跳過主内容

Microsoft Defender for IoT 可為企業網路中未受管理的裝置提供安全性

本文作者: 雲端與 AI 安全性部門企業副總裁暨技術長 Michal Braverman-Blumenstyk、物聯網安全性部門首席事業群經理 Nir Giller

貴公司使用了多少物聯網裝置?如果貴公司的情況與多數組織類似,那或許辦公室內處處可見印表機、掃描器和傳真機;接待處或休息室也設有智慧型電視,以利為訪客進行導覽,並讓員工掌握公司的最新活動和資訊;或採用高度連結的會議系統,以利召集團隊進行協同作業。對部分組織而言,物聯網也涵蓋工業系統和重要基礎架構中採用的營運技術 (OT) 裝置。您和您的員工可能會將這些裝置視為提升作業效率的相關工具。不幸的是,網路罪犯也抱持同樣的想法。

物聯網裝置的數量雖已大幅領先筆記型電腦和行動電話等受管理的端點,卻未採用相同的防護機制來確保自身的安全性。對不法人士而言,這些未受管理的裝置可做為進入點、進行橫向移動,或是聲東擊西。下圖顯示了涉及兩部物聯網裝置的典型攻擊生命週期:其中一部會做為進入點,另一部則用來橫向移動。不法人士經常運用這類型的技巧,將敏感資訊外流。

Microsoft Defender for IoT 可為企業物聯網裝置提供保護

在 2021 年 Microsoft Ignite 大會上,我們為Microsoft Defender for IoT 推出了企業物聯網安全性功能的預覽版。有了這幾款新功能,Microsoft Defender for IoT 就能新增無代理程式監控作業,以保護連接 IT 網路的企業物聯網裝置,包括 Voice over Internet Protocol (VoIP)、印表機和智慧型電視。Microsoft Defender for Endpoint 客戶,也可透過與 Microsoft 365 Defender 之間的專屬整合,讓自身的延伸偵測與回應 (XDR) 涵蓋範圍擴大涵蓋物聯網裝置。今天,很高興在此宣布,Microsoft Defender for IoT 已正式推出這些功能。

現在,在新功能的助陣下,Microsoft Defender for IoT 可提供全方位的安全性,一舉涵蓋所有端點類型、應用程式、身分識別和作業系統。這些新功能可讓組織藉由完善的威脅掌控能力與洞察力,因應專門鎖定 IoT 與 OT 裝置發動以遂行其目標的多階段複雜攻擊活動。客戶現在將能夠針對所屬的企業物聯網裝置,取得相同類型的漏洞管理、威脅偵測、回應與其他功能,而這些功能在以往僅供受管理的端點與作業技術裝置使用。

此外,為了協助更多客戶取得企業物聯網安全性,我們也推出適用於 Microsoft 365 Defender 客戶的專屬原生整合。新的整合可協助客戶在短短數分鐘內,完成 Microsoft 365 Defender 環境內的物聯網裝置探索,並保障其安全。

識別未受管理的裝置

即使不知道裝置存在與否,也能為其提供保障。仔細清查所有物聯網裝置,是一項昂貴、耗時且極具挑戰性的工作。畢竟,員工可能在未知會 IT 或作業部門的情況下,將物聯網裝置連至網路。

 Microsoft Defender for Endpoint 之現有用戶端,通常會被動部署於整個組織的基礎架構上,只要運用這些現有用戶端,就能無需進行額外的部署或是組態設定下,為客戶提供立即的裝置探索功能。為了讓您對所有的物聯網與作業技術裝置 (特別是不具備Microsoft Defender for Endpoint 感應器的網路區段) 擁有完整的檢視,Microsoft Defender for IoT 特別加入了可部署的網路感應器,方便您用來收集所需的所有網路資料,以利裝置探索、行為分析與機器學習之用。

了解裝置弱點

掌握存在於自身網路中的所有裝置,是保護旗下物聯網的關鍵步驟,不過,此舉僅是開端而已。若要了解這些裝置對您網路和組織帶來的潛在威脅,勢必得密切掌握裝置清查結果是否含有不安全的設定和弱點。

這類型的裝置通常並未套用修補程式、設定有誤且未受監控,因此容易淪為攻擊者的首要目標。Microsoft Defender for IoT 可評估您的所有企業物聯網裝置,進而在 Microsoft 365 主控台內提供相關建議,以做為網路型警示持續調查流程的一部分。

環境無時不刻都在新增新的物聯網裝置。正因如此,Microsoft Defender for IoT 中的識別和風險評估程序會持續執行,以隨時保有最大程度的能見度和態勢。

協助物聯網裝置防範威脅

威脅偵測向來是物聯網領域中最棘手的作業之一。Microsoft Defender for IoT 客戶,可受惠於每日從全球 Microsoft 生態系統收集而來的數兆個訊號所得出的機器學習與威脅情報 (像是電子郵件、端點、雲端、Microsoft Azure Active Directory 與 Microsoft 365),以及物聯網與作業技術的專屬情報。我們可套用機器學習和威脅情報,為客戶提供具優先順序的資安事件,而非不斷提供毫無關聯性的警示清單,藉此協助他們降低警示訊號雜訊比。

近期,Microsoft Defender for IoT 也憑藉此一做法,在 MITRE ATT&CK for ICS 評估中名列威脅能見度涵蓋範圍榜首,並在重大攻擊活動類別中具有 100% 的惡意活動偵測成功率,並在所有惡意的後續攻擊活動類別中獲得 96% 的偵測成功率 (在所有同業中,偵測遺漏率最少)。

Microsoft Defender for IoT:透過完整的涵蓋範圍,一舉跨越所有物聯網/作業技術

可以確定的是,在數位轉型需求和保持競爭優勢的壓力下,組織將持續採用更多物聯網技術,而這也包括在辦公室內裝設智慧型電視,以及在工廠內運用工業化控制器等措施。在不久的將來,資訊安全長勢必得面臨攻擊範圍比受管理裝置架構大上許多倍的難題。隨著Microsoft Defender for IoT 最新版問世,我們將涵蓋範圍大舉擴及企業物聯網裝置,以協助客戶全方位保護自身的物聯網技術領域。此外,我們也首度協助Microsoft Defender for Endpoint 客戶在短短數分鐘內掌握其物聯網裝置的能見度,而且無需購買或部署任何額外的技術或產品。

Microsoft Defender for IoT是全方位 Microsoft SIEM 與 XDR 解決方案的主要元件之一。我們可透過與 Microsoft Defender 和 Microsoft Sentinel 的整合,為客戶提供所需的自動化與視覺化工具,繼而協助其因應跨越資訊技術與作業技術網路疆界的攻擊活動。這些整合也能協助分析師全面回應資安事件,而非將其視為彼此不相關的攻擊個案,以至於需要仰賴大量的人為調查,才能將所有蛛絲馬跡串連起來。在效率上有所提升後,組織就能及時阻擋攻擊活動,讓所屬環境得以在最短時間內回到未遭入侵前的安全狀態。

很高興在保護客戶物聯網和作業技術的旅程上,順利達成此一重大里程碑,在此敬邀各位親自探索Microsoft Defender for IoT 如何助您的組織一臂之力。

如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。