跳過主内容

運用 Microsoft Defender IoT 保障您的 IoT 裝置安全

Nir Giller – IoT 安全部門首席事業群經理

網路安全威脅日新月異,時至今日我們不時能夠見到新一波的進階攻擊行動,這些行動有的專門鎖定企業環境所使用的物聯網 (IoT) 裝置,有的則是鎖定工業系統與關鍵基礎架構 (像是 ICS/SCADA) 所使用的營運技術 (OT) 裝置。對此現象我們可說是見怪不怪,這是因為 60% 的資安從業人員認為 IoT 與 OT 安全性是所屬組織裡最脆弱的環節之一,且只有 50% 不到的組織有部署專為保障其 IoT 與 OT 裝置安全而設計的解決方案。客戶體認到這類型的裝置通常未能套用修補程式、組態設定有誤且未受監控,以至於成為攻擊者下手的理想目標。

為了消弭這類風險,我們很高興宣布推出Microsoft Defender for IoT(先前稱為 Azure Defender for IoT)。這套產品加入了無代理程式的監控能力,可保障連結至 IT 網路的企業 IoT 裝置安全 (像是網際網路語音通訊協定 (VoIP)、印表機與智慧型電視),以便組織運用單一整合解決方案,保障內部所有 IoT 及 OT 基礎架構的安全。我們即將於 2021 年 11 月 30 日正式發布上述全新功能的公開預覽版。

資安威脅與客戶挑戰

以往組織都將針對 IoT 與 OT 裝置發動的攻擊視為假設性威脅,不過近幾年開始,組織開始發現事態嚴重了。我們不只在攝影機及 VoIP 裝置1、智慧型大樓自動化系統2、提供 IoT 服務的服務供應商上發現了攻擊行動的蹤跡,現在還出現勒索軟體的攻擊活動,像是先前迫使大型天然氣管線3與全球食物加工廠商關閉的事件,都是勒索軟體所導致的。上述攻擊行為全都凸顯出企業在保障 IoT 與 OT 裝置安全上所面臨的挑戰。

攻擊者用來入侵與利用大型企業 IoT 裝置的方法可說是五花八門。無論是用來當做進入點、進行網路橫向移動,或是單純用來聲東擊西,都只是其中的幾個範例。下列圖表描述了牽涉兩起 IoT 裝置的網路攻擊鏈。其中一例用來當做進入點,而另一例則是用來進行網路橫向移動,最終不可避免地造成機密資訊外洩的憾事。

Within seconds attackers can find exploitable IoT targets that can become a point of entry into a business network. Once inside they can find sensitive information within minutes. In a hours time valuable data can be exfiltrated and for sale on the Darkweb.
圖 1:攻擊者掃描網際網路中脆弱的網際網路對應 IoT 裝置,然後將其當做進入點使用。接下來,他們開始執行偵查與橫向移動,以遂行其目的。

即便大多數組織體認到 IoT 與 OT 安全性是最欠缺安全保障的組織內部環節,他們還是毫不遲疑地加速部署裝置,只為了滿足數位轉型與確保企業競爭力的需要。為此,資安長即將必須面對攻擊範圍比以往大上許多倍的難題,而這全新的攻擊範圍絕大部分都屬於未受管理的 IoT 與 OT 裝置。

在 IoT 與 OT 安全性上,組織所面臨的難題可說是接踵而來。其中的一些首要難題如下:

  • 對所屬的 IoT 與 OT 資產清查缺乏完整的掌控能力。
  • 對 IoT 與 OT 漏洞缺乏細膩的管理能力。
  • 對 IoT 與 OT 特定攻擊活動缺乏成熟的偵測能力。
  • 對於整合式 SIEM 及延伸偵測與回應解決方案所能帶來的自動化優勢缺乏洞察能力。

有鑑於這類威脅與難題,資安專家與風險主管特別將 IoT 及網路和實體系統,列為接下來三到五年間的首要關注對象4

Microsoft Defender for IoT 是 Microsoft SIEM 與 XDR 方案的一部分

我們體認到在完善的威脅防護策略當中,IoT 只是其中的一項安全性環節。為此,我們特地針對 Microsoft Defender for IoT 加入了無代理程式的企業級 IoT 支援,使其成為我們廣泛的 SIEM 與 XDR 方案的一份子,進而為您所有的端點類型、應用程式、身分識別等服務項目提供完善的安全保障。客戶現在將能夠針對所屬的企業 IoT 裝置取得相同類型的漏洞管理、威脅偵測、回應與其他功能,而這些功能在以往僅供受管理的端點與 OT 裝置使用。此後,組織將可藉由完善的威脅掌控能力與洞察力,因應專門鎖定 IoT 與 OT 裝置發動以遂行其目標的多階段複雜攻擊活動。深入了解 Microsoft 365 DefenderMicrosoft Defender for Cloud 以及 Microsoft Sentinel

我們的客戶表示,他們在確保企業 IoT 裝置安全所面臨的最大挑戰是,對如何探索、識別與保障所有 IoT 資產清查的安全,無法取得足夠的掌控能力。為了克服這項挑戰, Microsoft Defender for IoT 採取獨家的應對方式,能夠協助您在幾分鐘內完成 Microsoft 365 Defender 環境內的 IoT 裝置探索並保障其安全。我們將透過下方無代理程式的被動架構區段,進一步說明我們的獨門應對方式。

The Defender for IoT console in Azure provides users with access to IoT and OT Device Inventory, Alerts and Security Recommendations. The Device Inventory view provides users with a list of devices and top details about them. When selecting a device instance more detailed device properties can be seen.
圖 2:透過單一統合式檢視功能,檢視您所有的 IT 與 IoT 清查以及其餘的 IT 裝置 (工作站、伺服器與行動裝置)。

客戶所面臨的第二大挑戰,則是與漏洞管理相關。 Microsoft Defender for IoT 可對您所有的企業 IoT 裝置執行評估。所有的建議事項都會列示在 Microsoft 365 主控台上 (例如,新版 Bash for Linux 的更新上)。

The Security Recommendations view in the Microsoft 365 Defender console includes recommendations for enterprise IoT devices. Recommendations like, upgrade your IoT devices firmware to a more secure version, is a common example. In the view you see how many devices are applicable to each recommendation as well as the risk level.
圖 3:將漏洞與組態設定錯誤的部分列入優先處理項目,並運用整合式工作流程強化這些裝置的安全狀態。

我們聽聞的第三大挑戰則是與威脅偵測有關。為確保我們對企業 IoT 威脅擁有絕對優勢,我們特地組成內部的 IoT 與 OT 安全研究小組 Section 52,由他們來確保我們擁有最佳的偵測能力。Section 52 近期的工作促使適用於 IoT 的 Microsoft Defender 得以在 MITRE ATT&CK for ICS 評估中,名列威脅能見度涵蓋範圍排名第一位,在重大攻擊活動類別中具有 100% 的惡意活動偵測成功率,而在所有惡意的後續攻擊活動類別中也有 96% 的偵測成功率 (在所有同業中,偵測遺漏率最少)。

Microsoft Defender for IoT  客戶,受惠於每日從全球 Microsoft 生態系統收集而來的數兆個訊號所得出的機器學習與威脅情報 (像是電子郵件、端點、雲端、Azure Active Directory 與 Microsoft 365),以及我們 Section 52 資安研究團隊所收集的 IoT 與 OT 特定情報。由於 Section 52 與涵蓋 Microsoft 威脅情報中心 (MSTIC) 及 Microsoft 安全回應中心 (MSRC) 的整個 Microsoft 資安研究與威脅情報團隊的領域專家密切合作,因此我們能夠提供客戶排定優先順序的資安事件,以便他們對端對端攻擊活動擁有完整的背景脈絡資訊,而非不斷提供他們毫無關聯性的警示清單,協助他們降低資安事件的訊號雜訊比。如此一來,資訊安全應變效率便提高了不少。

Incidents in the Incident view of the Microsoft 365 Defender console are inclusive of all endpoint types including workstations, servers mobile and network devices and now with the new version of Microsoft Defender for IoT these same Incidents will also include enterprise IoT devices when applicable.
圖 4:檢視排定優先順序的資安事件,透過單一儀表板納入所有 IT 與 IoT 裝置,藉此減少資訊混淆、雜亂無章、調查時間冗長以及警示疲勞的情況。

客戶最後所分享的難題之一,就是他們很難找到能夠讓他們安全地兌現 IT 與 OT 網路匯流計畫承諾所需的解決方案5。大多數工具都不足以提供分析師想要的使用者體驗,協助其相互關聯及視覺化呈現跨 IT 與 OT 網路疆界的多階段攻擊活動。

由於 Microsoft Defender for IoT 是全方位 Microsoft SIEM 與 XDR 方案的一部分,因此我們能夠提供分析師所需的自動化與視覺化工具,協助其因應跨 IT 與 OT 網路疆界的攻擊活動。有了這套產品,分析師就能全面性地回應資安事件,而非將其視為彼此不相干的攻擊個案,以至於需要大量的人為調查才能將所有蛛絲馬跡串連起來。透過效率上的提升,分析師能夠及時阻擋攻擊活動,讓所屬環境得以在最短時間內回到未遭入侵前的安全狀態。

Incident views in Microsoft Sentinel can include endpoints of all types including IoT and OT as well as those that span across multiple networks and network segments. All of these endpoints will be rendered in a single contiguous incident graph so you can easily visualize the end to end attack.
圖 5:深入的情境式遙測 (像是資產與連線詳細資料) 結合來自 Section 52 團隊的威脅情報 (像是分析規則、SOAR 指導手冊與儀表板),協助分析師高效率地應對資安事件。

無代理程式的被動式架構

Microsoft Defender for IoT 的部分重要設計理念,在於非入侵式及簡易部署原則。我們可以運用現有適用於端點的 Microsoft Defender 用戶端,這通常被動部署於整個組織的基礎架構上,為客戶提供立即的裝置探索功能,而無須進行額外的部署或是組態設定。為了讓您對所有的 IoT 與 OT 裝置 (特別是不具備適用於端點的 Microsoft Defender 感應器的網路區段) 擁有完整的檢視, Microsoft Defender for IoT 特別加入了可部署的網路感應器,方便您用來收集所需的所有網路資料,以利裝置探索、行為分析與機器學習之用。

Defender for IoT can leverage a diverse set data sources to simplify its deployment. Existing Defender for Endpoint customers can get value from Defender for IoT within minutes as M D E clients can be used as network sensors. A dedicated network sensor can be deployed to ensure you get the most complete visibility. Supported third party network sensors can be used as well.
圖 6:使用 Microsoft Defender for Endpoint 用戶端做為感應器的混合式感應器策略,能夠在一開始就為客戶提供廣泛的威脅能見度。無論是部署網路感應器還是使用協力廠商感應器,都能確保完整的能見度,也能一段時間之後再追加部署。

Microsoft Defender for IoT 是一種開放式平台,客戶可藉此整合協力廠商網路資料,提升來自多個來源的資訊豐富程度。例如,已經部署了 Corelight 開放式網路偵測與應變 (NDR) 平台及其基於 Zeek 的網路感應器的組織,可以將該平台與適用於 IoT 的 Microsoft Defender 進行連結,以便存取來自 Corelight 的原始網路資料。接著適用於 IoT 的 Microsoft Defender 就能套用所屬的行為分析與機器學習功能,探索並分類裝置,甚至保護、偵測及回應攻擊活動。

深入了解我們的 Corelight 合作夥伴關係及其與適用於 IoT 的 Microsoft Defender 之整合狀況。

公開預覽版即將發布,敬請期待!

我們不只很高興能夠在今天與您分享這項消息,更希望聽到您的回饋。歡迎一同體驗即將於 2021 年 11 月 30 日全新推出, Microsoft Defender for IoT 公開預覽版。在此預覽版的第一個組建中,您將可取用五大功能:

  • 統合檢視 Azure 主控台裡的 IoT 與 OT 裝置清查。
  • Microsoft Defender for Endpoint clients 將當成 IoT 網路感應器使用,並把裝置加入 Microsoft 365 Defender 裝置清查當中。
  • 獲得整合的 IoT 與 OT 網路感應器以供部署。
  • 透過 Microsoft 365 Defender 主控台取得 IoT 威脅與漏洞評估。
  • 支援協力廠商網路感應器。

額外推出的全新功能預計將於稍後發布,包括功能更豐富的資訊安全建議、偵測與回應事項。

有關即將發布的公開預覽版與產品藍圖詳細資訊,請觀看我們的 Ignite 大會

Screen view of YouTube video

如需可提供 OT 安全性的適用於 IoT 的 Microsoft Defender (先前稱為 Azure Defender for IoT) 現有版本詳細資訊,請參閱以下資源:

如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。

1Microsoft:俄羅斯國家層級駭客正使用 IoT 裝置來入侵企業網路》(Microsoft: Russian state hackers are using IoT devices to breach enterprise networks),Catalin Cimpanu,ZDNet。2019 年 8 月 5 日。

2駭客利用挾持來的智慧大樓門禁系統來發動 DDoS 攻擊》(Hackers are hijacking smart building access systems to launch DDoS attacks),Catalin Cimpanu,ZDNet。2020 年 2 月 2 日。

3駭客運用遭到破解的密碼來入侵 Colonial Pipeline 公司》(Hackers Breached Colonial Pipeline Using Compromised Password),William Turton、Kartikay Mehrotra,Bloomberg。2021 年 6 月 4 日。

4因應網路-實體系統需要,制訂資訊安全應對策略》(Develop a Security Strategy for Cyber-Physical Systems),Susan Moore,Gartner。2021 年 4 月 13 日。

5當 IT 與營運技術交會時》(When IT and Operational Technology Converge),Christy Pettey,Gartner。2017 年 1 月 13 日。

欲了解詳情,請至微軟官方部落格

更多故事