Нулевое доверие и сети OT
Zero Trust — это стратегия безопасности для разработки и реализации следующих принципов безопасности:
| Прямая проверка | Использование наименьших привилегий для доступа | Предполагайте наличие бреши в системе безопасности |
|---|---|---|
| Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. | Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. | Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. |
Реализуйте принципы нулевого доверия в сетях операционных технологий (OT), чтобы помочь вам с проблемами, такими как:
Управление удаленными подключениями к системам OT, защита записей переключения сети и предотвращение бокового перемещения по сети
Проверка и уменьшение взаимодействия между зависимыми системами, упрощение процессов идентификации, например для подрядчиков, вход в сеть
Поиск отдельных точек сбоя в сети, определение проблем в определенных сегментах сети и снижение задержек и узких мест пропускной способности
Уникальные риски и проблемы для сетей OT
Архитектура сети OT часто отличается от традиционной ИТ-инфраструктуры. Системы OT используют уникальную технологию с собственными протоколами и могут иметь устаревшие платформы и ограниченные возможности подключения и мощности. Сети OT также могут иметь определенные требования к безопасности и уникальные последствия физических или локальных атак, например через внешних подрядчиков, вошедующих в вашу сеть.
Так как системы OT часто поддерживают критически важные сетевые инфраструктуры, они часто предназначены для определения приоритета физической безопасности или доступности по сравнению с безопасным доступом и мониторингом. Например, сети OT могут работать отдельно от другого корпоративного сетевого трафика, чтобы избежать простоя для регулярного обслуживания или устранения конкретных проблем безопасности.
По мере переноса дополнительных сетей OT в облачные среды применение принципов нулевого доверия может привести к конкретным проблемам. Например:
- Системы OT могут не быть разработаны для нескольких пользователей и политик доступа на основе ролей и могут иметь только простые процессы проверки подлинности.
- Системы OT могут не иметь возможности обработки, доступные для полного применения политик безопасного доступа, и вместо этого доверять всем трафику, полученному как безопасный.
- Технология старения вызывает трудности в сохранении знаний организации, применении обновлений и использовании стандартных средств аналитики безопасности для получения видимости и обнаружения угроз.
Однако компрометация безопасности в критически важных системах может привести к реальным последствиям, выходящим за рамки традиционных ИТ-инцидентов, и несоответствие может повлиять на способность вашей организации соответствовать государственным и отраслевым нормативным требованиям.
Применение принципов нулевого доверия к сетям OT
Продолжайте применять те же принципы нулевого доверия в сетях OT, что и в традиционных ИТ-сетях, но при необходимости в некоторых материально-технических изменениях. Например:
Убедитесь, что все подключения между сетями и устройствами определены и управляются, предотвращая неизвестные взаимозависимости между системами и содержащие непредвиденные простои во время процедур обслуживания.
Так как некоторые системы OT могут не поддерживать все необходимые методики безопасности, рекомендуется ограничить подключения между сетями и устройствами до ограниченного количества узлов переходов. Затем узлы переходов можно использовать для запуска удаленных сеансов с другими устройствами.
Убедитесь, что узлы переходов имеют более строгие меры безопасности и методики проверки подлинности, такие как многофакторная проверка подлинности и системы управления привилегированным доступом.
Сегментируйте сеть, чтобы ограничить доступ к данным, гарантируя, что все обмен данными между устройствами и сегментами шифруются и защищаются, а также предотвращают боковое перемещение между системами. Например, убедитесь, что все устройства, обращаюющиеся к сети, предварительно авторизованы и защищены в соответствии с политиками вашей организации.
Возможно, вам потребуется доверять обмен данными по всей промышленной системе контроля и безопасности (ICS и SIS). Однако часто можно сегментировать сеть в небольших областях, что упрощает мониторинг безопасности и обслуживания.
Оцените сигналы, такие как расположение устройства, работоспособности и поведение, используя данные о работоспособности для шлюза доступа или флага для исправления. Требовать, чтобы устройства были актуальными для доступа, а также использовать аналитику для получения видимости и масштабирования защиты с помощью автоматизированных ответов.
Продолжайте отслеживать метрики безопасности, такие как авторизованные устройства и базовые показатели сетевого трафика, чтобы убедиться, что периметр безопасности сохраняет целостность и изменения в организации со временем. Например, может потребоваться изменить сегменты и политики доступа в качестве пользователей, устройств и систем.
Ноль доверия с Defender для Интернета вещей
Разверните сетевые датчики Microsoft Defender для Интернета вещей для обнаружения устройств и мониторинга трафика в сетях OT. Defender для Интернета вещей оценивает ваши устройства на наличие уязвимостей и предоставляет шаги по устранению рисков и непрерывно отслеживает устройства для аномального или несанкционированного поведения.
При развертывании сетевых датчиков OT используйте сайты и зоны для сегментирования сети.
- Сайты отражают множество устройств, сгруппированных по определенному географическому расположению, таким как офис по конкретному адресу.
- Зоны отражают логический сегмент на сайте для определения функциональной области, например конкретной производственной линии.
Назначьте каждому датчику OT определенному сайту и зоне, чтобы каждый датчик OT охватывал определенную область сети. Сегментирование датчика между сайтами и зонами помогает отслеживать трафик между сегментами и применять политики безопасности для каждой зоны.
Обязательно назначьте политики доступа на основе сайта, чтобы предоставить доступ к данным и действиям Defender для Интернета вещей с минимальными привилегиями.
Например, если у вашей растущей компании есть фабрики и офисы в Париже, Лагосе, Дубае и Тяньджине, вы можете сегментирование сети следующим образом:
| Site | Зоны |
|---|---|
| Парижский офис | - Нижний этаж (гости) - Этаж 1 (продажи) - Этаж 2 (исполнительный) |
| Офис Lagos | - Нижний этаж (офисы) - Этажи 1-2 (фабрика) |
| Офис Дубая | - Первый этаж (конференц-центр) - Этаж 1 (продажи) - Этаж 2 (офисы) |
| Офис Tianjin | - Нижний этаж (офисы) - Этажи 1-2 (фабрика) |
Следующие шаги
Создайте сайты и зоны при подключении датчиков OT в портал Azure и назначьте политики доступа на основе сайтов пользователям Azure.
Если вы работаете в локальной среде с локальным консоль управления, создайте сайт и зоны OT непосредственно в локальной консоль управления.
Используйте встроенные книги Defender для Интернета вещей и создавайте собственные книги для мониторинга периметра безопасности с течением времени.
Дополнительные сведения см. в разделе:
- Создание сайтов и зон при подключении датчика OT
- Управление доступом на основе сайта
- Мониторинг сети OT с помощью принципов нулевого доверия
Дополнительные сведения см. в разделе: