新一代互聯(lián)工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備正在幫助企業(yè)利用互聯(lián)網(wǎng)的力量實現(xiàn)更智能的運營技術(shù)(OT)。可編程邏輯控制器(PLCs)廣泛用于控制工業(yè)機(jī)電過程的制造和機(jī)器人，并日益聯(lián)機(jī)。在城市中，聯(lián)網(wǎng)OT解決方案被用來提高一些關(guān)鍵服務(wù)的效率和生產(chǎn)率。

這些城市OT解決方案以及互聯(lián)的交通運輸和基礎(chǔ)設(shè)施技術(shù)，還可以確保組織與社會日益變化的文化和經(jīng)濟(jì)形勢保持同步。因此，具有IIoT設(shè)備的OT解決方案已成為現(xiàn)代商業(yè)自動化解決方案，業(yè)務(wù)運營和關(guān)鍵基礎(chǔ)架構(gòu)的骨干。

但是，這些設(shè)備的迅速崛起也使它們(以及旨在幫助它們的業(yè)務(wù))變得脆弱。實際上，在Ponemon Institute于2019年進(jìn)行的一項研究中，涉及運行諸如水和電之類的重要公用事業(yè)的OT越來越受到網(wǎng)絡(luò)攻擊的威脅，這些攻擊可能會造成嚴(yán)重?fù)p害。

以前，控制系統(tǒng)具有特定的功能，并且通常不與其他系統(tǒng)連接，從而使攻擊的可能性降低且難度更大。但是，公司正在添加傳感器和嵌入式設(shè)備來控制網(wǎng)絡(luò)、監(jiān)視操作并提高效率。這些系統(tǒng)越來越多地連接到公司內(nèi)部技術(shù)系統(tǒng)，以促進(jìn)數(shù)據(jù)傳輸。

由于網(wǎng)絡(luò)監(jiān)控和其他安全實踐沒有被規(guī)范或適當(dāng)?shù)毓芾碓O(shè)備的安全性，問題隨之出現(xiàn)。例如，Stuxnet病毒就是針對離心機(jī)開發(fā)的，離心機(jī)是核電站里用來分離鈾同位素的設(shè)備。Stuxnet是一種擁有不被某些安全措施檢測到的安全防護(hù)措施的蠕蟲，其設(shè)計目的是尋找離心機(jī)，并對其重新編程，以重復(fù)會導(dǎo)致離心機(jī)解體的循環(huán)。

IIoT設(shè)備通常還與IP網(wǎng)絡(luò)進(jìn)行本地集成。這種能力可以簡化操作任務(wù)，但也意味著所有連接現(xiàn)在變得越來越脆弱。與標(biāo)準(zhǔn)IT設(shè)備一樣，它們?nèi)匀皇侨蚓W(wǎng)絡(luò)威脅的脆弱“軟目標(biāo)”。

但在OT系統(tǒng)中被利用的不只是IIoT設(shè)備：Windows計算機(jī)和網(wǎng)絡(luò)也受到攻擊。從歷史上看，網(wǎng)絡(luò)攻擊的目標(biāo)是計算機(jī)和移動設(shè)備等商業(yè)操作所需的IT資產(chǎn)，以竊取數(shù)據(jù)。然而，針對IT設(shè)備的新攻擊，比如OT系統(tǒng)中的機(jī)器、網(wǎng)絡(luò)和傳輸或分配電力的系統(tǒng)，可能會劫持操作關(guān)鍵基礎(chǔ)設(shè)施的控制系統(tǒng)，造成物理破壞和大面積停電。

在OT系統(tǒng)中使用IIoT和IT設(shè)備的組織需要評估暴露情況，并最大化其快速檢測和調(diào)查異常以及響應(yīng)和減輕攻擊的能力。但是，提供設(shè)備安全性可能具有挑戰(zhàn)性，特別是因為IIoT和IT設(shè)備本質(zhì)上是不同的。

IIoT設(shè)備的設(shè)計也不能與安全管理工具集成。了解設(shè)備風(fēng)險的局限性和機(jī)會對于幫助公司提高長期生存能力至關(guān)重要。

OT解決方案安全性的挑戰(zhàn)

傳統(tǒng)上，OT和IT安全是在各自的孤島中解決的，而不是采用整體方法。

互聯(lián)OT解決方案具有內(nèi)在的安全挑戰(zhàn)，這些挑戰(zhàn)可能會對公司造成重大損害。此外，OT系統(tǒng)中的設(shè)備缺乏安全管理的集成能力。如果沒有企業(yè)風(fēng)險觀，企業(yè)就缺乏快速發(fā)現(xiàn)威脅并作出適當(dāng)反應(yīng)的重要企業(yè)能力。

但是，高效而有效地監(jiān)視設(shè)備并不是沒有希望。OT環(huán)境中的設(shè)備通常無需人工操作即可運行，并以某種方式建模為“行為”。這種編程方式意味著可以將算法重新解釋為“行為”，并且可以部署用戶實體行為分析(UEBA)以提高安全性監(jiān)視功能和SIEM集成。

行為分析如何解決設(shè)備風(fēng)險

傳統(tǒng)的威脅檢測解決方案并非針對互聯(lián)的OT系統(tǒng)和大數(shù)據(jù)時代而設(shè)計。他們要求安全團(tuán)隊投入大量時間來維護(hù)靜態(tài)關(guān)聯(lián)規(guī)則，并在出現(xiàn)新威脅時加以識別。事實證明，調(diào)查同樣痛苦，需要在安全和IT系統(tǒng)之間進(jìn)行查詢和轉(zhuǎn)換，直到分析師收集到足夠的證據(jù)來手動創(chuàng)建事件時間表為止。 一旦分析人員確定發(fā)生了什么事，他們就可以控制并響應(yīng)事件。

這里的挑戰(zhàn)是，每一個OT控制點每秒都會生成數(shù)百甚至數(shù)千個日志，這使得在網(wǎng)絡(luò)中很難檢測到對手。

UEBA通過使用分析來構(gòu)建時間和對等組范圍內(nèi)的用戶和實體的標(biāo)準(zhǔn)配置文件和行為，從而提供了一種不同的方法。與這些標(biāo)準(zhǔn)基準(zhǔn)線異常的活動表示為可疑，而應(yīng)用于這些異常的打包分析可以幫助發(fā)現(xiàn)威脅和潛在事件。UEBA解決方案為用戶和實體配置文件建立了基準(zhǔn)，以識別正常活動，它們提供了一種系統(tǒng)地監(jiān)視IIoT設(shè)備以及IT設(shè)備的大量輸出以發(fā)現(xiàn)潛在安全威脅的方法。

與現(xiàn)代SIEM集成的IT和OT安全

如前所述，傳統(tǒng)和現(xiàn)代IIoT/OT/IoT解決方案的局限性都是固有的和持久的。但也有辦法。如果公司希望確保其業(yè)務(wù)運營的安全性和完整性，則應(yīng)避免采用“點式解決方案(point solution)”方法，并選擇將UEBA和現(xiàn)代SIEM平臺相結(jié)合的集成解決方案，以實現(xiàn)企業(yè)范圍內(nèi)的IT和OT安全。集中監(jiān)控的這一步驟可以增加對威脅的檢測，包括難以檢測的技術(shù)，如橫向移動。SIEM可以接收和分析來自組織所有來源的數(shù)據(jù)，允許一個SOC團(tuán)隊實時查看其OT環(huán)境中所有設(shè)備的所有安全性和可見性。