Egyelőre ingyenesen próbálkozhatnak gyártóipari vállalatok a Microsoft ipari környezetbe szánt védelme, az Azure Defender for IoT preview-jával. A Microsoft már az Ignite-on bejelentette ezt a Security Center for IoT-ból kinőtt védelmi eszközét, ami az Azure előtag ellenére on-premise is használható, hogy ne kelljen adatokat kivinni külső rendszerekbe. Ez utóbbi gyártóipari környezetben, ahol az OT-eszközök (Operation Technology, ami a hálózatba kapcsolt gyártóeszközök összességét takarja) egyre inkább érzékeny adatokkal dolgozó hálózat részei. Ennek a rendszernek a védelme mind gyártásbiztonsági, mind adatbiztonsági szempontból fontos.

Nehéz a gyártóeszközöket megvédeni

Arról már régóta tudunk, hogy az IoT-környezet különösen nagy kihívást jelent az IT-biztonsági cégeknek, ahogy az ipari berendezések védelme is. Ezeknek az eszközöknek ugyanis jellemzően nincsenek olyan erőforrásai, melyeken lehetne futtatni egy dedikált biztonsági alkalmazást, esetleg a firmware-jük nem fér össze más szoftverrel. Jellemzően ezek nem menedzselt eszközök, nem kapnak automatikus biztonsági frissítéseket stb. Emellett olyan speciális ipari protokollokat használnak (Modbus, DNP3, BACnet stb.), melyekre a klasszikus IT-biztonsági szoftvereket nem készítették fel.

Mivel azonban részei az OT-hálózatnak, értelemszerűen jelentős biztonsági kockázatot is jelentenek. Ezekre az eszközökre olyan kicsi a rálátása a biztonsági csapatnak, állítja a Microsoft, hogy nem is tudják pontosan felmérni a kockázatuk nagyságát.

A Defender for IoT-nak viszont pont az a nagy erénye, állítja a Microsoft, hogy felderíti a hálózaton lévő, nem menedzselt IoT- és OT-eszközöket. A felderítés után azonosítja, hogy milyen sérülékenységeik lehetnek. Majd pedig viselkedéselemzési módszerrel kiszűri a gyanús viselkedésmintákat anélkül, hogy a hálózat teljesítményét csökkentené.

A viselkedéselemzés éppen azért vált népszerűvé – egy időben sokan az IT-biztonság csodafegyverét látták benne –, mert elméletileg megoldást hozott volna az üzleti folyamatokat akadályozó biztonsági túlszabályzásra. Párosítva az ún. zero trust modellel (azaz soha senkiben nem szabad megbízni) lényegében rugalmasan lehet bármihez hozzáférést adni, de csak addig, amíg az illetőnek valóban szüksége van rá.

A gépek is profilozhatók

A Defender for IoT egy gépi tanulást használó viselkedéselemző motorra épül. A termékbe beleépítették a nyáron megszerzett, és az IoT-s és ipari környezetek biztonságára szakosodott CyberX viselkedéselemzését is. Segítségével azonosíthatók a hálózathoz illetéktelenül csatlakozó eszközök, a jogosulatlan internetkapcsolatok vagy távoli hozzáférések. Felismeri a hálózatszkennelési műveleteket, az engedély nélküli PLC-programozást, a rosszindulatú parancsokat, kódokat (pl. WannaCry, EternalBlue), valamint a hitelesítési hibákat. Azt is "látja", ha egy firmware verziója megváltozott.

A Microsoft ígérete szerint terméke egyszerűen integrálható third party biztonsági eszközökkel (Splunk, IBM QRadar, ServiceNow stb.), valamint olyan környezetekben is helytáll, ahol több gyártó IoT- és OT-eszközei dolgoznak együtt (Rockwell Automation, Schneider Electric, GE, Emerson, Siemens, Honeywell stb.).

Az Azure Defender for IoT nylivános preview kiadása on-premise formában használható, és igény szerint össze lehet kapcsolni az Azure Sentinellel.