Este artigo explica o serviço de Segurança IoT/OT da Cato Networks e como usar o Inventário de Dispositivos no Aplicativo de Gerenciamento Cato (CMA) para descobrir dispositivos na sua rede. Em seguida, você pode monitorar os dispositivos e criar regras de firewall para gerenciar seu controle de acesso.
Segurança IoT/OT é o serviço da Cato que você pode usar para descobrir, monitorar e gerenciar dispositivos conectados à sua rede. O mecanismo de Inventário de Dispositivos analisa o tráfego de saída e entrada do WAN para detectar, identificar e classificar dispositivos conectados. A Cato Cloud identifica automaticamente os dispositivos usando um método passivo de detecção sem configuração especial ou agentes necessários.
O mecanismo de Inventário de Dispositivos usa aprendizado de máquina e IA para identificar cada dispositivo, fornecendo um inventário completo de dispositivos e dados detalhados para cada dispositivo.
Você pode configurar integrações com aplicativos de terceiros para incluir automaticamente os dados coletados na página Inventário de Dispositivos. Para mais informações e uma lista de aplicações suportadas, veja Conectores de Inventário de Dispositivos.
Uma licença separada de Inventário de Dispositivos é necessária para páginas e funcionalidades de Inventário de Dispositivos. Para mais informações sobre a compra de uma licença, entre em contato com seu representante da Cato.
Um administrador de segurança recebe a tarefa de revisar a postura de segurança das salas de reunião no site do escritório da filial de Londres. O administrador vai para a página de Inventário de Dispositivos, filtra por Campo - Tipo de Dispositivo, Operador - Em, Valor - Video Conferencing, e vê todos os dispositivos de videoconferência no site de Londres. O administrador percebe que há dispositivos de videoconferência de vários fabricantes diferentes, e isso não atende à política de segurança organizacional. A equipe de TI já tem uma licença de segurança IoT e cria novas regras nas políticas de firewall de WAN e Internet com configurações de Atributo de Dispositivo que permitem apenas os dois fabricantes aprovados para os dispositivos de videoconferência. Alguns dos dispositivos de videoconferência no local de Londres não funcionarão mais porque são bloqueados pelas políticas de firewall até que possam ser substituídos por novos dispositivos dos fabricantes aprovados.
Durante a reunião semanal da equipe de SecOps, eles usam o Painel de Dispositivos para revisar o número de novos tipos e categorias de dispositivos que se conectaram à rede.
Em seguida, eles revisam os widgets na seção Segurança para rastrear qualquer comportamento anômalo detectado pelos mecanismos de segurança. Quando eles encontram algo suspeito, usam opções para pré-filtrar as páginas relevantes do CMA:
- Ver no Inventário de Dispositivos é usado para acompanhar os detalhes do dispositivo e dados
- Ver Eventos é usado para obter mais dados sobre o tráfego e conexões
A página de Inventário de Dispositivos é continuamente atualizada com novos dispositivos e dados com base no mecanismo de Inventário de Dispositivos. Pode levar até 12 horas para completar o processo de identificação e para que os dados sejam exibidos nas páginas relevantes (como Inventário de Dispositivos e Painel de Dispositivos). O mecanismo categoriza o máximo de dados sobre o dispositivo que pode identificar com confiança. Isso significa que nem todos os campos de dados podem estar disponíveis para um dispositivo específico.
Devido ao fato de que a identificação do dispositivo é baseada em padrões de comportamento do dispositivo, é possível que os dados e campos para um dispositivo específico possam estar incorretos.
Para mais informações, veja Usando a Página de Inventário de Dispositivos.
O Painel de Dispositivos é uma interface centralizada que fornece visibilidade para monitorar dispositivos conectados dentro da sua rede. O painel foca em duas tarefas, Descobrir Agora e Segurança.
A seção Descobrir Agora contém vários widgets que exibem visualmente o número total de dispositivos por uma variedade de critérios, como sistema operacional e fabricante.
A seção Segurança ajuda a identificar riscos potenciais de segurança associados a dispositivos na sua rede. Por exemplo, você pode revisar eventos para dispositivos que foram bloqueados pelo serviço IPS ou pelo firewall da Internet.
Você pode analisar mais detalhadamente selecionando um item no widget e mostrar os dados filtrados na página Inventário de Dispositivos ou Evento.
Para mais informações, veja Usando o Painel de Dispositivos.
Você pode definir políticas de firewall WAN, Internet e LAN que especificam quais tipos de dispositivos são permitidos ou bloqueados de acessar certos recursos de rede.
Use a condição de Atributos do Dispositivo para definir regras para dispositivos que foram detectados na rede pelo mecanismo de Inventário de Dispositivos. Você pode usar os seguintes atributos em uma regra de firewall: Categoria, Tipo, Modelo, SO, Fabricante, Versão do SO.
Para mais informações, veja Adicionando Condições de Dispositivo às Regras de Firewall.
Estes são os atributos que são identificados e gerenciados como parte do Inventário de Dispositivos:
- Tipo
- Fabricante
- Modelo
- SO
- Categoria
- Versão do SO
- Nome do dispositivo
- Endereço MAC
- IP do Dispositivo
Recursos Relacionados
Para mais informações sobre Segurança IoT/OT, veja estas postagens no blog da Cato:
- Aproveitando a Lógica de Endereço MAC para Classificação IoT
- Análise Comportamental Avançada de Dispositivos IoT e OT para Coleta de IoC
Limitações Conhecidas
- Regras de Firewall com configurações de Atributo do Dispositivo são aplicadas apenas para dispositivos cujo Endereço MAC foi detectado. A Cato recomenda como uma melhor prática usar o serviço DHCP da Cato para ajudar a garantir a detecção de endereços MAC.
- Para limitações conhecidas relacionadas a dispositivos que aparecem na página de Dispositivos, veja Usando a Página de Inventário de Dispositivos.
0 comentário
Por favor, entre para comentar.