Clever Geek Handbook

A Microsoft revela o Azure Defender - uma solução de rede para proteger dispositivos IoT

A Microsoft revelou uma nova solução de segurança baseada no Azure para proteger dispositivos domĂ©sticos inteligentes - IoT Azure Defender . O sistema Ă© implementado com base no princĂ­pio de um firewall sem cliente que controla conexĂ”es externas e solicitaçÔes para dispositivos IoT na rede domĂ©stica. O Azure Defender se integra ao produto de segurança da informação existente Azure, denominado Sentinel. É no painel do Sentinel que o defensor dos dispositivos IoT exibe todas as informaçÔes bĂĄsicas. AlĂ©m disso, o Defender se integra a soluçÔes de terceiros, como SIEM, CMDB e SOAR, o que permite personalizar o monitoramento contĂ­nuo da infraestrutura sob controle.





Diagrama de loop de segurança com base no pacote do Azure Defender e no painel do Azure Sentinel



O Azure Defender se concentra em fornecer monitoramento de segurança para tipos de dispositivos especializados, aplicativos e controle máquina a máquina, ou seja, quando sua cafeteira decide se comunicar com um aspirador de pó ou micro-ondas. A solução suporta protocolos industriais especializados Modbus, DNP3, BACnet e vários outros, que são usados ​​ativamente na criação de ambientes de dispositivos IoT e sistemas fechados de uma casa inteligente.



De acordo com os desenvolvedores, isso adiciona transparĂȘncia a dispositivos IoT configurados incorretamente, nĂŁo gerenciados ou desconectados, como resultado do que se torna muito mais difĂ­cil para os invasores atacĂĄ-los para ganhar uma posição dentro da rede de residĂȘncias privadas e nas redes e infraestrutura de empresas e organizaçÔes industriais.



O uso do Azure em conjunto com o Microsoft Sentinel também é interessante. Na configuração padrão oferecida pelos desenvolvedores, propÔe-se a utilização do painel Azure Sentinel para monitoramento, que receberå todas as notificaçÔes da tela do Defender. Os alertas são baseados em mecanismos de detecção e anålise de violaçÔes do perímetro de segurança, violaçÔes da política de segurança, detecção de malware industrial, detecção de anomalias e detecção de incidentes, inclusive no nível do sensor. Tudo funciona por meio da coleta e anålise do tråfego da rede ICS.



Alertas “baseados em análise de tráfego em tempo real” cobrem uma ampla gama de incidentes, incluindo alertas dos seguintes tipos:



  • um dispositivo nĂŁo autorizado estĂĄ conectado Ă  rede;
  • conexĂŁo nĂŁo autorizada do dispositivo Ă  Internet;
  • acesso remoto nĂŁo autorizado;
  • ;
  • ( );
  • ;
  • «PLC Stop» ;
  • ;
  • Ethernet / IP CIP;
  • BACnet;
  • DNP3;
  • Master-Slave;
  • ( WannaCry, EternalBlue );
  • SMB.


A lista de ameaças que o Defender controla Ă© ampla o suficiente. Ao mesmo tempo, a solução nĂŁo Ă© um antivĂ­rus ou firewall "padronizado" que captura tudo, mas uma solução IoT. Ele implementa o monitoramento de ataques ao firmware e o monitoramento de tentativas de capturar, controlar / desativar o dispositivo de fora. O Ășltimo Ă© extremamente importante para cĂąmeras IP em empresas, que os cibercriminosos tendem a desativar em vez de assumir o controle de si prĂłprios.



Mas os desenvolvedores nĂŁo se limitaram Ă  lista de respostas padrĂŁo. Aparentemente, para o segmento industrial, em primeiro lugar, Ă© oferecida a oportunidade de expandir a lista de alertas para monitoramento em modo manual, ou seja, o administrador poderĂĄ determinar os pontos mais vulnerĂĄveis ​​de seu circuito e chamar a atenção do sistema para eles.







O alerta personalizado funciona da mesma maneira que o prĂ©-instalado e notifica o proprietĂĄrio de que surgiu uma situação que requer sua atenção. Em teoria, atĂ© mesmo os proprietĂĄrios de residĂȘncias poderĂŁo usar esses recursos. Por exemplo, a desconexĂŁo fĂ­sica de quaisquer dispositivos ou sensores pode indicar uma emergĂȘncia na casa ou apartamento.



O produto apresentado pela Microsoft Ă© um dos poucos pacotes de software nos Ășltimos anos que tem uma dupla finalidade e Ă© aplicĂĄvel tanto no campo industrial como para particulares. Nos Ășltimos anos, a empresa tem se concentrado cada vez mais no desenvolvimento de negĂłcios, deixando o segmento de consumidor Ă  mercĂȘ dos patches do Windows 10 e de algumas linhas de dispositivos pessoais. O Azure como um todo Ă© promovido exclusivamente como uma plataforma para negĂłcios com soluçÔes que estĂŁo em conformidade com esta polĂ­tica.



O problema dos botnets IoT é bastante agudo hå pelo menos cinco anos. Desde o momento em que os fabricantes começaram a implementar funçÔes inteligentes, controle remoto via Internet e outros sensores em seus equipamentos, o mundo jå enfrentou vårias vezes ataques DDoS massivos por meio de cùmeras, geladeiras e ferros de passar. Uma das razÔes pelas quais tais ataques massivos se tornaram possíveis reside em dois problemas globais do plano da cultura de segurança da informação.



Por outro lado, temos fabricantes absolutamente desordenados cujo Ășnico objetivo Ă© introduzir uma função “inteligente” em outra cafeteira para triplicar seu custo e lançar um “novo” aparelho no mercado. Ao mesmo tempo, sĂŁo utilizadas soluçÔes e componentes mais baratos. Os fabricantes de eletrodomĂ©sticos geralmente nĂŁo gostam de gastar dinheiro com capacidade de computação; isso foi claramente aprendido por compradores de TVs "inteligentes" no inĂ­cio e em meados da dĂ©cada de 2010.



Por outro lado, esses dispositivos, que tĂȘm alguns megabytes de memĂłria, um firmware simples no nĂ­vel do chip e um mĂłdulo Wi-Fi para se comunicar com o smartphone do proprietĂĄrio pela rede, acabam em um circuito domĂ©stico totalmente desprotegido. Ainda vivemos em um mundo onde a grande maioria dos roteadores dentro de residĂȘncias sĂŁo equipados com um conjunto de fĂĄbrica de login e senha. Embora as configuraçÔes padrĂŁo de dispositivos IoT e IP sejam um problema nĂŁo apenas para os indivĂ­duos, mas tambĂ©m para grandes organizaçÔes.



Jå encontramos botnets baseados em dispositivos IoT. O botnet Mirai sozinho, que apareceu em 2016, atacou milhÔes de dispositivos em todo o mundo e depois teve um papel ativo em ataques DDoS massivos. A propósito, seu problema não foi a lugar nenhum: o botnet e suas versÔes atualizadas foram ativamente mencionados até 2019 e, em abril de 2020, encontramos um descendente do botnet Mirai e do banqueiro Qbot - o botnet Dark Nexus, que atacou massivamente roteadores e dispositivos inteligentes usando ambos dados de fåbrica e expolites.





Esquema de ataque Dark Nexus



O Microsoft Defender nĂŁo Ă© uma panacĂ©ia para todos os problemas de segurança de dispositivos inteligentes e roteadores em campo, mas Ă© uma das vĂĄrias soluçÔes que podem tornar a vida muito mais fĂĄcil para administradores e proprietĂĄrios de sistemas domĂ©sticos inteligentes. Conforme mencionado acima, uma das vantagens do Azure Defender Ă© a falta de um cliente e funciona como um firewall. AlĂ©m disso, qualquer pessoa pode experimentar a versĂŁo preliminar do sistema de forma totalmente gratuita. VocĂȘ tambĂ©m pode conectar a avaliação de 30 dias do Azure Sentinel e trabalhar com o pacote completo da tela e painel oferecido pelos desenvolvedores de um fabricante.


More articles:


All Articles