Cómo proteger el Internet de las Cosas (IoT) con Microsoft Defender

Asegurar el Internet de las Cosas es cada vez más importante. El hardware de IoT es el corazón de la mayoría de la tecnología operativa moderna, los sistemas que respaldan las empresas, los sistemas que combinan hardware de IoT moderno con dispositivos heredados de control y recolección de datos. Sin embargo, no podemos asegurarlo de la misma manera que aseguramos las PC y los servidores, ya que gran parte del hardware de IoT es de un solo propósito, diseñado para ejecutarse desde el firmware y sin capacidad de instalar software adicional.

Cómo proteger el Internet de las Cosas (IoT) con Microsoft Defender - Internet de las cosas | Imagen 1 Newsmatic

Esa aproximación es tanto una bendición como una maldición. El hardware de un solo propósito es relativamente difícil de comprometer, pero también es difícil de monitorear. Además, no se pueden instalar agentes en él, ya que los microcontroladores simples tienen memoria limitada y menos hilos de ejecución.

En algunas circunstancias, las empresas pueden utilizar hardware central seguro como los sistemas Azure Sphere de Microsoft con sus procesadores Pluton integrados. Pero en la mayoría de los casos, utilizan dispositivos construidos en torno a centros de seguridad de microcontroladores de estantería de proveedores como NXP y Broadcom.

Como resultado, las empresas a menudo dependen de hardware que no se puede administrar ni monitorear, lo que constituye una base no confiable para la tecnología operativa. Esto ha llevado a que hardware comprometido cierre sistemas críticos, incluyendo ataques de actores malintencionados dirigidos a dispositivos con actualizaciones de firmware maliciosas.

Los riesgos asociados con el hardware de tecnología operativa son significativos, con ataques que no solo comprometen los dispositivos, sino que también dañan instalaciones físicas, al igual que los resultados de los ataques Stuxnet en ciertos tipos de dispositivos SCADA.

El futuro de las tarjetas SIM: qué es el iSIM y cómo impactará a las empresas
Índice de Contenido
  1. Presentando el sensor de Defender for IoT
  2. Uso del sensor
  3. Integración con Sentinel para automatizar la seguridad
  4. Reduciendo los riesgos de seguridad de IoT con Microsoft Defender

Presentando el sensor de Defender for IoT

Entonces, ¿cómo podemos proteger nuestros dispositivos, redes y negocios, especialmente cuando ya tenemos un gran número de hardware desplegado? Microsoft's Defender for IoT es una opción, que agrega sensores de red y herramientas de análisis de firmware para ayudar a detectar hardware comprometido o en riesgo, y que trabaja en conjunto con Microsoft Sentinel utilizando el aprendizaje automático para identificar amenazas tempranas.

Dado que el hardware de IoT y tecnología operativa a menudo son sistemas especializados y propietarios, que ejecutan firmware personalizado, las técnicas basadas en agentes no funcionan. En cambio, el corazón de Defender for IoT es un dispositivo sensor de red, que se utiliza para obtener un inventario de los dispositivos en una red y, lo que es más importante, sus patrones de tráfico. Esto permite a los equipos de TI obtener una imagen del estado actual de una red de IoT, mapear su topología y ayudar a identificar cómo conectar y segmentar mejor los dispositivos.

Al mismo tiempo, se pueden utilizar otras herramientas para identificar las versiones de firmware, lo que permite a los equipos de seguridad ver los dispositivos que pueden estar en riesgo o que han sido mal configurados. Las redes de tecnología operativa suelen ser diversas, combinando hardware de IoT con sistemas de control industrial y de procesos, y tecnologías como SCADA. Este enfoque puede ser una forma útil de identificar posibles victorias rápidas, especialmente en entornos de tecnología operativa que han crecido de forma orgánica a lo largo de los años.

Comprender qué se puede actualizar o qué debe cambiarse ayuda a priorizar los dispositivos según su puntaje de riesgo y puede ayudar a construir un modelo de amenazas que identifique posibles métodos de ataque. Además, puede identificar dispositivos que pueden haber sido implementados y olvidados o que se han desconectado de las plataformas de administración.

Uso del sensor

Una vez instalada, la plataforma del sensor busca más que paquetes de red TCP/IP, ya que su herramienta de inspección profunda de paquetes conoce los principales protocolos de comunicación industrial, incluidos los utilizados por servicios patentados. El sensor toma una copia del tráfico de red y lo analiza, evitando afectar cualquier hardware que pueda ser susceptible a sondas activas y asegurando que los sistemas de tecnología operativa continúen operando.

Trabajar con hardware de IoT requiere un enfoque diferente al de la seguridad de red tradicional, y los sistemas necesitan identificar anomalías en lugar de rastrear compromisos conocidos.

Cómo la tecnología está transformando la agricultura: empresas agritech para seguir en 2023

La implementación de Defender for IoT es bastante sencilla. Como el sensor es un dispositivo de Capa 7, es transparente al resto de la red y se puede conectar a un switch de red en la red de tecnología operativa. Los resultados se entregan al servicio de Defender for IoT, ya sea localmente a una consola de administración o a un SOC alojado en la nube, y a las herramientas de administración de eventos e información de seguridad.

El sensor en sí puede ser un dispositivo virtual, solo necesita acceso a una tarjeta de red dedicada en el servidor host, funcionando en Microsoft Hyper-V o VMware ESXi. Alternativamente, las empresas pueden comprar un servidor preconfigurado de varios proveedores, listo para activar e instalar en sus redes. Si las organizaciones deciden configurar su propio sensor físico o virtual, Microsoft proporciona una lista de requisitos que cubren diferentes tamaños de redes de tecnología operativa, con opciones para monitorear redes completas, sitios específicos y líneas de producción individuales.

Una vez instalado, un sensor puede monitorear continuamente el tráfico en una red de tecnología operativa, buscando actividades sospechosas y almacenando capturas de paquetes. Esto permite que los equipos de seguridad utilicen la consola para buscar actividades sospechosas, examinar el historial de tráfico de red para determinar si, cuándo y cómo se vieron comprometidos los dispositivos. Hay una ventaja adicional de usar herramientas como estas: pueden ayudar a identificar hardware mal configurado que pueda estar afectando la red y el rendimiento de producción.

Integración con Sentinel para automatizar la seguridad

La opción de Microsoft Sentinel para Defender for IoT permite a las empresas incorporar hardware de IoT en su centro de operaciones de seguridad, lo que permite a los equipos de seguridad utilizar herramientas y paneles familiares para proteger los sistemas operativos y las plataformas de TI. Los analistas de seguridad podrán identificar amenazas que abarcan toda la infraestructura de la empresa, ayudando a evitar movimientos laterales de hardware de IoT comprometido hacia el resto de la red.

La integración de las dos plataformas es bastante sencilla. Sentinel ahora incluye una versión previa pública de un paquete de solución de Defender for IoT. Esto se puede implementar con un par de clics, transmitiendo datos de las herramientas de IoT a Sentinel. El paquete incluye conjuntos de reglas predefinidas para ayudar a identificar incidentes, así como guiones que automatizan muchas estrategias de respuesta a incidentes. Todo está envuelto en un panel que ayuda a visualizar los sistemas de IoT en el contexto del entorno general de TI y tecnología operativa.

La gran ventaja de esta integración es la vista de panel único de todos los incidentes de seguridad. Esto se puede filtrar para identificar problemas específicos de IoT y luego se puede utilizar para resaltar el impacto comercial de un incidente.

Comparación de Oracle vs AWS: Plataformas IIoT para la industria inteligente

Microsoft planea agregar herramientas de mapeo a esto, para que los equipos de seguridad puedan vincular el hardware de IoT a ubicaciones específicas, lo que puede ayudar a clasificar los incidentes al identificar ubicaciones importantes. Por ejemplo, una amenaza en un sitio de perforación, por más aislada que esté, será mucho más crítica que un problema en un sistema de climatización de una oficina. Esto les permite desplegar ingenieros de manera efectiva, especialmente cuando el hardware de IoT puede estar desplegado en todo el planeta.

Una vez que se ejecuta el servicio combinado, los usuarios pueden hacer clic en los paneles de Sentinel y acceder a las herramientas de Defender for IoT para un análisis más profundo de incidentes específicos. Al mismo tiempo, los equipos de seguridad pueden utilizar las herramientas de grafo de investigación de Sentinel para explorar las causas de un incidente, ayudando a determinar qué está sucediendo en la red y qué técnicas está utilizando un actor malintencionado para atacar los dispositivos.

Un concepto útil para la seguridad de IoT es la idea de las "joyas de la corona". Estos son los dispositivos que ejecutan servicios de alta importancia y donde cualquier ataque no solo afectará a la infraestructura de TI, sino también a las operaciones críticas. Este es otro concepto que ayuda a clasificar los incidentes, elevando las respuestas cuando sea necesario y asegurando que las operaciones continúen, incluso cuando la red está bajo ataque.

Los guiones de Sentinel son una herramienta importante, ya que permiten a los equipos de seguridad crear y automatizar respuestas a incidentes, alertar a los propietarios de dispositivos y permitirles iniciar investigaciones junto con enfoques de seguridad más tradicionales. Esto permite a la seguridad de TI identificar rápidamente falsos positivos, ayudando a entrenar a las herramientas de aprendizaje automático de Sentinel.

Reduciendo los riesgos de seguridad de IoT con Microsoft Defender

Herramientas como estas serán cada vez más importantes a medida que más empresas comiencen a integrar plataformas existentes de tecnología operativa con el resto de su infraestructura de TI. Es fácil menospreciar dispositivos como estos como "simples", sin considerar el impacto que un caso de violación de seguridad podría tener en un negocio, donde no se trata solo de pérdida de datos, sino también de interrupción de las instalaciones de producción y daño a las plantas físicas.

El uso de Defender for IoT junto con Sentinel puede ayudar a reducir significativamente el riesgo, proporcionando ideas faltantes e identificando problemas antes de que se conviertan en un compromiso.

6 cosas importantes que debes saber sobre el IoT en medicina

Descubre más sobre IoT con estos artículos recientes: Cómo la IoT está automatizando las operaciones de almacén y las cinco principales diferencias entre el IoT industrial y el IoT.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Internet de las cosas, allí encontraras muchos artículos similares a Cómo proteger el Internet de las Cosas (IoT) con Microsoft Defender , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.