Diagram lingkaran keamanan berdasarkan bundel Azure Defender dan dasbor Azure Sentinel
Azure Defender berfokus pada penyediaan pemantauan keamanan untuk jenis perangkat khusus, aplikasi, dan kontrol Mesin-ke-Mesin, yaitu, saat mesin kopi Anda memutuskan untuk berkomunikasi dengan penyedot debu atau microwave. Solusi ini mendukung protokol industri khusus Modbus, DNP3, BACnet, dan sejumlah lainnya, yang secara aktif digunakan dalam menciptakan lingkungan perangkat IoT dan sistem tertutup dari rumah pintar.
Menurut pengembang, ini menambah transparansi pada perangkat IoT yang tidak dikonfigurasi dengan benar, tidak dikelola, atau tidak terhubung, akibatnya menjadi jauh lebih sulit bagi penyerang untuk menyerang mereka untuk mendapatkan pijakan di dalam jaringan rumah tangga pribadi dan dalam jaringan serta infrastruktur perusahaan dan organisasi industri.
Penggunaan Azure bersama dengan Microsoft Sentinel juga menarik. Dalam konfigurasi standar yang ditawarkan oleh pengembang, diusulkan untuk menggunakan panel Azure Sentinel untuk pemantauan, yang akan menerima semua pemberitahuan dari layar Pembela. Peringatan didasarkan pada mekanisme deteksi dan analitik untuk pelanggaran perimeter keamanan, pelanggaran kebijakan keamanan, deteksi malware industri, deteksi anomali, dan deteksi insiden, termasuk di tingkat sensor. Semuanya bekerja melalui pengumpulan dan analisis lalu lintas jaringan ICS.
Lansiran "berdasarkan analisis lalu lintas waktu nyata" mencakup berbagai insiden, termasuk lansiran dari jenis berikut:
- perangkat yang tidak sah terhubung ke jaringan;
- koneksi perangkat yang tidak sah ke Internet;
- akses jarak jauh yang tidak sah;
- ;
- ( );
- ;
- «PLC Stop» ;
- ;
- Ethernet / IP CIP;
- BACnet;
- DNP3;
- Master-Slave;
- ( WannaCry, EternalBlue );
- SMB.
Daftar ancaman yang dikendalikan oleh Defender cukup luas. Pada saat yang sama, solusinya bukanlah antivirus atau firewall "standar" yang menangkap segalanya, tetapi solusi IoT. Ini mengimplementasikan baik pemantauan serangan pada firmware, dan pemantauan upaya untuk menangkap kontrol / menonaktifkan perangkat dari luar. Yang terakhir ini sangat penting untuk kamera IP di perusahaan, yang cenderung akan dinonaktifkan oleh penjahat dunia maya daripada mengendalikan diri mereka sendiri.
Tetapi para pengembang tidak membatasi diri pada daftar tanggapan standar. Rupanya, untuk segmen industri, pertama-tama, ditawarkan kesempatan untuk memperluas daftar peringatan untuk pemantauan dalam mode manual, yaitu, administrator akan dapat menentukan titik-titik yang paling rentan dari sirkuitnya dan menarik perhatian sistem kepada mereka.
Lansiran ubahsuaian bekerja dengan cara yang sama seperti lansiran prainstal dan memberi tahu pemilik bahwa telah muncul situasi yang memerlukan perhatiannya. Secara teori, bahkan pemilik rumah tangga pun dapat menggunakan fitur-fitur ini. Misalnya, pemutusan fisik perangkat atau sensor apa pun dapat mengindikasikan keadaan darurat di rumah atau apartemen.
Produk yang dihadirkan oleh Microsoft adalah salah satu dari sedikit paket perangkat lunak dalam beberapa tahun terakhir yang memiliki tujuan ganda dan dapat diterapkan baik di bidang industri maupun untuk individu. Dalam beberapa tahun terakhir, perusahaan semakin fokus pada pengembangan bisnis, meninggalkan segmen konsumen di bawah kendali patch Windows 10 dan beberapa lini perangkat pribadi. Azure, secara umum, dipromosikan secara eksklusif sebagai platform untuk bisnis dengan solusi yang sesuai dengan kebijakan ini.
Masalah botnet IoT sudah cukup akut setidaknya selama lima tahun. Sejak saat produsen mulai menerapkan fungsi pintar, kendali jarak jauh melalui Internet dan sensor lain ke dalam peralatan mereka, dunia telah menghadapi serangan DDoS besar-besaran melalui kamera, lemari es, dan setrika beberapa kali. Salah satu alasan mengapa serangan masif seperti itu menjadi mungkin terletak pada dua masalah global dari bidang budaya keamanan informasi.
Di satu sisi, kami memiliki produsen yang benar-benar tidak teratur yang satu-satunya tujuan kami adalah memperkenalkan fungsi "pintar" ke pembuat kopi lain untuk melipatgandakan biayanya dan meluncurkan perangkat "baru" ke pasar. Pada saat yang sama, solusi dan komponen termurah digunakan. Produsen peralatan rumah tangga umumnya tidak suka mengeluarkan uang untuk daya komputasi, yang jelas dipelajari oleh pembeli TV "pintar" pada awal dan pertengahan 2010-an.
Di sisi lain, perangkat ini, yang memiliki beberapa megabyte memori, firmware sederhana pada tingkat chip dan modul Wi-Fi untuk berkomunikasi dengan ponsel cerdas pemilik melalui jaringan, berakhir di sirkuit rumah yang benar-benar tidak terlindungi. Kita masih hidup di dunia di mana sebagian besar router di rumah pribadi dilengkapi dengan login dan kata sandi pabrik. Meskipun, konfigurasi default perangkat IoT dan IP menjadi masalah tidak hanya untuk individu, tetapi juga untuk organisasi besar.
Kami telah menemukan botnet berdasarkan perangkat IoT. Botnet Mirai sendiri, yang muncul pada tahun 2016, menyerang jutaan perangkat di seluruh dunia, dan kemudian mengambil bagian aktif dalam serangan DDoS besar-besaran. Ngomong-ngomong, masalahnya tidak kemana-mana: botnet dan versi yang diperbarui secara aktif disebutkan hingga 2019, dan pada April 2020 kami menemukan keturunan dari botnet Mirai dan bankir Qbot - botnet Dark Nexus, yang secara besar-besaran menyerang router dan perangkat pintar menggunakan keduanya data pabrik dan ekspolites.
Skema serangan Nexus Gelap
Microsoft Defender bukanlah obat mujarab untuk semua masalah keamanan perangkat pintar dan router di lapangan, tetapi ini adalah salah satu dari sejumlah solusi yang dapat membuat hidup lebih mudah bagi administrator dan pemilik sistem rumah pintar. Seperti yang disebutkan di atas, salah satu keuntungan Azure Defender adalah kurangnya klien dan bekerja seperti firewall. Selain itu, siapa pun dapat mencoba versi awal sistem secara gratis. Anda juga dapat menghubungkan uji coba 30 hari Azure Sentinel dan bekerja dengan bundel penuh layar dan dasbor yang ditawarkan oleh pengembang dari satu produsen.