SolarWinds: Backdoor SUPERNOVA é encontrada na análise do ataque
O Azure Defender for IoT, solução de segurança da Microsoft voltada para dispositivos IoT e equipamentos industriais, teve seu preview público liberado nesta semana.
A solução de segurança (anteriormente chamada de Azure Security Center for IoT) foi anunciada no início deste mês durante a conferência para desenvolvedores da Microsoft, a Microsoft Ignite 2020.
Azure Defender for IoT e OT
Como mencionamos no início, o produto é uma solução de segurança para empresas que gerenciam redes IoT (Internet of Things, ou na tradução, Internet das Coisas) ou OT (Tecnologia Operacional, também conhecida como equipamento industrial).
Dispositivos inteligentes e equipamentos industriais geralmente não possuem recursos para rodar software de segurança dedicado ou seu firmware não permite a instalação de software complementar.
Além disso, sistemas IoT e OT também funcionam em protocolos industriais especializados (Modbus, DNP3, BACnet, etc.), para os quais os o antivírus clássico e software de segurança não foram projetados para inspecionar.
A Azure Defender for IoT é uma solução para empresas que possuem grandes “frotas” de equipamentos IoT/OT e funciona inspecionando passivamente todo o tráfego de rede dentro de uma empresa pra descobrir, inventariar e monitorar dispositivos IoT e OT.
“Você podem implementar estes recursos totalmente no local, sem enviar nenhum dado para o Azure”, disse Phil Neray, Diretor de Estratégia e Segurança de IoT do Azure. “Ou você pode implementá-los em ambientes conectados ao Azure utilizando nosso novo conectar nativo para integrar alertas de IoT/OT no Azure Sentinel, se beneficiando da escalabilidade e benefícios de custos da primeira plataforma nativa de SIEM/SOAR da nuvem do setor”.
Para quaisquer ameaças detectadas em uma rede, o Azure Defender for IoT enviará um alerta para um painel local ou para uma instância do Azure Sentinel, localizada na nuvem.
Os recursos de detecção analisam:
- Dispositivo não autorizado conectado à rede
- Conexão não autorizada com a internet
- Acesso remoto não autorizado
- Operação de scanning de rede detectada
- Programação não autorizada de PLC
- Mudanças nas versões do firmware
- “PLC Stop” e outros comandos potencialmente maliciosos
- O dispositivo é suspeito de estar desconectado
- Falha na solicitação de serviço CIP Ethernet/IP
- Falha na operação BACnet
- Operação DNP3 ilegal
- Erro de autenticação master-escravo
- Malware conhecido detectado (por exemplo, WannaCry, EternalBlue)
- Login SMB não autorizado
A Microsoft informa que o Azure Defender for IoT vem com integração pronta para uso com ferramentas de alertas/SIEM de terceiros, como Splunk, IBM Qradar e ServiceNow.
Ele também funciona com ambientes OT existentes, que estejam utilizando equipamentos de automação dos principais fornecedores, como Rockwell Automation, Schneider Electric, GE, Emerson, Siemens, Honeywell, ABB e Yokogawa.
Neray disse que o Azure Defender for IoT seria gratuito durante o preview público.
Fonte:
https://www.zdnet.com/article/azure-defender-for-iot-enters-public-preview/
