Diagrama de bucle de seguridad basado en el paquete de Azure Defender y el panel de Azure Sentinel
Azure Defender se centra en proporcionar supervisión de seguridad para tipos de dispositivos especializados, aplicaciones y control de máquina a máquina, es decir, cuando su máquina de café decide comunicarse con una aspiradora o un microondas. La solución admite protocolos industriales especializados Modbus, DNP3, BACnet y varios otros, que se utilizan activamente en la creación de entornos de dispositivos IoT y sistemas cerrados de una casa inteligente.
Según los desarrolladores, esto agrega transparencia a los dispositivos de IoT configurados incorrectamente, no administrados o desconectados, como resultado de lo cual se vuelve mucho más difícil para los atacantes atacarlos para afianzarse dentro de la red tanto de hogares privados como en las redes e infraestructura de empresas y organizaciones industriales.
El uso de Azure junto con Microsoft Sentinel también es interesante. En la configuración estándar ofrecida por los desarrolladores, se propone utilizar el panel de Azure Sentinel para la monitorización, que recibirá todas las notificaciones desde la pantalla del Defender. Las alertas se basan en mecanismos de detección y análisis de violaciones del perímetro de seguridad, violaciones de la política de seguridad, detección de malware industrial, detección de anomalías y detección de incidentes, incluso a nivel de sensor. Todo funciona a través de la recopilación y el análisis del tráfico de la red ICS.
Las alertas "basadas en análisis de tráfico en tiempo real" cubren una amplia gama de incidentes, incluidas las alertas de los siguientes tipos:
- un dispositivo no autorizado está conectado a la red;
- conexión no autorizada del dispositivo a Internet;
- acceso remoto no autorizado;
- ;
- ( );
- ;
- «PLC Stop» ;
- ;
- Ethernet / IP CIP;
- BACnet;
- DNP3;
- Master-Slave;
- ( WannaCry, EternalBlue );
- SMB.
La lista de amenazas que controla Defender es lo suficientemente amplia. Al mismo tiempo, la solución no es un antivirus o firewall "estandarizado" que detecta todo, sino una solución de IoT. Implementa tanto el seguimiento de los ataques al firmware como el seguimiento de los intentos de capturar el control / deshabilitar el dispositivo desde el exterior. Esto último es extremadamente importante para las cámaras IP en las empresas, que los ciberdelincuentes tienden a desactivar en lugar de tomar el control de sí mismos.
Pero los desarrolladores no se limitaron a la lista de respuestas estándar. Al parecer, para el segmento industrial, en primer lugar, se ofrece la oportunidad de ampliar la lista de alertas para monitoreo en modo manual, es decir, el administrador podrá identificar los puntos más vulnerables de su circuito y llamar la atención del sistema sobre ellos.
La alerta personalizada funciona de la misma manera que la preinstalada y notifica al propietario que ha surgido una situación que requiere su atención. En teoría, incluso los propietarios de hogares podrán utilizar estas funciones. Por ejemplo, la desconexión física de cualquier dispositivo o sensor puede indicar una emergencia en una casa o apartamento.
El producto presentado por Microsoft es uno de los pocos paquetes de software de los últimos años que tiene un doble propósito y es aplicable tanto en el ámbito industrial como para particulares. En los últimos años, la empresa se ha centrado cada vez más en el desarrollo empresarial, dejando al segmento de consumidores a merced de los parches de Windows 10 y algunas líneas de dispositivos personales. Azure, en general, se promociona exclusivamente como una plataforma para empresas con soluciones que cumplen con esta política.
El problema de las redes de bots de IoT ha sido bastante agudo durante al menos cinco años. Desde el momento en que los fabricantes comenzaron a implementar funciones inteligentes, control remoto a través de Internet y otros sensores en sus equipos, el mundo ya se ha enfrentado a ataques DDoS masivos a través de cámaras, refrigeradores y planchas varias veces. Una de las razones por las que estos ataques masivos se hicieron posibles radica en dos problemas globales desde el plano de la cultura de seguridad de la información.
Por un lado, tenemos fabricantes absolutamente desordenados cuyo único objetivo es introducir una función “inteligente” en otra cafetera para triplicar su costo y lanzar un dispositivo “nuevo” al mercado. Al mismo tiempo, se utilizan las soluciones y componentes más baratos. Por lo general, a los fabricantes de electrodomésticos no les gusta gastar dinero en potencia informática, algo que los compradores de televisores "inteligentes" aprendieron claramente a principios y mediados de la década de 2010.
Por otro lado, estos dispositivos, que tienen un par de megabytes de memoria, un firmware simple a nivel de chip y un módulo Wi-Fi para comunicarse con el teléfono inteligente del propietario a través de la red, terminan en un circuito doméstico absolutamente desprotegido. Todavía vivimos en un mundo donde la gran mayoría de los enrutadores dentro de los hogares privados están equipados con un conjunto de fábrica de inicio de sesión y contraseña. Sin embargo, las configuraciones predeterminadas de los dispositivos IoT e IP son un problema no solo para las personas, sino también para las grandes organizaciones.
Ya nos hemos encontrado con botnets basadas en dispositivos IoT. Solo la botnet Mirai, que apareció en 2016, atacó a millones de dispositivos en todo el mundo y luego participó activamente en ataques DDoS masivos. Por cierto, su problema no ha ido a ninguna parte: la botnet y sus versiones actualizadas se mencionaron activamente hasta 2019, y en abril de 2020 nos encontramos con un descendiente de la botnet Mirai y el banquero Qbot: la botnet Dark Nexus, que atacó masivamente enrutadores y dispositivos inteligentes utilizando ambos. datos de fábrica y expolites.
Esquema de ataque Dark Nexus
Microsoft Defender no es una panacea para todos los problemas de seguridad de los dispositivos inteligentes y los enrutadores en el campo, pero es una de varias soluciones que pueden hacer la vida mucho más fácil a los administradores y propietarios de sistemas domésticos inteligentes. Como se mencionó anteriormente, una de las ventajas de Azure Defender es la falta de un cliente y funciona como un firewall. Además, cualquiera puede probar la versión preliminar del sistema de forma totalmente gratuita. También puede conectar la versión de prueba de 30 días de Azure Sentinel y trabajar con el paquete completo de pantalla y panel que ofrecen los desarrolladores de un fabricante.