檢測:工業網絡安全的第三大支柱
工業環境可見性棘手卻必要,評估工業網絡安全解決方案時需要重視三個關鍵問題。而了解、排序和緩解風險則是主動保護工業環境的必須操作。
以上這些都是任何工業網絡安全計劃的重要組成部分,但殘酷的現實是,即使最先進的防護控制措施和過程都無法完全根除風險。所以,我們迫切需要能夠在潛在威脅冒頭時快速有效地加以檢測和響應。
但遺憾的是,由于下列原因,工業網絡中的威脅檢測尤為棘手:
- 不兼容IT安全工具:工業資產中使用的運營技術(OT)協議多種多樣,基本是特定于供應商的專有協議,往往不兼容傳統威脅檢測工具。試圖在OT環境中部署同樣的IT安全工具不僅不會有什么效果,還會導致宕機和產生大量誤報或漏報。
- OT環境龐大且復雜:大規模多站點工業網絡的復雜性導致難以識別與公認基準的偏差。而如果不知道正常情況是什么樣子的,也就無法發現錯誤配置、流量過載或其他風險問題。
- IT-OT融合:隨著工業網絡數字化逐漸模糊IT與OT之間的界限,惡意黑客可通過IT側進入OT環境并在其中潛伏數月乃至數年,尋找破壞運營和造成災難的微妙方式。防御人員需要能夠在日益互聯的環境中有效檢測威脅的整體解決方案。
- 缺乏工業網絡安全專業知識:招聘和留住OT安全專家不僅困難還花費巨大,而且很多安全團隊都只接受過解決IT事件的培訓,缺乏防御工業環境的OT專門知識。
因為存在上述困難,已知與未知工業網絡威脅的檢測與響應問題十分復雜。且由于OT環境各不相同,通用方法基本毫無效果。無論公司是要評估已有OT環境威脅檢測與響應能力,還是考慮采用新的解決方案,以下三個問題都可以幫助你理清評估重點:
存在哪些已有機制可全面檢測潛在威脅?
需有多種方法才能檢測能影響OT網絡的所有不同類型威脅。想要檢測已知威脅,就必須擁有涵蓋大量特征碼和入侵指標(IoC)的數據庫。然而,這不過是個起點。對于未知威脅,你還需要其他多種檢測機制,包括識別資產、區域和網絡其他組件間典型通信模式偏差的能力,以及識別IT和OT特定入侵方式背后行為模式的能力,這種能力有助于識別網絡釣魚和漏洞利用。
此外,監測操作行為(比如配置變更和固件升級)并將上下文應用到各項具體操作上的功能,也能夠指向惡意行為的種種跡象。最后,由于工業網絡各不相同,自定義規則可以根據網絡的特定需求定制威脅檢測和警報。
檢測到威脅后,我們該如何利用此信息做出更好的風險緩解決策呢?
如果缺乏合適的功能,出自單個入侵者的一系列活動所引發的警報就能將安全人員淹沒。為攻克這一難題,我們需要包含相關上下文的技術解決方案來快速了解一系列警報背后的總體情況,這樣才能避免浪費時間在關聯信息點上,從而節省出更多時間進行風險緩解決策和采取行動。根據自身業務潛在風險排序警報優先級的能力也有助于安全團隊決定何時采取何種操作。
我們該怎樣彌補團隊缺乏OT網絡安全技能的問題?
即使是經驗豐富的安全人員也可能在處理OT網絡方面經驗有限,而且許多安全團隊本就在IT方面資源不足。為解決這個問題,不妨尋找內置自動化OT檢測機制的解決方案,這樣你的團隊就能高效保障公司OT安全了。包含響應建議的警報有助于加速決策和響應。此外,注意檢測機制和響應指南的更新頻率,確保現有團隊具備緊跟最新威脅所需的工具和洞見。
工業企業在檢測和響應威脅方面面臨獨特的挑戰。可喜的是,只要問對問題,了解存在哪些可能性,你就能獲得有效降低風險所需的能力。
