайты и зоны для сегментирования сети.

  • Сайты отражают множество устройств, сгруппированных по определенному географическому расположению, таким как офис по конкретному адресу.
  • Зоны отражают логический сегмент на сайте для определения функциональной области, например конкретной производственной линии.

Назначьте каждому датчику OT определенному сайту и зоне, чтобы каждый датчик OT охватывал определенную область сети. Сегментирование датчика между сайтами и зонами помогает отслеживать трафик между сегментами и применять политики безопасности для каждой зоны.

Обязательно назначьте политики доступа на основе сайта, чтобы предоставить доступ к данным и действиям Defender для Интернета вещей с минимальными привилегиями.

Например, если у вашей растущей компании есть фабрики и офисы в Париже, Лагосе, Дубае и Тяньджине, вы можете сегментирование сети следующим образом:

Site Зоны
Парижский офис - Нижний этаж (гости)
- Этаж 1 (продажи)
- Этаж 2 (исполнительный)
Офис Lagos - Нижний этаж (офисы)
- Этажи 1-2 (фабрика)
Офис Дубая - Первый этаж (конференц-центр)
- Этаж 1 (продажи)
- Этаж 2 (офисы)
Офис Tianjin - Нижний этаж (офисы)
- Этажи 1-2 (фабрика)

Следующие шаги

Создайте сайты и зоны при подключении датчиков OT в портал Azure и назначьте политики доступа на основе сайтов пользователям Azure.

Если вы работаете в локальной среде с локальным консоль управления, создайте сайт и зоны OT непосредственно в локальной консоль управления.

Используйте встроенные книги Defender для Интернета вещей и создавайте собственные книги для мониторинга периметра безопасности с течением времени.

Дополнительные сведения см. в разделе:

Дополнительные сведения см. в разделе: