Microsoft brengt Defender for IoT uit die iot-apparaten centraal kan beheren

Microsoft heeft Defender for IoT uitgebracht. Die tool is bedoeld om internet-of-thingsapparaten op enterprisenetwerken te beschermen tegen malware en infiltraties. De tool centraliseert het beheer van iot-apparatuur binnen bedrijfsnetwerken.

Microsoft heeft Defender for IoT voor iedere gebruiker beschikbaar gemaakt, nadat het de tool vorig jaar tijdens zijn Ignite-ontwikkelaarsconferentie als bèta uitbracht. In een blogpost schrijft het bedrijf dat de tool bedoeld is om netwerken binnen bedrijven te beveiligen door specifiek op internet-of-thingsapparaten te letten, zoals VoIP-apparaten, printers en televisies. De tool heeft integratie met Microsoft 365 Defender, zodat systeembeheerders dezelfde bescherming voor iot-apparaten kunnen hebben als dat ze via Defender for Endpoint kunnen regelen.

Beheerders kunnen iot-apparaten indelen in verschillende categorieën, zoals netwerkapparatuur of specifieke apparatuur voor bedrijfsprocessen. In Defender kunnen ze zien met welke andere apparaten die verbonden zijn of welke externe verbindingen die apparaten leggen. Ook is het mogelijk de apparaten vanuit een dashboard tijdelijk uit te schakelen of op andere manieren te beheren, of om patches uit te rollen voor de apparaten.

De tool heeft ook mogelijkheden om onbekende apparatuur op te sporen door netwerkverkeer te analyseren. Defender for IoT wordt geïntegreerd in Microsofts Security Information and Event Management-tool Sentinel. De software van de tool is voor een groot deel gebaseerd op die van CyberX, een securitybedrijf dat Microsoft in 2020 overnam.

Reacties (26)

CAPSLOCK2000

Beveiliging en antivirus

12 juli 2022 16:42

Ook is het mogelijk de apparaten vanuit een dashboard tijdelijk uit te schakelen of op andere manieren te beheren, of om patches uit te rollen voor de apparaten.

Het klinkt geweldig maar vereist wel wat uitleg, met name over welke apparaten er beheerd kunnen worden en via welke protocollen. Ik neem aan dat ze met IoT verder kijken dan alleen Windows-apparaten.

Ik stoor me wel weer aan de typische Microsoft manier waarop met namen en features wordt omgesprongen. Als er eenmaal een succesvol product is dan wordt diezelfde naam op zoveel mogelijk andere dingen geplakt, in dit geval "Defender". Als die software zeer vergelijkbaar is dan is dat redelijk maar door featurecreep loopt het allemaal snel uit elkaar en wordt steeds vager waar zo'n naam nu eigenlijk voor staat.

Het patchen van systemen vind ik geen taak voor Defender. Het is heel belangrijk hoor, daar niet van, maar het voelt alsof "Defender" in dit geval wordt gebruikt als algemene beheertool. Het werkt misschien prima maar het is wel heel verwarrend. De meeste mensen lijken er namelijk van uit te gaan dat één Defender is dat overal ongeveer hetzelfde werkt.

De tool heeft ook mogelijkheden om onbekende apparatuur op te sporen door netwerkverkeer te analyseren. Defender for IoT wordt geïntegreerd in Microsofts Security Information and Event Management-tool Sentinel.

Dat doen meer versies van Defender. Ik vind het eigenlijk niet kunnen. Zonder iets te vragen heb je opeens een netwerkscanner in huis die je netwerk gaat doorzoeken en analyseren en die doorstuurt naar de Cloud. Ik vind het nogal wat. Voor de duidelijkheid, ik heb niks tegen netwerkscanners zolang je die zelf, willens en wetens, inzet op je eigen netwerk. Het gaat er om dat de meeste mensen daar niet zelf bewust voor kiezen.

Let er dus op de volgende keer dat je een laptop van je werk mee naar huis neemt. Het zou zomaar kunnen dat die laptop je lokale netwerk gaat scannen. Beetje lullig als je NAS dan "DirecteurJansenStinkt" heet, of de iPhone van de partner van je collega opeens in jouw thuisnetwerk blijkt te zitten...

Voor de volledigheid moet ik er bij zeggen dat er een mogelijkheid is om thuisnetwerken uit te zonderen maar dan moet je ze wel met de hand aangeven. Met een paar duizend gebruikers gaat dat niet. Er is ook een automatisch systeem maar dat werkt niet (goed genoeg) want wij zien bergen apparaten bij mensen thuis.

Ik vrees dat wij moeten gaan bespreken of dit een overtreding van de GDPR is en wiens overtreding dan. Wij hebben niet gevraagd om die data te verzamelen en in de cloud te verwerken maar het zijn uiteindelijk wel onze apparaten die het doen en de data komt in onze omgeving terecht.

OkselFris @CAPSLOCK2000 • 12 juli 2022 21:38

Dat doen meer versies van Defender. Ik vind het eigenlijk niet kunnen. Zonder iets te vragen heb je opeens een netwerkscanner in huis die je netwerk gaat doorzoeken en analyseren en die doorstuurt naar de Cloud. Ik vind het nogal wat. Voor de duidelijkheid, ik heb niks tegen netwerkscanners zolang je die zelf, willens en wetens, inzet op je eigen netwerk. Het gaat er om dat de meeste mensen daar niet zelf bewust voor kiezen.

Let er dus op de volgende keer dat je een laptop van je werk mee naar huis neemt. Het zou zomaar kunnen dat die laptop je lokale netwerk gaat scannen. Beetje lullig als je NAS dan "DirecteurJansenStinkt" heet, of de iPhone van de partner van je collega opeens in jouw thuisnetwerk blijkt te zitten...

Gelukkig werkt het zo niet en herkent Defender gewoon automatisch je corporate netwerk en sluit hij thuis netwerken uit. We hebben dit al geruime tijd zo draaien en heb nog nooit een persoonlijk netwerk of devices voorbij zien komen.

CAPSLOCK2000

Beveiliging en antivirus

@OkselFris • 13 juli 2022 13:44

Gelukkig werkt het zo niet en herkent Defender gewoon automatisch je corporate netwerk en sluit hij thuis netwerken uit. We hebben dit al geruime tijd zo draaien en heb nog nooit een persoonlijk netwerk of devices voorbij zien komen.

Fijn dat het voor jullie werkt, voor ons dus niet.

OkselFris @CAPSLOCK2000 • 13 juli 2022 20:42

Normaal herkent hij dit prima, en mocht er dan toch iets fout gaan dan kan je dit als beheerder gewoon zelf nakijken en aangeven wat je corporate netwerk is, Defender for Endpoint zal dit respecteren.

CAPSLOCK2000

Beveiliging en antivirus

@OkselFris • 14 juli 2022 09:45

Misschien dat het bij jullie prima werkt maar eigenlijk doet het er niet doet, dat is het punt niet.
Het punt is dat deze actieve scan is aangezet zonder iets te vragen. Je moet zelf op het idee komen dat deze data feature bestaat. Ja, het staat in de release notes, maar je mag er niet van uitgaan dat iedereen alle release notes leest, daar zijn het er veel te veel voor. Onze juristen lezen de release notes van MS zeker niet en dat kun je ook niet van ze verwachten.

Ja, we kunnen het per netwerk aangeven, maar bij ons soort organisatie komen er dagelijks netwerken bij (en gaan er weer weg). Als de automatische procedure niet werkt dan moeten we het uitzetten. Wij hebben geen toestemming van onze gebruikers om hun thuisnetwerk te scannen. Ook niet 1 keer of per ongeluk. persoonsgegevens verzamelen zoder toestemming mag niet.

Doordat deze feature automatisch is ingeschakeld hebben wij de wet gebroken. Dát is het echte probleem.

OkselFris @CAPSLOCK2000 • 14 juli 2022 14:17

Deze feature is helemaal niet automatisch ingeschakeld. Je moet dit echt specifiek inschakelen in de Defender for Endpoint console en daarbij aangeven welk type scan en welke devices zich als een scan engine moeten gedragen, hierbij kan je ook zelf een scope maken en bepaalde devices uitzonderen. Daarnaast kan je nog specifieke systemen aanwijzen (servers) welke een authenticated scan uitvoeren.
Het uitbreiden van netwerken is normaal geen probleem als er enige vorm van standaardisatie is.

Wij hebben gewoon alle workstations in scope. 150 locaties rond de wereld, 12000 computer gebruikers waarbij tegenwoordig velen gewoon vanuit thuis werken. Draait verrassend goed en geeft veel complete informatie over het corporate netwerk.

[Reactie gewijzigd door OkselFris op 22 juli 2024 18:21]

CAPSLOCK2000

Beveiliging en antivirus

@OkselFris • 14 juli 2022 14:30

Deze feature is helemaal niet automatisch ingeschakeld. Je moet dit echt specifiek inschakelen in de Defender for Endpoint console en daarbij aangeven welk type scan en welke devices zich als een scan engine moeten gedragen, hierbij kan je ook zelf een scope maken en bepaalde devices uitzonderen. Daarnaast kan je nog specifieke systemen aanwijzen (servers) welke een authenticated scan uitvoeren.
Het uitbreiden van netwerken is normaal geen probleem als er enige vorm van standaardisatie is.

Zo was het vroeger, tegenwoordig staat het by default aan.

OkselFris @CAPSLOCK2000 • 14 juli 2022 21:39

Heb jij het over Defender for Endpoint (voorheen ATP) of en ander Defender product. want dit is echt een apart onderdeel in Defender for Endpoint en moet je gewoon configureren en kan je aan of uit zetten.

m_snel @CAPSLOCK2000 • 12 juli 2022 20:49

Als je dat als techneut toelaat ben je natuurlijk niet echt goed bezig.
En waarom zou je met je werk device , toegang nemen tot je privé.
De bedrijven die ik ken , bouwen gewoon een tunnel op, en kunnen nooit bij lokale netwerken.

sprankel @CAPSLOCK2000 • 13 juli 2022 01:42

Defender zal geen patches uitrollen, dat moet misbegrepen zijn, dit soort oplossingen gaat wel toestellen oplijsten, zoveel mogelijk informatie eruit halen en dan vermelden welke gekende vulnerability's het heeft. Immers om daadwerkelijk een patch uit te rollen, veel industriele IoT devices updaten is vergelijkbaar met een bios/uefi flashen, low level, volledig de eeprom wissen, nieuwe software inladen om vervolgens je config terug te moeten plaatsen. Een config die mogelijks niet meer compatibel is.

IT slaagt er nog niet in de bios/uefi deftig centraal gestuurd up te daten zonder veel gezever, in OT is het nog erger. Dat Defender het dan even centraal kan doen, dat moet iets verkeerd begrepen zijn.

Dit soort tools (Cisco en Siemens hebben iets vergelijkbaar) werken door op netwerkniveau het netwerk & devices in kaart te brengen en een base line te maken. Ik vermoed dat Defender zich beperkt op wie praat met wie maar sommige van die tools zijn in staat een onderscheid te maken tussen IsoOnTCP initalisatie, read en write commands op het netwerk.

Het voordeel van een Industriëel IoT netwerk is dat ze extreem statisch zijn. Niemand gaat offline, geen floating devices, geen buitenconnecties. Als PLC X plots een dns request stuurt voor een webadres, als die nog maar een pakketje naar een internet routeerbaar adres wilt sturen is dat een rode vlag want dat is iets wat die normaal nooit doen. Plots een nieuw toestel op het netwerk? Rode vlag, er word niet zomaar iets bijgestoken op een industrieel netwerk. PLC 5 praat plots met PLC 9 terwijl die nog nooit gepraat hebben met elkaar in het verleden? PLC's zijn realtime toestellen, ofwel praten die continu realtime met elkaar ofwel praten die nooit met elkaar => rode vlag.

Zelfde verhaal trouwens voor een slimme thermostaat op een gewoon netwerk, dat geeft continu hetzelfde statische verkeer.

Dat extreem statisch gegeven van dat soort netwerken maakt het vrij eenvoudig om ongewenste zaken te detecteren, je zoekt gewoon naar alles wat plots begint af te wijken

Echter dan zou ik eerder voor een oplossing van Cisco kijken, die kan actief ingrijpen door een endpoint automatisch te isoleren van het netwerk waarbij men zeker in het IoT verhaal ook zonder agent werkt. Dat vereist uiteraard wel Cisco (al dan niet industriële) switchen.

Mash_nl @CAPSLOCK2000 • 13 juli 2022 08:10

Hoezo is dit verwarrend? Wanneer je een auto wilt aanschaffen dan heb je ook een basisplatform met een bepaald type aanduiding (bijv. Volvo V40) en vervolgens verschillende uitvoeringsversies.Het vergt inderdaad even wat inspanning om het volledig te doorgronden maar daar lijkt mij weinig mis mee eerlijk gezegd

Het is m.i. juist enorm goed dat er één type EDR is dat in staat is met verschillende type end-points om te gaan. Hierdoor kun je een single pane of glass creëren en ben je dus daadwerkelijk in staat om je hele netwerk en end-points te monitoren, in plaats van allerlei point solutions neer te moeten zetten waarvan dan juist weer niet duidelijk is of ze wel of niet kunnen integreren met bepaalde monitoring tooling, en features nodeloos gaan overlappen (en dus 2x keer betaald moeten worden).

Voor het thuisnetwerk zijn prima oplossingen geïntegreerd en vormt geen issue. Andersom geredeneerd zou ik het persoonlijk wel interessant vinden om als 'thuisgebruiker' ook gebruik te kunnen maken van een dergelijk platform voor het beveiligen/monitoren van alle smart devices (tv, tuner, thermostaat etc.) thuis. Dat is nu eigenlijk niet te doen en ben je eigenlijk genoodzaakt om vlan's te creëren wat dan weer niet altijd even praktisch is...

Falcon10 12 juli 2022 16:31

Ik vind het goed dat dit soort ontwikkelingen gebeuren voor IoT en OT apparatuur die nu toch nog steeds een groot risico vormen omdat ze dikwijls verouderd zijn. Updates krijgen die dingen meestal nauwelijks, enkel bij vervanging van het volledige toestel. Wat in OT omgevingen logisch is aangezien duur ( meestal dan een ganse productielijn ofzo die vervangen wordt ). Het is niet makkelijk om dit soort systemen van updates te voorzien mede door het "productie gaat voor", terwijl altijd ook door management gezegd wordt dat veiligheid voor gaat.

Wat me dan weer ogen doet trekken is, is dat Microsoft Sentinel een cloud ( azure ) based systeem is.
Dus je gaat weer even gewoon een directe link leggen tussen OT level 3 en lager systemen en een cloud based platform

Hebben ze nu niets geleerd van oa Solarwinds hack ?
Dit soort systemen hoort onpremise te draaien, en liefst in een aparte DMZ, gelegen tussen de "normale" level 4 systemen en de OT systemen die vanaf level 3 en lager te vinden zijn.

Frame164 @Falcon10 • 12 juli 2022 17:01

Theoretisch: ja. In de praktijk zal een cloudbased oplossing voor de meeste gebruikers veiliger zijn. Een onprem oplossing vereist een redelijk hoog geschoold it team en dat is niet voor alle bedrijven mogelijk. Dan is een cloud oplossing oneindig veel veiliger dan zelf gaan rommelen.

i-chat @Frame164 • 12 juli 2022 19:47

Óf je kiest voor best of both worlds en bouwt een iot-netwerk met een iot-gatewayrouter-firewall-apliance die op zijn beurt dus al jouw iot devices van de nodige internetverbinding voorziet met dat verschil dat je van een MS mag verwachten dat een semi-manageged firwall-apliance goed in elkaar zit goed integreert met Defender en andere MS producten

ReZpie 12 juli 2022 16:16

Ik ben blij dat dit product is ontwikkeld, onze afdeling heeft te weinig kennis en er zijn te veel sites in het buitenland die nog steeds hun eigen feestje vieren al dan niet onafgesproken.
Ipcameras, printers,switches etc.
Hierdoor worden ook zaken weer zichtbaar en beheerbaar.
Ook ben ik tot nu toe tevreden met defender product van Microsoft.

KatirZan 12 juli 2022 16:19

En hoe werkt dit anders dan Wireshark?

Ik zie niet echt in waarom dit een meerwaarde zou zijn voor een (enterprise)netwerk welke vaak dergelijke "sniffers" al hebben lopen.
Het zou dan slechts om een deel automatisering zijn, wat ook met filtering goed mogelijk is. De vraag is of je dan ook automatisch bepaalde firewall regels kan laten aanmaken door de software (soort IFTTT).

cyclone @KatirZan • 12 juli 2022 16:27

En hoe werkt dit anders dan Wireshark?

Euhm als je even de BLOG post doorneemt (link in het artikel) kun je met een huidige deployment van Defender op je endpoints snel een goede inventarisatie maken. Hierbij doe ik een aanname dat je IOT devices in segmenten aanwezig zijn waartoe de Defender Endpoints ook toegang tot hebben.
Deze functionaliteit ken ik niet uit WireShark

Vervolgens maak je gebruik van analyse en machine learning vanuit Defender om zo verkeer in kaart te brengen en te identificeren als gewenst / ongewenst.

Kan jij dat met wireshark ? Denk het wel, maar kun jij dit voor heel je netwerk met Wireshark ... mmm wellicht wel maar dat heeft dan wel serieus voeten in aarde en met name al het verkeer ook goed analyseren lijkt me alleen met een tool als Wireshark lastig.

Wireshark heb ik ook in mijn toolbox zitten om incidenten uit te pluizen niet ter monitoring van mijn complete infra. Dus ik vind het interessant, al kan ik nog maar weinig info vinden over hoe een en ander uitgerold wordt / in welke vorm je hier probes oid voor in kunt zetten.
De links in het Microsoft blog werken namelijk helaas niet.

i-chat @cyclone • 12 juli 2022 23:57

Je punten zijn valid

Maar een packet/network sniffer is en blijft wat het is? Doortdat het geen gateway/firewall implementatie is kun je uiteindelijk nog steeds alleen maar reactief te werk gaan. Tewijl iedereen wel weel dat je (bijvoorbeeld centrifuges in kerncentrales) niet aan het intereebz moet hangen😂

Eigenlijk wil je hier al het verkeer blokkeren tenzij het door een beheerder is gewhitelist
Daar heb je dan hele andere tools voor nodig juist voor devices waarvan we allemaal weten dat ze zelden worden gepatcht of waarvan de inzetbaarheid veel langer is dan de supportlifecycle

sprankel @i-chat • 13 juli 2022 01:18

Als je met centrifuges verwijst naar Stuxnet waarbij de Siemens PLC controllers hun logic aangepast werd waarbij het niet om een kerncentrale ging maar om een raffinaderij om uranium te verrijken boven 80%, die dingen hingen niet aan het internet.

Die aanval was opgezet door toeleveranciers te besmetten via ofwel USB sticks ofwel door de OT hardware al te besmetten nog voor ze geïnstalleerd werd. Immers ga je niet even nieuwe OT hardware installeren en dan eens kijken wat voor config je er in stopt, dat is op voorhand reeds gedaan en moet een FAT (factory acceptance test) doorlopen wat vaak bij een toeleverancier gebeurd. Tenzij je het over wat camera's of printers hebt maar dat word niet echt aanzien als echte OT toepassingen, meer iets vlees noch vis.

dôh @KatirZan • 12 juli 2022 16:30

De uitdaging die veel bedrijven hebben is het consolideren van al die informatie, om hier vervolgens gerichte acties aan te koppelen. Het kan inderdaad zo zijn dat Defender for IOT apparaten kan ontdekken, zoals je dat met WireShark zou kunnen doen. Echter de integratie met Defender en het proces wat je er daardoor gemakkelijk omheen kunt bouwen is krachtig.

Werkende in het leiderschapsteam van een security consulting partij, weet ik dat veel van onze klanten hiermee worstelen. In de, pakweg, afgelopen 10 jaar hebben veel bedrijven allerlei tools aangeschaft om aan de verschillende behoeften te voldoen. Het punt waar bedrijven nu op uitkomen is hoe je dit allemaal gaat orchestreren. Door allerlei verschillende tools te hebben, zonder een centraal overzicht te hebben is het erg lastig om je security postuur te monitoren en te verbeteren. Een partij als Microsoft heeft dit goed begrepen en speelt hier slim op in door verschillende tools op te kopen en te integreren in hun Azure platform om juist dat te bieden.

Natuurlijk is het probleem hiermee nog steeds niet verholpen, want de juiste governance structuur, het proces etc. moet nog steeds opgezet worden, maar de technische middelen die dit ondersteunen worden op deze manier wel beter.

Bergen @KatirZan • 12 juli 2022 17:03

Een sniffer luistert maar op 1 punt, terwijl enterprisenetwerken vaak meerdere kantoren hebben, in meerdere steden, met tientallen of honderden subnets, verbonden via een heleboel routers en managed switches... Wireshark gaat je op geen enkele manier helpen om dat allemaal in kaart te brengen.

Je hebt een tool nodig waarin je een mooi overzicht hebt van alle apparatuur, op alle lokaties/kantoren/afdelingen, wat voor apparatuur is het, welke software draait erop, met welke patches, etc.

m_snel @KatirZan • 12 juli 2022 20:46

Ik ken dat allen voor handmatig uitzoeken, wist niet dat daar een logica achter zat.
Maar ja al paar jaar niet gebruikt

andru123 @KatirZan • 13 juli 2022 02:39

Dat ben ik niet mee eens.
Nadat Windows Security essentials (defender) gratis uitkwam, maakte het alle andere anti-virussen feitelijk overbodig.
Over tijd, gaat het ook al die (vrij te dure) enterprise netwerk pakketen vervangen.

loewie1984 @KatirZan • 12 juli 2022 16:26

Omdat dit dit meer is dan een sniffer, staat letterlijk in de tekst:

Beheerders kunnen iot-apparaten indelen in verschillende categorieën, zoals netwerkapparatuur of specifieke apparatuur voor bedrijfsprocessen. In Defender kunnen ze zien met welke andere apparaten die verbonden zijn of welke externe verbindingen die apparaten leggen. Ook is het mogelijk de apparaten vanuit een dashboard tijdelijk uit te schakelen of op andere manieren te beheren, of om patches uit te rollen voor de apparaten

Ik ben niet bekend met deze functionaliteiten in Wireshark
En volgens moet je bij Wireshark zelf een bron en doel locatie of subnet opgeven. Deze dienst leest uit het apparaat uit waar het apparaat verbindingen naar toe heeft lopen.

[Reactie gewijzigd door loewie1984 op 22 juli 2024 18:21]

KatirZan @loewie1984 • 12 juli 2022 17:29

Wireshark heeft meer manuele voet in aarde en voor de lezers : ik heb de paper niet gelezen, slechts de highlights.

Toch lijkt het mij nog steeds het zoveelste stukje software die niet direct een vervanging is van de al huidge bestaande, slechts een aanvulling op.

Uiteraard, er bestaat voor zover ik weet nog niet iets vergelijkbaars en dit zal in enterprises zeker een heleboel tijdwinst opleveren. Laat het niet dat daar vaak de beveiliging wel al op orde is en juist de mid/low range dit niet/nauwelijks voor elkaar heeft. Mijn advies blijft dan ook; hou IoT uit je directe kwetsbare systemen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (26)

Sorteer op:

Weergave: