Capacidade 5. Fornecendo monitoramento de segurança e resposta a incidentes - AWS Orientação prescritiva
LógicaConsiderações sobre segurançaRemediações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Capacidade 5. Fornecendo monitoramento de segurança e resposta a incidentes

Esse recurso oferece suporte às melhores práticas 9 e 10 das melhores práticas da AWS SRA para IoT.

A capacidade 5 se concentra na implementação de mecanismos abrangentes de monitoramento de segurança e resposta a incidentes em ambientes de IIo IoT, T, OT, edge e nuvem. Esse recurso engloba a implantação de mecanismos de registro e monitoramento, o gerenciamento centralizado de alertas de segurança e a criação de manuais de resposta a incidentes e planos de continuidade de negócios personalizados para os desafios exclusivos das arquiteturas híbridas de OT e TI.

Lógica

A integração das tecnologias OT, IIo IoT e T com sistemas tradicionais de TI e serviços em nuvem introduz novos vetores de ataque e expande a superfície geral de ataques cibernéticos. Os eventos de segurança podem se originar em ambientes de OT e se propagar para sistemas de TI, ou podem se originar em sistemas de TI e se propagar para ambientes de OT. Isso torna fundamental implementar um monitoramento de segurança abrangente em toda a superfície de ataque. A implementação desse recurso permite que as organizações:

  • Estabeleça uma visão unificada da segurança em ambientes de IIo OT, IoT, T, edge e nuvem.

  • Detecte e responda às anomalias e ameaças de segurança em tempo real.

  • Mantenha a continuidade operacional em face de incidentes cibernéticos.

  • Melhore a resiliência geral da segurança cibernética e reduza o impacto potencial das violações de segurança.

Além disso, o desenvolvimento de manuais de resposta a incidentes e planos de continuidade de negócios que são especificamente personalizados para cargas de trabalho de IIo OT e T conectadas à nuvem garante que as organizações possam gerenciar e se recuperar de incidentes de segurança com eficácia. Essa abordagem proativa minimiza o tempo de inatividade, ajuda a proteger contra perdas financeiras e protege a reputação de uma organização no caso de uma violação de segurança ou interrupção operacional.

Considerações sobre segurança

A principal consideração abordada por esse recurso é o risco de atraso na detecção de incidentes de segurança devido ao monitoramento em silos dos ambientes de OT e TI. Isso pode ser agravado pela incapacidade de correlacionar eventos de segurança entre essas diversas pilhas de tecnologia. Essa fragmentação geralmente resulta em visibilidade insuficiente do tráfego e das anomalias da rede industrial e deixa os sistemas críticos expostos a eventos não detectados. Além disso, a natureza interconectada dos sistemas industriais modernos cria o potencial de falhas em cascata, em que um evento de segurança em uma área pode se propagar rapidamente pelos sistemas de OT e TI interconectados e pode ampliar o impacto de um incidente.

Outra preocupação significativa é a incompatibilidade dos procedimentos tradicionais de resposta ao lidar com incidentes de OT/IT segurança híbrida, que exigem conhecimento especializado e ação coordenada em vários domínios. Isso é particularmente importante, dada a crescente ameaça de eventos ciberfísicos que têm como alvo os processos industriais. Além disso, a natureza única dos sistemas IIo OT e T interconectados geralmente significa que os mecanismos de recuperação após um incidente de segurança podem ser insuficientes e potencialmente levar a períodos de inatividade prolongados e interrupções operacionais.

A ilustração a seguir mostra uma arquitetura unificada de Controles Organizacionais e de Sistema (SOC) para sistemas de TI e OT.

Arquitetura IT/OT SOC unificada

Remediações

Registro e monitoramento de segurança

Use os serviços centralizados do AWS Security Hub CSPM e do Amazon Security Lake para capturar e lidar com eventos relevantes para IIo IoT, TI e soluções de OT conectadas à nuvem em combinação com o resto da sua organização. AWS Use preocupações, responsabilidades, conjuntos de permissões do IAM e atribuições de centros de identidade separados para identificar as equipes que podem alterar as configurações das Contas da AWS que são dedicadas aos recursos de contas de IIo OT, T e isolamento industrial. Todos os eventos de segurança podem ser enviados ao Security Hub CSPM para obter uma visão centralizada das descobertas de segurança em seus ambientes de OT, IIo IoT, T, edge e nuvem. Revise as recomendações de registro e monitoramento na seção da conta Log Archive do AWS SRA.

Implemente um SOC unificado integrando dados de segurança de TI e OT no Security Lake, que pode fornecer ampla visibilidade em todos os ambientes de TI e OT e permitir a detecção coordenada de ameaças, uma resposta mais rápida a incidentes e o compartilhamento imediato de indicadores de comprometimento (IoCs) entre ambientes. Isso permite uma melhor compreensão dos caminhos e origens das ameaças em ambientes de IIo OT, IoT, T, edge e nuvem. A seção Soluções SaaS de IIo IoT, T e OT para parceiros mostra como as soluções de monitoramento de segurança de IIo OT e T de provedores AWS Partner Network (APN) e outros podem ser usadas para complementar os serviços de segurança de ponta e nuvem de IoT fornecidos pela. AWS

Resposta a incidentes

Comece identificando possíveis cenários de incidentes específicos para sua implantação, como comprometimento de dispositivos de IoT ou gateway de borda, violações de dados operacionais ou interrupções nos processos industriais. Para cada cenário, crie procedimentos de resposta detalhados (playbooks) que descrevam as etapas de detecção, contenção, erradicação e recuperação. Esses manuais devem definir claramente as funções e responsabilidades, os protocolos de comunicação e os procedimentos de escalonamento. Teste esses manuais usando exercícios de mesa. Esses exercícios testam os procedimentos e educam as equipes que terão que implementá-los sob a pressão de um incidente real em andamento.

Implemente verificações de saúde e sistemas de monitoramento contínuos para detectar anomalias antes que elas se transformem em incidentes graves. Automatize as ações de resposta inicial sempre que possível para conter eventos rapidamente e retornar os sistemas a um bom estado conhecido. À medida que seu ambiente de IoT amadurece, revise e atualize regularmente esses manuais para lidar com novas ameaças e incorporar as lições aprendidas em incidentes ou simulações anteriores.

Para continuidade de negócios e recuperação de desastres, defina parâmetros claros para o comportamento do sistema durante falhas ou interrupções. Determine se os sistemas devem falhar ao abrir ou fechar, se a recuperação deve ser automática ou exigir intervenção humana e as condições sob as quais os controles manuais devem ser ativados ou desativados. Essas decisões devem ser baseadas na criticidade dos sistemas e no impacto potencial na segurança, nas operações e no meio ambiente. Teste seus planos de continuidade e recuperação para garantir que eles funcionem conforme o esperado em vários cenários.