運用Microsoft Defender for IoT 達到雲端資安
傳統上,營運技術(OT)和資訊技術(IT)在企業安全中處於不同的領域。然而,隨著數位轉型和工業4.0的興起,這種舊有的拆分方法已過時。製造執行系統的普及使得越來越多的「智能工廠」能夠提升管理效能和數據收集能力。同時,能源、公營事業、運輸等關鍵產業中增加的OT連網有助於提高效率,但也帶來了新的漏洞。預計到2025年,將有大約416億個設備連接到網路,形成巨大的攻擊面。與IT環境不同的是,OT中的入侵可能導致潛在危及生命的後果,2021年佛羅里達州自來水供應系統所受到的駭客攻擊即可證明這點。
我們非常高興地宣布Microsoft Defender for IoT雲端管理平台已正式提供服務,這使企業能夠在不妥協安全性的情況下與其OT環境互相串連。Defender for IoT借助Microsoft可擴展、具有成本效益的雲端技術,幫助您管理資產、追蹤新興威脅,並在連接和隔離環境下控制企業和重要任務網路中的風險。在本文中,我們將探討當今連接的OT環境,包括雲端管理安全性的優勢,以及整合安全營運中心(SOC)相對於傳統分離式方法的優勢。
為什麼要選擇雲端技術用於IoT和OT安全?
設備連網的普及性極高,從製造系統、供暖、通風和空調(HVAC)系統、建築管理系統(BMS)到採礦、鑽井和運輸的重型機械,代表 OT 安全解決方案必須具備大規模、高速、準確和全面地理解環境等要素。根據我們在2022年12月的《Cyber Signals 》中,微軟發現我們客戶的OT網路中,75%最常見的工業控制器存在未修補的高風險漏洞。即使是使用普通的物聯網(IoT)設備,如印表機和路由器,攻擊者也可以入侵並在IT系統中橫向移動,安裝惡意軟體並竊取敏感的知識財產權。相比傳統解決方案,基於雲端的IoT和OT安全解決方案具有以下幾個優勢:
- 端到端的資產盤點:資產分析涉及分析網路訊號以發掘和分類網路資產,收集有關這些資產的資訊以及它們所代表的類型。雲端中的分類器驅動著資產的詳細分類,例如伺服器、工作站、行動設備和物聯網設備等,以實現高精確度的分類。在正確分類資產後,可以監控和分析潛在的安全風險。這對於保護組織的網路至關重要,因為任何資產中的漏洞或配置錯誤都可能成為攻擊者的潛在入口點。透過識別和減輕這些風險,組織可以確保其基礎設施的安全性並保護敏感訊息。
- 即時檢測和回應威脅:透過即時檢測和回應威脅,將回應時間從數天縮短到數分鐘。透過不同產業防禦者之間的合作,我們可以分享最佳實踐方法和訊息,以更好地防範新興威脅。透過利用集體知識,防禦者可以領先於惡意行為者,並在事件發生時做出回應。因此,基於雲端的OT解決方案可以幫助防止入侵並將其影響降到最低。例如,透過檢測網路上的惡意活動或可疑的登入嘗試,資安分析師可以立即回應,防止入侵或限制其範圍。
- 防禦已知和未知威脅:微軟的人工智慧和機器學習警示可即時檢測威脅,並對已知或未知攻擊提供自動化回應。這些警示旨在幫助安全團隊快速識別和調查可疑活動,然後採取必要措施保護組織。例如,即時監控網路活動的安全系統可以在幾分鐘內檢測到可疑活動,及時提醒安全管理員採取行動,阻止攻擊的成功。
- 基於需求的合規性報告:組織可以輕鬆創建和管理符合產業標準的最新、安全且合規的報告。在Microsoft Azure中提供可自定義的報告工具,用戶可以從多個來源獲取數據並建立強大的客製化報告。Azure Workbooks提供自動報告和排程功能,實現了跨領域的協作體驗。
- 利用雲端的工作流程和整合:雲端到雲端的整合幫助組織優化工作流程,輕鬆存取來自多個來源的數據。透過連接多個雲端服務,組織可以更好地了解其營運狀況,自動化流程,減少人工勞動。此外,雲端到雲端的整合還可以幫助組織快速擴展,減少購買額外硬體和軟體的需求。因此,組織可以降低成本並提高效率。
無論是什麼類型的OT安全,恢復的平均時間(MTTR)都是一個關鍵指標。IT的目標MTTR通常在30分鐘到2小時之間。然而,由於物聯網和OT安全通常涉及公營事業、醫療保健或能源生產中使用的物理系統,每一分鐘都至關重要。基於雲端的OT安全可以透過實現多個位置的即時回應來產生影響。但如果您能進一步透過統一的IT、物聯網(IoT)和營運技術(OT)安全操作中心(SOC)提高安全性,那將更為理想。
以統一的IT、物聯網(IoT)和運營技術(OT)安全操作中心(SOC)加強安全合作
統一IT、IoT和OT安全團隊的合作有助於共同應對不斷演進的威脅,充分發揮您的資源並獲得對漏洞的全面視角。透過這種方式,統一的安全操作中心充分利用了兩個團隊的優勢,創建了一種簡化、具有成本效益的企業安全方法。透過確定共同目標和關鍵績效指標,IT和OT安全團隊可以透過桌上模擬演練來共同合作。要了解更多關於如何讓OT和IT安全團隊合作的資訊,請觀看我們的網路研討會《使用Microsoft Sentinel和Microsoft Defender for IoT實現OT/IoT-enabled SOC》。
統一安全操作中心的主要好處包括:
- 改善協作:透過利用IT技能和OT知識,提高團隊識別和應對威脅的效能,更好地了解可能對IT和OT系統產生的潛在影響。
- 更大的可視性:獲得對組織的商業和工業方面漏洞的全面了解,然後採取主動措施以防止入侵。
- 簡化回應:消除在IT和OT團隊之間轉移事件的需求,減少應對時間。透過快速協調的行動減輕安全事件的潛在損害。
- 加強合規性:輕鬆共享知識和專業知識,確保業務各個領域符合行業法規和標準。
Microsoft Defender for IoT是統一安全操作中心的綜合解決方案
考慮到工業控制器75%的漏洞率,幾乎每個使用OT的組織都需要重新評估其遺留設備(未經安全保護的老舊設備)和新設備(具有一定內建安全功能的新設備)的安全狀態。由於舊的網路監控系統不熟悉IoT和OT協議,因此它們不可靠。今天的統一安全操作中心需要一個針對性建造的解決方案。
使用Microsoft Defender for IoT,您可以在不進行重大改變的情況下實現更快的價值實現、提高靈活性和可擴展性,增加可見性並加強網路和基礎設施的彈性,提高OT防護水準。讓我們一起了解一個典型情境的運作方式。
Defender for IoT的運作方式-情境:
- 發布了一個可能影響您組織的OT設備的常見漏洞和曝露(CVE)的新資訊。更令人擔憂的是,您發現駭客已在網路上廣泛分享這個漏洞訊息。
- 利用微軟威脅情報,新的常見漏洞和曝露會自動被收集並在我們基於雲端的安全服務中共享,包括Defender for IoT。
- 使用Microsoft Azure Portal,您的安全操作中心可以開始監控所有設備和位置的新漏洞情況。
- 結果:確保您的IoT和OT環境的安全性變得更快速和全面。
Defender for IoT可以立即為您的安全操作中心帶來的其他情境優勢包括:
- OT安全和合規性審計。
- 降低攻擊面的諮詢。
- 桌上模擬演練。
使用設備清單查看和保護所有內容
隨著Defender for IoT的一般可用性,設備清單現在使您的安全操作中心能夠透過Microsoft Azure Portal上的單一視圖自信地管理OT設備。透過支持無限數據來源(例如製造商、類型、序號、韌體等),設備清單幫助您的安全團隊獲得對IoT和OT資產的全面了解,並透過微軟的可擴展、基於雲端的平台主動解決任何漏洞。
簡化的整合實現端到端保護
為了在企業中實現全面保護,Defender for IoT可以輕鬆與Microsoft Sentinel整合。Defender for IoT和Microsoft Sentinel共同為OT和IT環境提供安全訊息和事件管理(SIEM)。Defender for IoT還與Microsoft 365 Defender、Microsoft Defender for Cloud以及Splunk、IBM QRadar和ServiceNow等非微軟產品共享威脅數據。這個廣泛而完整的生態系統使您的統一安全操作中心能夠在IoT和IT之間自動調整警報,建立基準和自定義警報,幫助減少警報疲勞。
如需了解更多關於微軟安全解決方案的訊息,請前往我們的網站。將資安講堂加入書籤,隨時關注我們對安全事項的專家報導。此外,請關注我們在LinkedIn(Microsoft Security)和Twitter(@MSFTSecurity)上的最新新聞和更新,以獲取有關網路安全的最新動態。
_______________________________________
1《第四次工業革命技術評估:可持續發展的觀點》,Chunguang Bai,Patrick Dallasega,Guido Orzes和Joseph Sarkis,2020年11月。
2《IT和OT的融合:對關鍵基礎設施的網路風險上升》,微軟,2022年12月。
3《警長表示:有人試圖透過入侵供水系統來污染佛羅里達城市的水源》,Amir Vera,Jamiel Lynch和Christina Carrega,2021年2月8日。
