阅读: 5
一、背景
近些年,工业控制领域的安全问题逐渐得到大家的关注,讨论通常围绕着如何保护OT环境。虽然在某些情况下,大多数人会关注OT设备,如可编程逻辑控制器(PLC)、远程终端单元(RTU)或安全仪表系统(SIS),但了解IT和OT基础设施和系统的监控同样重要是至关重要的。由于缺乏对这些环境的可见性,因此几乎不可能知道如何保护整个OT系统。
大多数OT环境的主要关注点是安全可靠地运行进程。正如过去所证明的那样,新技术的引入会直接影响这些系统的安全性和可靠性。例如,扫描软件已被证明会对PLC、SCADA系统和其他设备产生负面影响。在某些情况下,扫描技术导致系统不稳定,导致设备离线,在最坏的情况下,使它们无法操作,这与拒绝服务攻击是同等性质。因此,许多OT操作人员将重点放在系统加固上,以将潜在攻击者排除在系统之外,例如被广泛使用的白名单机制。但大多数操作人员对OT环境本身的可见性有限。如果一个组织想要保护他们的OT环境,关键是操作者不仅要具有系统边界的可见性,而且针对基础设施和OT设备本身也需要具备可见性。
二、上下文资产的必要性
一直以来,安全性和可靠性一直被认为是OT环境的关键考量,而安全性则是后来才考虑到的。此外,传统技术和现代技术的结合,使OT系统在投入生产时的安全性更具挑战性,当时网络安全根本没有被考虑在内。好消息是,随着越来越多工控安全厂商的参与以及相关技术的引入,对于OT系统的监控与安全加固能力已经在许多现实生产环境中实现。与此同时,运营商可以方便地集中监控工控企业的OT环境,从而获得的可见性也十分关键。然而,由于数据的数量和多样性,添加更多的数据可能会存在隐藏风险。为了过滤这些数据,从而提供可操作的建议,可以应用SIEM、SOAR和用户行为分析等技术,但在OT环境中使用这些工具进行事件响应时,访问上下文数据是至关重要的。
通过结合企业安全和OT环境安全监控等方式,OT安全团队现在可以利用资产和系统的上下文数据,以及其他技术和SIEM分析平台。诸如站点、资产所有者、操作状态和资产类型等信息都可以直接影响谁需要参与事件响应,以及可能的响应类型。将告警、漏洞和资产信息集成到平台中,不仅可以帮助安全分析师了解潜在的安全威胁,而且还可以在必要时获取关键的上下文资产信息。
三、关于SOAR
安全编排、自动化和响应(SOAR)是一系列用于保护 IT 系统免受威胁的功能。
SOAR 指的是安全团队所使用的3大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。SOAR一词来自分析机构 Gartner。有些分析机构也用其他术语来描述 SOAR:IDC 将这一概念称为“安全分析、情报、响应和编排”(AIRO)。Forrester 则使用“安全自动化和编排”(SAO)一词来描述同一功能。
SOAR 通常是与企业的安全防护运维中心(SOC)一起协调实施的。SOAR 平台可以监控威胁情报源并触发自动响应以缓解安全威胁。
四、上下文资产数据如何帮助SOAR
安全编排自动化和响应(SOAR)是一组用于自动化部分安全调查过程的技术。之所以经常使用SOAR,是因为SOC团队每天都会收到大量耗时的告警,但这些告警通常是重复的,并且可以自动化。这些日常场景中的重复告警可以通过自动化分析进行适当过滤,使事件响应团队可以专注于需要他们专业知识的关键问题。一些常见的SOAR编排和响应操作可能包括禁用帐户、阻止防火墙端口和隔离资产等。虽然这些操作不太可能在OT环境中自主发生,但还有其他的自动化工具可以帮助减少解决事件的时间。
例如,了解是否在某个资产上检测到新的应用程序或漏洞,可能是了解特定资产事件的临界性和潜在攻击的范围的关键。这些自动验证检查与资产关键度、信息和资产联系信息结合在一起,有助于减少平均解析时间(MTTR),同时有助于保护OT环境的其他部分。
利用事件响应(IR)工作簿有助于定义IR过程和可以利用的可能的自动化(包括何时让一个人参与决策过程)。同时,工作簿可以使事件响应更加一致,并帮助防止事件响应者错过流程中的关键步骤。同样,这种上下文信息可以帮助SOAR平台知道应该执行哪些工作簿和流程,因为对SIEM发出的关键警报的响应可能会根据资产类型、位置和资产所有者而有所不同。
参考链接
- https://www.industrialdefender.com/how-to-overcome-vulnerability-patch-management-challenges-in-ot/
- https://www.industrialdefender.com/how-contextual-asset-data-makes-soar-possible-in-ot/
- https://www.industrialdefender.com/defendersphere-ics-vendors/
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。