工控系統還在使用XP 購買ICS工具之前需要了解的6個問題
大多數工廠和公用事業公司運行的工業控制系統 (ICS) 設備從未打算連入互聯網,其原始部署可能可以追溯到 20 世紀 70 年代或 80 年代。對于它們而言,運行的更現代化一點的系統——你猜的沒錯,就是 Windows XP!
設計不安全且僅限本地訪問的這些控制系統雖然能夠提供更高的效率,但也帶來了潛在的災難性風險。像 NotPetya 這樣的勒索軟件就曾于 2017 年為全球經濟造成了數億美元的損失,引發了全球制造業的恐慌。安全專家表示,NotPetya 極有可能會蔓延到商業和工業網絡中,而且作為一種副作用,該惡意軟件可能會跨越這些邊界并造成損害。面對這種日益嚴峻的網絡形勢,除非你徹底將工廠和公用設施從互聯網上撤下重回石器時代,否則就必須加快運營技術 (OT) 環境的安全性。
這可能意味著你需要獲取 ICS/OT 監控工具的幫助。這時候你將面臨 “商業” 和 “開源” 工具兩種選項。不過無論是選擇哪一種,你都需要在評估過程之前和期間慎重地思考下述幾個問題:
1. 該ICS監控工具是否能夠提供您所需的功能?
頂級的 ICS 監控供應商 Indegy、CyberX、Nozomi Networks 以及 Claroty 都會提供不同程度的資產發現、網絡監控功能和 SOC 集成產品。他們更少關注任何給定的垂直方向,而更多地關注分析專業的——通常是古老的協議(如 modbus)以及識別特殊類型的設備(如可編程邏輯控制器 PLC)。工業控制系統網絡流量看起來與典型的企業 IT 網絡流量非常不同,而且其監控機器到機器的通信方式也是獨特的。
例如,所有供應商都提供資產發現功能;畢竟你無法捍衛自己看不到的東西。但關于自己究竟擁有哪些資產的問題,是大多數組織都難以回答的。他們可能知道 15-20 年前工廠首次建成時安裝了什么設備,但是經歷這些年網絡環境發生了怎樣的變化?我還擁有哪些設備?這些設備之間如何進行交互?都是組織難以回答的問題。
持續的威脅監控也是您可以從供應商處獲得的基本功能。識別可疑流量,連接到 OT 網絡的未授權設備,以及使用機器學習來標記異常活動是必備的功能。除此之外,SOC 集成也正在迅速發展成為所有供應商提供或即將提供的另一個必備的基礎功能。
購買 ICS 監控解決方案時需要考慮的一個區別因素是,該供應商解決方案標記了多少誤報或低優先級的事件。因為您的 SOC 可能沒有足夠的資源來運行每一個事件,而且在大多數情況下可能會選擇忽略較低優先級的問題,以確保全天候 (7X24) 的正常運行時間。大量的誤報或低優先級事件不僅會消耗有限的員工資源,還有可能導致員工忽略真正會引發嚴重威脅的事件。
與其他 ICS 工具供應商不同,Dragos 專注于入侵檢測及其背后的溯因。近期,該公司還免費釋放了兩款免費的工業控制系統 (ICS) 資產發現工具——Cyberlens 和 Integrity。這兩款工具功能強大,可提供工業資產識別、ICS 網絡及數據流虛擬化,以及對 ModbusTCP、DNP3、EthernetIP、BacNet 和 OPC UA 等ICS產品的基本深度包檢測功能。
市政公用事業部門注意到:Dragos 與其他競爭對手不同的一點是,它為資源貧乏的自來水廠和電力公司提供免費/廉價的社區工具。大多數其他供應商都專注于從全球財富 2000 強的大企業獲取合同——當然 Dragos 也不例外——但是為了幫助一些資源有限的組織保護其關鍵基礎設施安全,Dragos 還提供了一些價格低廉但同樣能夠執行公共服務的替代方案。因為 Dragos 認為,大多數企業級軟件對小公司和市民而言太過昂貴,即便是基礎版也負擔不起,通過發布免費/廉價的工具可以為這部分用戶提供安全、持續的被動 ICS 網絡及資產發現功能。
2. ICS工具供應商是否提供免費試用服務?
究竟 Dragos 或任何其他解決方案是否適合您的企業,還需要進行一些其他的評估分析。在此之前,不能輕易地得出究竟哪個供應商適合您的工廠或公用事業公司。
這里就要思考這樣一個問題 “什么才是買家的商業需求?” 要知道,根本不存在什么 “最好的工具”,如今,各種工具正在迅速發展并互相競爭革新。
由于每個 ICS 部署都不同,因此沒有單一固定的解決方案,對于企業 ICS 監控需求也沒有一個通用的答案。因此,在購買解決方案之前,一定要考慮該供應商是否提供免費安裝試用的服務,因為這是判斷您所購買的解決方案是否真的適合您的企業的唯一方法。
3. ICS工具與SIEM和SOC的匹配程度如何?
安全管理人員還希望其供應商的解決方案能夠與其現有的安全信息和事件管理 (SIEM) 系統進行交互,并且可以從一個儀表板中同時了解 IT 和 OT 的情況。這些只是工廠和公用事業公司在評估其選擇時應該考慮的一些關鍵問題。
4. 開源的ICS監控工具是一種選擇嗎?
此時你可能會問自己,為什么不動手搭建屬于自己的監控工具呢?確實,大型企業有條件構建與使用開源選項的商業供應商相同的內部功能。他們可以利用的有安全洋蔥 (Onion)、ELK 堆棧,Suricata 甚至一些開源 Snort 規則。
但是,為許多企業用戶提供咨詢服務的 Caldwel 公司卻反對這種做法。在它看來,企業自己搭建安全工具的行為不僅存在實踐難度,而且造價非常高昂。
通過巨大的努力以及企業內部的深層安全人才,企業確實有能力復制其中一個 ICS 安全供應商的產品,但是嚴重的安全人才短缺意味著獲取和保留這些人才可能十分困難,尤其是當風險投資 (VC) 資助的初創企業都在用高價 “挖墻腳” 的時候,這種人才更是成為了可遇不可求的稀缺資源。
除此之外,雖然,開源工具能支持有限的資產發現和網絡監控功能,且自動具備可以集成到 SOC 中的開放 API,但是,尖端功能的開發仍然遠遠落后于商業產品。
5. 在購買ICS監控工具之前,我能做些什么?
購買某個供應商的 ICS 監控工具,并不意味著您就應該將 “通往企業的鑰匙” 交給該商業供應商。推卸責任并不是可取的安全策略,事實上,企業可以執行很多安全基礎——也稱之為盡職調查或安全衛生,以保護其 IT 和 OT 系統安全,并確保其與 ICS 監控系統的成功集成。安全專家表示,現有系統的實施和配置同樣可以對這些系統的安全性產生重大影響,而不是單純地依靠這些高昂的工具。
除此之外,IT 安全人員和 ICS 工程師之間更深入地合作也可以產生效益。通過讓他們角色互換幾周或幾個月可以促進他們彼此對 IT/OT 文化鴻溝有個更好的理解。
6. ICS監控工具未來幾年的發展形勢如何?
最近幾年我們可以看到,大量的風險投資資金開始投入到 ICS/OT 監控解決方案中,少數幾家公司已經成為這一關鍵利基領域的積極參與者。他們中的許多都提供一些類似的產品的服務,所以未來幾年,一定程度的市場整合可能是不可避免地——所以,如果您的供應商被收購或宣告破產了會怎樣?這是在評估供應商和簽訂合同時需要納入考慮的問題。
網絡安全解決方案的工廠部署壽命可能長達 20 年甚至更長時間。ICS/OT 監控領域是一個至關重要但卻很小的垂直空間,而全球財富 2000 強只包含區區 2000 家企業,所以資源搶奪的力度可想而知。一般來說,如果你選擇的供應商已經在全國或全球范圍內的數百個企業部署了工具,那么該供應商遭遇業務危機的可能性會相對較低一些。
面對如此有限的市場規模,大多數此類供應商都面臨著這樣兩個選項——被收購,或是努力將其產品或服務范圍擴大到 ICS/OT 以外的更廣泛的網絡安全市場中。很明顯,未來我們將看到幾種不同的發展趨勢——一些企業將不得不被收購或退出資產競爭舞臺;還有一些目光長遠的公司會將 “利益之手” 伸到其他安全產品中,而不僅僅是 OT 安全產品。
這就意味著,這些頂級供應商中的任何一家都有可能會在明年宣布結業。所以,在正式簽訂合同之前,買家應該要求供應商對其財務狀況保持透明。正是由于這些供應商提供的產品和服務太過類似,所以未來極有可能出現一定程度的功能整合。如果發生資源整合,將隨時有供應商面臨被踢出市場的結局,對此企業應該謹慎對待小心選擇。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
