運用 Microsoft Defender IoT 保障您的 IoT 裝置安全
Nir Giller – IoT 安全部門首席事業群經理
網路安全威脅日新月異,時至今日我們不時能夠見到新一波的進階攻擊行動,這些行動有的專門鎖定企業環境所使用的物聯網 (IoT) 裝置,有的則是鎖定工業系統與關鍵基礎架構 (像是 ICS/SCADA) 所使用的營運技術 (OT) 裝置。對此現象我們可說是見怪不怪,這是因為 60% 的資安從業人員認為 IoT 與 OT 安全性是所屬組織裡最脆弱的環節之一,且只有 50% 不到的組織有部署專為保障其 IoT 與 OT 裝置安全而設計的解決方案。客戶體認到這類型的裝置通常未能套用修補程式、組態設定有誤且未受監控,以至於成為攻擊者下手的理想目標。
為了消弭這類風險,我們很高興宣布推出Microsoft Defender for IoT(先前稱為 Azure Defender for IoT)。這套產品加入了無代理程式的監控能力,可保障連結至 IT 網路的企業 IoT 裝置安全 (像是網際網路語音通訊協定 (VoIP)、印表機與智慧型電視),以便組織運用單一整合解決方案,保障內部所有 IoT 及 OT 基礎架構的安全。我們即將於 2021 年 11 月 30 日正式發布上述全新功能的公開預覽版。
資安威脅與客戶挑戰
以往組織都將針對 IoT 與 OT 裝置發動的攻擊視為假設性威脅,不過近幾年開始,組織開始發現事態嚴重了。我們不只在攝影機及 VoIP 裝置1、智慧型大樓自動化系統2、提供 IoT 服務的服務供應商上發現了攻擊行動的蹤跡,現在還出現勒索軟體的攻擊活動,像是先前迫使大型天然氣管線3與全球食物加工廠商關閉的事件,都是勒索軟體所導致的。上述攻擊行為全都凸顯出企業在保障 IoT 與 OT 裝置安全上所面臨的挑戰。
攻擊者用來入侵與利用大型企業 IoT 裝置的方法可說是五花八門。無論是用來當做進入點、進行網路橫向移動,或是單純用來聲東擊西,都只是其中的幾個範例。下列圖表描述了牽涉兩起 IoT 裝置的網路攻擊鏈。其中一例用來當做進入點,而另一例則是用來進行網路橫向移動,最終不可避免地造成機密資訊外洩的憾事。
即便大多數組織體認到 IoT 與 OT 安全性是最欠缺安全保障的組織內部環節,他們還是毫不遲疑地加速部署裝置,只為了滿足數位轉型與確保企業競爭力的需要。為此,資安長即將必須面對攻擊範圍比以往大上許多倍的難題,而這全新的攻擊範圍絕大部分都屬於未受管理的 IoT 與 OT 裝置。
在 IoT 與 OT 安全性上,組織所面臨的難題可說是接踵而來。其中的一些首要難題如下:
- 對所屬的 IoT 與 OT 資產清查缺乏完整的掌控能力。
- 對 IoT 與 OT 漏洞缺乏細膩的管理能力。
- 對 IoT 與 OT 特定攻擊活動缺乏成熟的偵測能力。
- 對於整合式 SIEM 及延伸偵測與回應解決方案所能帶來的自動化優勢缺乏洞察能力。
有鑑於這類威脅與難題,資安專家與風險主管特別將 IoT 及網路和實體系統,列為接下來三到五年間的首要關注對象4。
Microsoft Defender for IoT 是 Microsoft SIEM 與 XDR 方案的一部分
我們體認到在完善的威脅防護策略當中,IoT 只是其中的一項安全性環節。為此,我們特地針對 Microsoft Defender for IoT 加入了無代理程式的企業級 IoT 支援,使其成為我們廣泛的 SIEM 與 XDR 方案的一份子,進而為您所有的端點類型、應用程式、身分識別等服務項目提供完善的安全保障。客戶現在將能夠針對所屬的企業 IoT 裝置取得相同類型的漏洞管理、威脅偵測、回應與其他功能,而這些功能在以往僅供受管理的端點與 OT 裝置使用。此後,組織將可藉由完善的威脅掌控能力與洞察力,因應專門鎖定 IoT 與 OT 裝置發動以遂行其目標的多階段複雜攻擊活動。深入了解 Microsoft 365 Defender、Microsoft Defender for Cloud 以及 Microsoft Sentinel。
我們的客戶表示,他們在確保企業 IoT 裝置安全所面臨的最大挑戰是,對如何探索、識別與保障所有 IoT 資產清查的安全,無法取得足夠的掌控能力。為了克服這項挑戰, Microsoft Defender for IoT 採取獨家的應對方式,能夠協助您在幾分鐘內完成 Microsoft 365 Defender 環境內的 IoT 裝置探索並保障其安全。我們將透過下方無代理程式的被動架構區段,進一步說明我們的獨門應對方式。
客戶所面臨的第二大挑戰,則是與漏洞管理相關。 Microsoft Defender for IoT 可對您所有的企業 IoT 裝置執行評估。所有的建議事項都會列示在 Microsoft 365 主控台上 (例如,新版 Bash for Linux 的更新上)。
我們聽聞的第三大挑戰則是與威脅偵測有關。為確保我們對企業 IoT 威脅擁有絕對優勢,我們特地組成內部的 IoT 與 OT 安全研究小組 Section 52,由他們來確保我們擁有最佳的偵測能力。Section 52 近期的工作促使適用於 IoT 的 Microsoft Defender 得以在 MITRE ATT&CK for ICS 評估中,名列威脅能見度涵蓋範圍排名第一位,在重大攻擊活動類別中具有 100% 的惡意活動偵測成功率,而在所有惡意的後續攻擊活動類別中也有 96% 的偵測成功率 (在所有同業中,偵測遺漏率最少)。
Microsoft Defender for IoT 客戶,受惠於每日從全球 Microsoft 生態系統收集而來的數兆個訊號所得出的機器學習與威脅情報 (像是電子郵件、端點、雲端、Azure Active Directory 與 Microsoft 365),以及我們 Section 52 資安研究團隊所收集的 IoT 與 OT 特定情報。由於 Section 52 與涵蓋 Microsoft 威脅情報中心 (MSTIC) 及 Microsoft 安全回應中心 (MSRC) 的整個 Microsoft 資安研究與威脅情報團隊的領域專家密切合作,因此我們能夠提供客戶排定優先順序的資安事件,以便他們對端對端攻擊活動擁有完整的背景脈絡資訊,而非不斷提供他們毫無關聯性的警示清單,協助他們降低資安事件的訊號雜訊比。如此一來,資訊安全應變效率便提高了不少。
客戶最後所分享的難題之一,就是他們很難找到能夠讓他們安全地兌現 IT 與 OT 網路匯流計畫承諾所需的解決方案5。大多數工具都不足以提供分析師想要的使用者體驗,協助其相互關聯及視覺化呈現跨 IT 與 OT 網路疆界的多階段攻擊活動。
由於 Microsoft Defender for IoT 是全方位 Microsoft SIEM 與 XDR 方案的一部分,因此我們能夠提供分析師所需的自動化與視覺化工具,協助其因應跨 IT 與 OT 網路疆界的攻擊活動。有了這套產品,分析師就能全面性地回應資安事件,而非將其視為彼此不相干的攻擊個案,以至於需要大量的人為調查才能將所有蛛絲馬跡串連起來。透過效率上的提升,分析師能夠及時阻擋攻擊活動,讓所屬環境得以在最短時間內回到未遭入侵前的安全狀態。
無代理程式的被動式架構
Microsoft Defender for IoT 的部分重要設計理念,在於非入侵式及簡易部署原則。我們可以運用現有適用於端點的 Microsoft Defender 用戶端,這通常被動部署於整個組織的基礎架構上,為客戶提供立即的裝置探索功能,而無須進行額外的部署或是組態設定。為了讓您對所有的 IoT 與 OT 裝置 (特別是不具備適用於端點的 Microsoft Defender 感應器的網路區段) 擁有完整的檢視, Microsoft Defender for IoT 特別加入了可部署的網路感應器,方便您用來收集所需的所有網路資料,以利裝置探索、行為分析與機器學習之用。
Microsoft Defender for IoT 是一種開放式平台,客戶可藉此整合協力廠商網路資料,提升來自多個來源的資訊豐富程度。例如,已經部署了 Corelight 開放式網路偵測與應變 (NDR) 平台及其基於 Zeek 的網路感應器的組織,可以將該平台與適用於 IoT 的 Microsoft Defender 進行連結,以便存取來自 Corelight 的原始網路資料。接著適用於 IoT 的 Microsoft Defender 就能套用所屬的行為分析與機器學習功能,探索並分類裝置,甚至保護、偵測及回應攻擊活動。
深入了解我們的 Corelight 合作夥伴關係及其與適用於 IoT 的 Microsoft Defender 之整合狀況。
公開預覽版即將發布,敬請期待!
我們不只很高興能夠在今天與您分享這項消息,更希望聽到您的回饋。歡迎一同體驗即將於 2021 年 11 月 30 日全新推出, Microsoft Defender for IoT 公開預覽版。在此預覽版的第一個組建中,您將可取用五大功能:
- 統合檢視 Azure 主控台裡的 IoT 與 OT 裝置清查。
- Microsoft Defender for Endpoint clients 將當成 IoT 網路感應器使用,並把裝置加入 Microsoft 365 Defender 裝置清查當中。
- 獲得整合的 IoT 與 OT 網路感應器以供部署。
- 透過 Microsoft 365 Defender 主控台取得 IoT 威脅與漏洞評估。
- 支援協力廠商網路感應器。
額外推出的全新功能預計將於稍後發布,包括功能更豐富的資訊安全建議、偵測與回應事項。
有關即將發布的公開預覽版與產品藍圖詳細資訊,請觀看我們的 Ignite 大會。
如需可提供 OT 安全性的適用於 IoT 的 Microsoft Defender (先前稱為 Azure Defender for IoT) 現有版本詳細資訊,請參閱以下資源:
- 《內建 OT 專屬分析規則、SOAR 指導手冊與活頁簿,且適用於 Sentinel 的全新 OT 威脅監控解決方案》(New OT threat-monitoring solution for Sentinel featuring OT-specific analytics rules, SOAR playbooks, and workbooks)。
- Microsoft Defender for IoT 。
- 《深入探究全新的 Azure Defender for IoT (包括 CyberX)》(Go inside the new Azure Defender for IoT including CyberX)。
- 《Microsoft 在 MITRE ATT&CK for ICS 的威脅能見度涵蓋範圍類別中名列第一》(Microsoft scores highest in threat visibility coverage for MITRE ATT&CK for ICS)。
- 《Azure Defender for IoT 示範影片》(Azure Defender for IoT demonstration video)。
- 《Microsoft Azure Defender for IoT 訓練》(Microsoft Azure Defender for IoT Training)。
如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。
1《Microsoft:俄羅斯國家層級駭客正使用 IoT 裝置來入侵企業網路》(Microsoft: Russian state hackers are using IoT devices to breach enterprise networks),Catalin Cimpanu,ZDNet。2019 年 8 月 5 日。
2《駭客利用挾持來的智慧大樓門禁系統來發動 DDoS 攻擊》(Hackers are hijacking smart building access systems to launch DDoS attacks),Catalin Cimpanu,ZDNet。2020 年 2 月 2 日。
3《駭客運用遭到破解的密碼來入侵 Colonial Pipeline 公司》(Hackers Breached Colonial Pipeline Using Compromised Password),William Turton、Kartikay Mehrotra,Bloomberg。2021 年 6 月 4 日。
4《因應網路-實體系統需要,制訂資訊安全應對策略》(Develop a Security Strategy for Cyber-Physical Systems),Susan Moore,Gartner。2021 年 4 月 13 日。
5《當 IT 與營運技術交會時》(When IT and Operational Technology Converge),Christy Pettey,Gartner。2017 年 1 月 13 日。
欲了解詳情,請至微軟官方部落格