Nolltillit och dina OT-nätverk
Nolltillit är en säkerhetsstrategi för att utforma och implementera följande uppsättningar av säkerhetsprinciper:
| Verifiera explicit | Använd åtkomst med minst behörighet | Anta intrång |
|---|---|---|
| Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. | Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd. | Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet. |
Implementera Nolltillit principer i dina ot-nätverk (operational technology) för att hjälpa dig med utmaningar, till exempel:
Styra fjärranslutningar till dina OT-system, skydda dina nätverkshoppposter och förhindra lateral förflyttning i nätverket
Granska och minska sammankopplingar mellan beroende system, förenkla identitetsprocesser, till exempel för entreprenörer som loggar in i nätverket
Hitta enskilda felpunkter i nätverket, identifiera problem i specifika nätverkssegment och minska fördröjningar och bandbreddsflaskhalsar
Unika risker och utmaningar för OT-nätverk
OT-nätverksarkitekturer skiljer sig ofta från traditionell IT-infrastruktur. OT-system använder unik teknik med patentskyddade protokoll och kan ha åldrande plattformar och begränsad anslutning och ström. OT-nätverk kan också ha specifika säkerhetskrav och unika exponeringar för fysiska eller lokala attacker, till exempel via externa leverantörer som loggar in i nätverket.
Eftersom OT-system ofta stöder kritiska nätverksinfrastrukturer är de ofta utformade för att prioritera fysisk säkerhet eller tillgänglighet framför säker åtkomst och övervakning. Dina OT-nätverk kan till exempel fungera separat från annan företagsnätverkstrafik för att undvika stilleståndstid för regelbundet underhåll eller för att åtgärda specifika säkerhetsproblem.
När fler OT-nätverk migreras till molnbaserade miljöer kan det innebära specifika utmaningar att tillämpa Nolltillit principer. Till exempel:
- OT-system kanske inte är utformade för flera användare och rollbaserade åtkomstprinciper och kanske bara har enkla autentiseringsprocesser.
- OT-system kanske inte har den processorkraft som är tillgänglig för att helt tillämpa principer för säker åtkomst och i stället lita på all trafik som tas emot som säker.
- Åldrande teknik innebär utmaningar när det gäller att behålla organisationens kunskaper, tillämpa uppdateringar och använda standardverktyg för säkerhetsanalys för att få synlighet och driva hotidentifiering.
Men en säkerhetskompromiss i dina verksamhetskritiska system kan leda till verkliga konsekvenser utöver traditionella IT-incidenter, och bristande efterlevnad kan påverka organisationens förmåga att följa myndighets- och branschregler.
Tillämpa Nolltillit principer på OT-nätverk
Fortsätt att tillämpa samma Nolltillit principer i dina OT-nätverk som i traditionella IT-nätverk, men med vissa logistiska ändringar efter behov. Till exempel:
Kontrollera att alla anslutningar mellan nätverk och enheter identifieras och hanteras, vilket förhindrar okända beroenden mellan system och innehåller oväntade driftstopp under underhållsförfaranden.
Eftersom vissa OT-system kanske inte stöder alla säkerhetsrutiner du behöver rekommenderar vi att du begränsar anslutningar mellan nätverk och enheter till ett begränsat antal jump-värdar. Jump-värdar kan sedan användas för att starta fjärrsessioner med andra enheter.
Se till att dina jump-värdar har starkare säkerhetsåtgärder och autentiseringsmetoder, till exempel multifaktorautentisering och privilegierade åtkomsthanteringssystem.
Segmentera nätverket för att begränsa dataåtkomsten, se till att all kommunikation mellan enheter och segment krypteras och skyddas och förhindrar lateral förflyttning mellan system. Kontrollera till exempel att alla enheter som har åtkomst till nätverket är förauktoriserade och skyddade enligt organisationens principer.
Du kan behöva lita på kommunikationen i hela ditt system för industriell kontroll och säkerhetsinformation (ICS och SIS). Du kan dock ofta segmentera nätverket ytterligare i mindre områden, vilket gör det enklare att övervaka säkerhet och underhåll.
Utvärdera signaler som enhetens plats, hälsa och beteende, med hjälp av hälsodata för att gateåtkomst eller flagga för reparation. Kräv att enheterna måste vara uppdaterade för åtkomst och använda analys för att få synlighet och skalningsskydd med automatiserade svar.
Fortsätt att övervaka säkerhetsmått, till exempel auktoriserade enheter och din baslinje för nätverkstrafik, för att säkerställa att säkerhetsperimetern behåller sin integritet och att ändringar i organisationen sker över tid. Du kan till exempel behöva ändra segment och åtkomstprinciper när personer, enheter och system ändras.
Nolltillit med Defender för IoT
Distribuera Microsoft Defender för IoT-nätverkssensorer för att identifiera enheter och övervaka trafik i dina OT-nätverk. Defender for IoT utvärderar dina enheter efter sårbarheter och tillhandahåller riskbaserade åtgärdssteg och övervakar kontinuerligt dina enheter för avvikande eller obehörigt beteende.
När du distribuerar OT-nätverkssensorer använder du platser och zoner för att segmentera nätverket.
- Webbplatser återspeglar många enheter grupperade efter en specifik geografisk plats, till exempel kontoret på en specifik adress.
- Zoner återspeglar ett logiskt segment inom en plats för att definiera ett funktionellt område, till exempel en specifik produktionslinje.
Tilldela varje OT-sensor till en specifik plats och zon för att säkerställa att varje OT-sensor täcker ett visst område i nätverket. Genom att segmentera sensorn mellan platser och zoner kan du övervaka all trafik som passerar mellan segment och tillämpa säkerhetsprinciper för varje zon.
Se till att tilldela platsbaserade åtkomstprinciper så att du kan ge minst privilegierad åtkomst till Defender för IoT-data och aktiviteter.
Om ditt växande företag till exempel har fabriker och kontor i Paris, Lagos, Dubai och Tianjin kan du segmentera nätverket på följande sätt:
| Site | Zoner |
|---|---|
| Paris kontor | - Bottenvåningen (gäster) - Våning 1 (försäljning) - Våning 2 (chef) |
| Lagos kontor | - Bottenvåningen (kontor) - Golv 1-2 (Fabrik) |
| Kontor i Dubai | - Bottenvåningen (Kongresscenter) - Våning 1 (försäljning) - Våning 2 (kontor) |
| Tianjin kontor | - Bottenvåningen (kontor) - Golv 1-2 (Fabrik) |
Nästa steg
Skapa webbplatser och zoner när du registrerar OT-sensorer i Azure-portalen och tilldela platsbaserade åtkomstprinciper till dina Azure-användare.
Om du arbetar i en luftgapad miljö med en lokal hanteringskonsol skapar du OT-plats och zoner direkt i den lokala hanteringskonsolen.
Använd inbyggda Defender for IoT-arbetsböcker och skapa egna anpassade arbetsböcker för att övervaka din säkerhetsperimeter över tid.
Mer information finns i:
- Skapa webbplatser och zoner när du registrerar en OT-sensor
- Hantera platsbaserad åtkomstkontroll
- Övervaka ditt OT-nätverk med Nolltillit principer
Mer information finns i: