基本要点
- 许多网络安全实践着眼于确保合规性而非降低风险;他们仍遵循“信任,但要验证”的基本理念。为应对当前挑战,我们需要一种更具弹性的(安全防御)模式,其运作前提为“永不信任,始终验证”。
- 零信任网络安全能够应对新兴威胁和不断变化的访问需求,且可实时检测威胁,并立即采取行动,保护企业的数据、设备和运营得安全,而重复使用的密码和VPN无法做到这些。
- 如今,最好的网络安全解决方案实际是服务,而不仅仅是软件。该解决方案可应对不断演变的威胁态势,且可为目标导向型企业快速推进的创新议程提供支持。
集成式运营离不开集成安全
随着运营技术、IT系统和互联网的紧密集成,企业所面临的威胁“面”在不断扩大。工业IoT设备使用量的增加使网络威胁风险进一步加剧。以下事实可证实这一点:过去几年,关键工业控制系统和IoT资产所遭受的网络攻击数量急剧上升。
工业控制系统的安全已成为企业、公用事业单位、公共工程设施单位及其他运营技术(OT)用户所面临的一个战略性问题。OT系统所遭受的攻击日益频繁、严重,这表明设计和部署“深度防御”安全架构已迫在眉睫。这样的架构可以确保及时发现和快速应对此类漏洞。
为此类工业控制系统建立一个集中式“安全运营中心” — 类似于大多数大型组织投资建设的IT安全中心 — 有助于实现对OT环境的持续性网络警戒,进而实现早期攻击检测和快速反应的快速恢复。
基于我们在为全球客户提供整合的IT-OT安全运营服务方面的经验,我们摸索出了一套最佳实践和优先事项,可用以应对此等集成网络带来的安全挑战。我们的关键发现:采用更新的技术、运营模型和安全架构可使安全团队有效检测和应对前述攻击。
挑战
违反数据安全规定为企业及其客户带来日益严重的风险。针对物理基础设施和机械的类似攻击 — 在一个以联网大坝和发电厂以及自动驾驶车辆和智能道路(此处仅列举少数几个与“数实相生”式集成相关的示例)等为特色的时代 — 使企业风险水平呈指数级上升。
各企业已在监控和保护其工业控制系统(ICS)资产方面取得不同程度的成功,具体成功程度取决于组织从ICS环境中收集信息并用它们识别威胁和攻击的有效性。在大多数情况下,前述信息的收集仅限于利用安全信息和事件管理(SIEM)技术,从部署于ICS环境中的IT系统中收集、分析事件日志并使其相互关联。然而,这使得组织对过程控制网络和ICS资产本身所面临的任何直接威胁视而不见。
ICS或OT安全监控所面临的一些常见挑战包括:
- ICS资产的分布式特性,使库存收集的准确性难以保证
- 使用遗留系统、专有软件和记录不清的OT协议
- ICS资产无法生成事件日志或使用专有的非标准日志格式
- 极其有限的带宽,以及数据精确性、持续可用性和高完整性等方面的要求,使得数据传输过程中的任何波动均可能对敏感的ICS环境造成影响
窥探
要了解ICS环境的安全性,首先需收集与资产及可对资产造成影响的事件等相关的信息。启用事件日志收集和日志转发功能时,需确保可获取ICS环境中所有关键系统和网络的可见性。
用于从ICS环境中收集事件数据的方法因ICS环境的具体位置而异。或可使用一些传统方法,如日志转发配置、从网络设备中收集的日志事件以及以部署在网络制造和运营区域(通常称为“3级”区域)内的通用运营系统为基础的标准系统等。然而,对监控区域(“2级”区域)以及部署传感器、分析仪和执行器的流程和设备区域(“1级”区域)内的其他系统(控制系统),受该等系统性质的限制,上述基本技术通常无法使用。在这种情况下,一般建议使用无源网络监控系统来收集事件数据,以免阻碍系统运行。该等考量通常必须虑及可用带宽及内存和处理能力的有限性、对遗留系统的持续依赖性以及专有OT协议在相应层面的可用性等。
专用于ICS的被动网络监听系统,如CyberX、Tenable.ot和Nozomi Guardia等,不仅可以提供监控过程控制网络和报告安全事件的能力,而且还可识别所部署的资产以及在环境中发现的漏洞。这可以为整个工业控制系统的安全提供更多的洞察力。该等解决方案大多支持将对安全事件的详细调查,并将其纳入其事件响应流程。
理解正在发生的事情
当所关注的事件出现时,安全配置必须分析来自同一站点环境中其他相关系统的事件日志并使其相互关联,而后将事件数据发送至集中式SIEM平台。
当将日志数据发送至SIEM平台所用的带宽较为有限时,这种整合式方法尤为有用。此外,该模式还可为本地站点及工厂运营团队提供ICS环境安全状态的可见性。
采取行动
技术方面的问题解决后,下一步是确定由谁监控SIEM系统生成的警报并就其采取行动。
集成式IT-OT安全运营中心(SOC)通常比专用式ICS SOC方法更为有效。这可用与IT SOC所用平台相同的SIEM平台来实现。此外,还可结合适用于特定站点或工厂的ICS流程,定义其他自定义用例和警报。
集成式IT–OT SOC的目标运营模式是由熟悉企业IT和ICS系统的人员所运行的特定流程约束的各种技术的组合。可开发新的流程和运营程序,或修改现有流程和运营程序,以适应ICS运营。
在已经存在IT SOC团队的情况下,负责监控和筛选SIEM平台警报的“1级”团队必须接受ICS技术方面的培训,并了解它们当前所监控的ICS环境。必须为一些常见用例制定详细的操作手册,以供1级团队参考。1级团队成员所扮演的角色可由熟练的2级和3级ICS安全人员予以强化,后者可开展深入调查,并确定对独特事件的正确响应。而后,将从该等独特事件中吸取的教训记录下来,供1级团队参考,以提高它们独立检测和响应类似事件的能力,从而缩减整体响应时间。
建立集成式IT-OT SOC
为确保单站点或工厂ICS环境(OT)与集中式SIEM系统(IT)成功集成,需进行仔细规划,广泛收集数据,并采用标准化执行模式。可采用一种简化方法来建立集成式IT-OT SOC,该方法共涉及以下五个阶段:
- 开展尽职调查,以了解当前ICS情势,同时收集关于待集成站点的基本信息,并利用该等信息进行可行性分析。执行全面审查,以帮助SOC设计人员了解当前治理模式、任何特定于站点的架构、基础设施能力、网络连接状况以及制定实施战略所需的其他细节。
- 制定实施战略以做好部署准备,其间需始终牢记ICS基础设施的关键性、实施期间需优先处理的事项以及其他部署安排。这包括ISC/SIEM集成所涉站点的优先级,确定需要监控的资产或资产类型,定义日志生成和收集策略,以及制定部署计划等。
- 对每个工厂或站点进行场地安全评估,以验证可用资产数据,评估当前安全情势及资产的业务关键性,并确定各站点的集成准备情况。
- SIEM集成涉及日志收集和转发设计的最终完成和后续实现事宜。这可能还涉及到对被动数据收集工具等支持技术的部署,需利用该等技术从ICS环境中收集日志。在此阶段还需开展以下工作:设计和配置需要监控的各种用例;制定警报规则;为在SIEM上运行的特定于ICS的报告和仪表板制作模板。
- 通过培训和用ICS安全专家充实团队,使IT SOC团队也能处理ICS安全事件。
技能和人才
企业站点的数量和地理分布,以及建立SOC所需技能熟练的ICS安全架构师和工程师配置不足,是企业经常会面临且需予以解决的挑战。在大多数情况下,虽然组织已在其站点和工厂中雇佣本地服务供应商来提供基本IT服务,但其未能在所有站点均部署拥有全栈式安全技能组的人员。与不同本地服务供应商合作开展现状评估和可行性研究,可能需要访问所有站点,这不仅要求安全组织扩大规模,而且可能会耗费大量时间,并付出高昂成本。
而与提供与ICS安全相关的端到端专业服务(从咨询到系统集成以至管理服务等)的服务供应商合作,为全球范围内所有站点提供所需服务,则可确保集成式IT-OT SOC得以快速、标准化和有效实施。该等服务供应商可利用其在全球范围内设计、实施和运营集成式IT-OT SOC的经验,为企业带来额外价值。除利用与其他服务供应商的全球伙伴关系外,它们通常还可实现快速实施和运营,这主要得益于其为评估、可行性研究和架构蓝图制作的可重用模板,及其已在提供服务过程中针对SOC团队加以完善的指导方针、最佳实践和运行手册。
集成式IT-OT SOC所能带来的益处
集成式IT-OT SOC方法可在增强安全性的同时帮助塔塔咨询客户更好地实现投资价值,在此基础上为塔塔咨询客户带来以下益处:
- 就IT和ICS环境所面临的威胁提供单一虚拟管理平台
- 帮助企业更全面、更充分地了解其所面临的威胁,实现对企业内部所有风险的态势感知
- 增强整个企业的网络弹性,以帮助企业全面管理网络风险
- 揭示跨域攻击,以保护ICS系统免受IT系统中识别的威胁影响
- 识别漏洞并结合具体情境确定各漏洞的修补优先级
- 避免多个团队之间出现通信中断或事件处理中断现象,以加快响应速度
- 利用现有SIEM平台和SOC团队的协同效应实现成本效益
集成并非简单的加法
集成式IT–OT安全运营中心通过将SOC扩展到工业控制系统环境和IT安全领域,增强了企业的网络警惕性。两者的结合使整个组织的网络安全态势具有端到端的可视性,从而产生了业务协同效应。
合适的合作伙伴、正确的分布式技能组、细致的规划、详细的设计、适当的部署策略,以及对IT和OT安全方面最佳技术和流程的使用,所有这一切最终确保SOC得以成功集成,进而帮助企业实现显著的安全和业务效益。
联系我们
联系我们
