Securitate — May 24, 2023 at 2:27 pm

Securitate fără compromisuri în mediile operaționale cu Microsoft Defender for IoT și Safetech Innovations

by

Convergența infrastructurilor informatice și a celor operaționale obligă companiile să găsească soluțiile adecvate de protecție. Microsoft Defender for IoT îmbunătățește securitatea mediilor OT, asigurând gestionarea activelor, identificarea și eliminarea amenințărilor, precum și o abordare proactivă prin detectarea vulnerabilităților care pot fi exploatate de atacatori.

English version

control-room_1Protejarea rețelelor operaționale a devenit o necesitate în contextul digitalizării accelerate a proceselor industriale și al convergenței IT-OT.

Provocarea este generată de faptul că securitatea dispozitivelor OT rămâne încă deficitară – ritmul de update în cazul sistemelor operaționale este considerabil mai lent, comparativ cu cel al sistemelor IT, iar aplicarea de patch-uri este dificilă în mediile de producție.

Complexitatea proceselor de actualizare a elementelor infrastructurilor critice pentru a răspunde amenințărilor moderne, precum și riscurile conexe de a întrerupe sau perturba procesele de producție fac ca numeroase organizații să adopte soluția înghețării configurațiilor sistemelor operaționale pentru a minimiza potențialele instabilități și evita costurile suplimentare de integrare.

Însă, pe măsură ce aceste sisteme OT “îmbătrânesc”, numărul vectorilor de atac crește, odată cu riscul apariției unor potențiale breșe de securitate. Drept rezultat, mediile operaționale au devenit o țintă tot mai vizată de atacatorii cibernetici, care știu că dispozitivele din rețeaua OT nu sunt întotdeauna la fel de bine protejate precum sistemele IT. Potrivit statisticilor Microsoft, în ultimii ani, suprafața de atac s-a triplat ca mărime, iar nivelul de securitate implementat nu mai ține pasul cu amenințările în continuă creștere. Conform sursei citate, în intervalul 2020-2022, s-a înregistrat o creștere cu 78% a numărului de vulnerabilități critice ale echipamentele de control industrial produse de furnizori cunoscuți.

Microsoft Defender îmbunătățește reziliența mediilor operaționale

Evaluarea nivelului de securitate al sistemelor de control industriale și aplicarea măsurilor de protecție adecvate necesită soluții dedicate și abilități și competențe specifice. Pentru a veni în sprijinul companiilor care se confruntă cu astfel de provocări, Microsoft a lansat Defender for IoT, o platforma scalabilă, care se implementează rapid fie on-premises, fie în cloud, conform deciziei beneficiarului și se integrează direct în mediile operaționale existente, inclusiv cu diverse echipamente de la toți furnizorii OT importanți (precum Rockwell Automation, Schneider Electric, GE, Emerson, Siemens, Honeywell, ABB, Yokogawa etc.).

Soluția Microsoft este special concepută pentru a răspunde principalelor nevoi ale organizațiilor care operează mediile operaționale, asigurând:

• Identificare – Platforma Microsoft Defender descoperă și identifică automat toate echipamentele în momentul în care acestea sunt conectate, oferind un context bogat despre fiecare dispozitiv (adresa IP/MAC, producătorul dispozitivului, tipul de echipament, comunicare, protocoale utilizate etc.). Responsabilii cu securitatea obțin astfel vizibilitate extinsă asupra mediilor operaționale și pot valida ce dispozitive sunt autorizate să se conecteze la rețea.

• Protecție – Odată identificate activele vulnerabile, companiile pot lua măsuri pentru a le proteja utilizând analiza vectorilor de atac, gestionarea vulnerabilităților, segmentarea rețelei etc. Astfel, se pot minimiza suprafața de atac și elimina vulnerabilitățile folosind o abordare bazată pe prioritizarea riscurilor, care identifică și vizualizează cele mai probabile căi de atac.

• Detecție – Prin monitorizarea continuă a tuturor echipamentelor în căutarea activităților neobișnuite sau suspecte, amenințările pot fi detectate și neutralizate înainte ca vreun proces operațional să fie perturbat. Platforma Microsoft folosește tehnologii pentru învățare automată și analiză comportamentală, monitorizează continuu amenințările și emite alerte în timp real, care indică activitățile suspecte sau neautorizate.

• Răspuns – În cazul în care un atacator cibernetic reușește să pătrundă în rețea, ghidurile de acțiune ale Microsoft Defender recomandă o serie de măsuri concrete pentru a bloca atacatorul înainte ca alte dispozitive sau date să fie compromise.

• Recuperare – În cazul unui atac, Microsoft Defender furnizează informații detaliate asupra incidentului, astfel încât responsabilii cu securitatea să poată înțelege rapid cu ce se confruntă și ce resurse au fost afectate și să restaureze sistemele la starea lor anterioară atacului.

• Managementul riscului și conformității – Adresează principalele problemele ale CISO, care momentan nu are vizibilitate asupra riscurilor asociate sistemelor ICS/SCADA și ale tehnologiilor operaționale, oferind totodata managementul activelor OT si al cerintelor de conformitate NIS.

De ce este Microsoft Defender for IoT lider de piață

Cu peste 24.000 de miliarde de semnale colectate zilnic din ecosistemul global Microsoft, platforma Defender pentru mediile operaționale asigură o protecție scalabilă, cu un nivel de eficacitate ridicat.

Un prim avantaj competitiv al Microsoft Defender for IoT este dat de faptul că soluția poate fi implementată în mai puțin de o zi. Totodată, caracteristica agentless permite monitorizarea întregii activități în rețea fără a afecta dispozitivele OT. Platforma inspectează o copie “out of band” a traficului de rețea și, prin urmare, are un impact zero asupra performanței mediului OT.

Un alt avantaj important este acela că, indiferent de topologia sau reglementările specifice unei anumite industrii, platforma reduce complexitatea proceselor de management și securizare a mediilor operaționale. Soluția Microsoft generează informații în doar câteva minute de la conectarea la rețea și valorifică învățarea automată și mecanismele de automatizare integrate, reducând astfel efortul de configurare a regulilor.

Microsoft Defender detectează rapid amenințările avansate, având un randament superior soluțiilor tradiționale bazate pe semnături. Pentru aceasta, platforma folosește o serie de tehnologii proprietare – precum Layer 7 Deep Packet Inspection (DPI) sau Industrial Finite State Machine (IFSM) –, cu ajutorul cărora identifică automat comportamentele anormale sau neautorizate, fără a folosi indicatorii statici de compromitere (IOC). Astfel, platforma poate detecta amenințările rapid și mai precis, un element critic în condițiile în care, în majoritatea rețelelor operaționale, este dificil de detectat dacă o solicitare de conexiune este sigură sau dacă o solicitare de acces este legitimă.

În contextul securității, integrității și rezilienței proceselor industriale, combinația dintre tehnologiile IFSM, DPI și Machine Learning este deosebit de valoroasă, deoarece pot fi detectate atacuri cunoscute, amenințări de tip zero-day, deviații de la desfășurarea normală a proceselor industriale, dar și activități rău intenționate din interiorul întreprinderilor.

Nu în ultimul rând, soluția oferă suport pentru toate protocoalele industriale importante (Modbus, DNP3, GE SRTP, Siemens S7, EtherNet/IP CIP, IEC 61850, BACnet, Emerson DeltaV, Yokogawa VNet/IP, ABB 800xA etc.).

Ca urmare a tuturor acestor capabilități avansate de protecție, Microsoft Defender este una dintre cele mai premiate soluții,  fiind câștigătoarea secțiunilor IoT Security, ICS/SCADA Security și Critical Infrastructure Security în cadrul Premiilor de Excelență în Securitate Cibernetică 2019 și Best SCADA Security Solution la ediția SC Awards 2020. În 2021, Microsoft Defender a obținut cel mai mare punctaj în ceea ce privește acoperirea vizibilității amenințărilor conform framework-ului de evaluare MITRE ATT&CK pentru sistemele de control industrial. (1) În 2022, platforma Microsoft a fost numită pentru al treilea an consecutiv lider de piață pe nișa soluțiilor de protecție a mediilor operaționale, conform 2022 Gartner Magic Quadrant for Global Industrial IoT Platforms. (2)

Randament maxim cu serviciile Safetech Innovations

Safetech Innovations este un furnizor de servici de securitate consacrat pe piața din România, precum și principalul partener Microsoft pe zona de implementare a platformei Microsoft Defender for IoT. Compania are competențe avansate în această tehnologie și are la activ peste 100 de proiecte Microsoft Defender implementate până în prezent, acumulând o experiență relevantă deosebită în acest sens.

Valorificând aceste resurse, Safetech poate furniza companiilor servicii complete de implementare, configurare și personalizare a Microsoft Defender, astfel încât soluția să acopere optim cerințele specifice mediilor operaționale ale clienților. Totodată, Safetech realizează integrarea platformei și cu celelalte soluții de securitate avansată din cadrul infrastructurii clientului, atât de la Microsoft (precum Azure Sentinel), dar și de la alți producători (ca Splunk, IBM Qradar sau ServiceNow).

Un alt avantaj major al colaborării cu Safetech este posibilitatea integrării platformei Microsoft Defender for IoT cu serviciile de tip CERT (Computer Emergency Response Team) livrate de companie. Prin intermediul acestei integrări, echipa de specialiști CERT certificați  Safetech poate realiza detectarea timpurie a amenințărilor și livra răspunsuri rapide la amenințările apărute, pentru evitarea daunelor. Folosind informațiile furnizate de platforma, echipa CERT poate analiza și înțelege în profunzime incidentele, identificând sursele și metodele de atac, precum și impactul acestora asupra infrastructurii. Totodată, prin utilizarea fluxurilor de lucru și politicilor preconfigurate, pot fi implementate acțiuni de remediere și protecție în mod automat, reducându-se astfel timpul de răspuns și minimizând impactul atacurilor.

STI CERT este una dintre primele echipe CERT private înființate în România, este acreditată la nivel internațional și asigură companiilor private și organizațiilor publice monitorizarea continuă a amenințărilor cibernetice și intervenția în caz de incidente de securitate. STI CERT oferă servicii de monitorizare 24/7/365, alertare, managementul incidentelor și acoperă toate tipurile de incidente de securitate cibernetică prin metode centralizate, aplicate de o echipă de experți certificați și ethical hackeri.

Convergența mediilor IT și operaționale face ca suprafața de atac să crească rapid, afectând o gama tot mai largă de industrii. Adoptând platforma Microsoft Defender for IoT/OT și utilizând serviciile livrate de Safetech Innovations, companiile pot ține sub control aceste riscuri, acționând proactiv în sensul eliminării lor.

Pentru mai multe informații despre serviciile noastre și oferte comerciale, vă invităm să ne contactați prin email la sales@safetech.ro sau prin telefon la 021 316 05 65.

______________________

1 – Microsoft scores highest in threat visibility coverage for MITRE ATT&CK for ICS https://techcommunity.microsoft.com/t5/microsoft-defender-for-iot-blog/microsoft-scores-highest-in-threat-visibility-coverage-for-mitre/ba-p/2577072
2 – Microsoft named a Leader in the 2022 Gartner Magic Quadrant for Global Industrial IoT Platform https://azure.microsoft.com/en-us/blog/microsoft-named-a-leader-in-the-2022-gartner-magic-quadrant-for-industrial-iot-platforms/