基于Azure Defender捆绑包和Azure Sentinel仪表板的安全循环图
Azure Defender专注于为特殊的设备类型,应用程序和“机器对机器”控制(即当您的咖啡机决定与吸尘器或微波炉通信时)提供安全监视。该解决方案支持专用的工业协议Modbus,DNP3,BACnet和许多其他协议,这些协议在创建IoT设备环境和智能家居的封闭系统中得到了积极使用。
根据开发人员的说法,这会为未正确配置,未管理或未连接的IoT设备增加透明度,从而使攻击者更加难以攻击它们,以在私人家庭网络以及工业企业和组织的网络和基础架构中立足。
将Azure与Microsoft Sentinel结合使用也很有趣。在开发人员提供的标准配置中,建议使用Azure Sentinel面板进行监视,该面板将从Defender屏幕接收所有通知。警报基于针对安全边界违规,安全策略违规,工业恶意软件检测,异常检测和事件检测(包括传感器级别)的检测机制和分析。所有这些都通过收集和分析ICS网络流量进行。
“基于实时流量分析的警报”涵盖了广泛的事件,包括以下类型的警报:
- 未经授权的设备已连接到网络;
- 未经授权将设备连接到Internet;
- 未经授权的远程访问;
- ;
- ( );
- ;
- «PLC Stop» ;
- ;
- Ethernet / IP CIP;
- BACnet;
- DNP3;
- Master-Slave;
- ( WannaCry, EternalBlue );
- SMB.
Defender控制的威胁列表足够广泛。同时,该解决方案不是涵盖所有内容的“标准化”防病毒或防火墙,而是物联网解决方案。它既可以监视对固件的攻击,也可以监视从外部捕获控制/禁用设备的尝试。后者对于企业中的IP摄像机极为重要,网络犯罪分子往往会禁用而不是控制自己。
但是开发人员并不仅限于标准响应列表。显然,对于工业领域而言,首先,它提供了扩展警报列表的机会,以便以手动模式进行监视,也就是说,管理员将能够识别其电路中最脆弱的点并吸引系统对它们的注意。
自定义警报的工作方式与预安装的警报相同,并通知所有者出现了需要他注意的情况。从理论上讲,即使是业主,也可以使用这些功能。例如,任何设备或传感器的物理断开都可能表示房屋或公寓发生紧急情况。
Microsoft提供的产品是近年来为数不多的具有双重用途的软件包之一,可应用于工业领域和个人。近年来,该公司越来越专注于业务发展,而让消费者细分市场受Windows 10补丁程序和某些个人设备产品的支配。整个Azure专门作为符合此策略的解决方案的业务平台进行推广。
物联网僵尸网络的问题至少五年来一直非常严重。自从制造商开始在设备中实施智能功能,通过Internet和其他传感器进行远程控制的那一刻起,全世界就已经多次面临通过相机,冰箱和熨斗进行的大规模DDoS攻击。如此大规模的攻击成为可能的原因之一在于信息安全文化层面的两个全球性问题。
一方面,我们有绝对混乱的制造商,其唯一目标是在另一家咖啡机中引入“智能”功能,以使其成本增加三倍,并将“新”设备推向市场。同时,使用了最便宜的解决方案和组件。家用电器制造商通常不喜欢在计算能力上花钱,“智能”电视的购买者在2010年初和中期就清楚地了解到这一点。
另一方面,这些设备具有几兆字节的内存,芯片级的简单固件以及用于通过网络与所有者的智能手机进行通信的Wi-Fi模块,它们最终都处于绝对不受保护的家庭电路中。我们仍然生活在一个世界上,私人家庭中的绝大多数路由器都配备了工厂设置的登录名和密码。虽然,IoT和IP设备的默认配置不仅是个人的问题,也是大型组织的问题。
我们已经遇到过基于物联网设备的僵尸网络。仅在2016年出现的Mirai僵尸网络就攻击了全球数百万台设备,然后积极参与了大规模DDoS攻击。顺便说一句,他的问题并没有解决:僵尸网络及其更新版本一直到2019年都得到积极提及,并且在2020年4月,我们遇到了Mirai僵尸网络和Qbot银行家的后代-Dark Nexus僵尸网络,该僵尸网络使用两者同时攻击路由器和智能设备工厂数据和权限。
Dark Nexus攻击方案
Microsoft Defender并不是解决该领域智能设备和路由器所有安全问题的灵丹妙药,但它是众多解决方案之一,可以使智能家居系统的管理员和所有者的生活变得更加轻松。如上所述,Azure Defender的优点之一是缺少客户端,并且可以像防火墙一样工作。而且,任何人都可以完全免费试用该系统的初步版本。您还可以连接Azure Sentinel的30天试用版,并使用由一家制造商的开发人员提供的完整屏幕和仪表板捆绑。