检测:工业网络安全的第三大支柱

攻防
1月前

shenhuajx.jpg

  工业环境可见性棘手却必要,评估工业网络安全解决方案时需要重视三个关键问题。而了解、排序和缓解风险则是主动保护工业环境的必须操作。 

  以上这些都是任何工业网络安全计划的重要组成部分,但残酷的现实是,即使最先进的防护控制措施和过程都无法完全根除风险。所以,我们迫切需要能够在潜在威胁冒头时快速有效地加以检测和响应。  

  但遗憾的是,由于下列原因,工业网络中的威胁检测尤为棘手:

  • 不兼容IT安全工具:工业资产中使用的运营技术(OT)协议多种多样,基本是特定于供应商的专有协议,往往不兼容传统威胁检测工具。试图在OT环境中部署同样的IT安全工具不仅不会有什么效果,还会导致宕机和产生大量误报或漏报。 

  • OT环境庞大且复杂:大规模多站点工业网络的复杂性导致难以识别与公认基准的偏差。而如果不知道正常情况是什么样子的,也就无法发现错误配置、流量过载或其他风险问题。

  • IT-OT融合:随着工业网络数字化逐渐模糊IT与OT之间的界限,恶意黑客可通过IT侧进入OT环境并在其中潜伏数月乃至数年,寻找破坏运营和造成灾难的微妙方式。防御人员需要能够在日益互联的环境中有效检测威胁的整体解决方案。

  • 缺乏工业网络安全专业知识:招聘和留住OT安全专家不仅困难还花费巨大,而且很多安全团队都只接受过解决IT事件的培训,缺乏防御工业环境的OT专门知识。

  因为存在上述困难,已知与未知工业网络威胁的检测与响应问题十分复杂。且由于OT环境各不相同,通用方法基本毫无效果。无论公司是要评估已有OT环境威胁检测与响应能力,还是考虑采用新的解决方案,以下三个问题都可以帮助你理清评估重点:

  1、存在哪些已有机制可全面检测潜在威胁?需有多种方法才能检测能影响OT网络的所有不同类型威胁。想要检测已知威胁,就必须拥有涵盖大量特征码和入侵指标(IoC)的数据库。然而,这不过是个起点。对于未知威胁,你还需要其他多种检测机制,包括识别资产、区域和网络其他组件间典型通信模式偏差的能力,以及识别IT和OT特定入侵方式背后行为模式的能力,这种能力有助于识别网络钓鱼和漏洞利用。此外,监测操作行为(比如配置变更和固件升级)并将上下文应用到各项具体操作上的功能,也能够指向恶意行为的种种迹象。最后,由于工业网络各不相同,自定义规则可以根据网络的特定需求定制威胁检测和警报。 

  2、检测到威胁后,我们该如何利用此信息做出更好的风险缓解决策呢?如果缺乏合适的功能,出自单个入侵者的一系列活动所引发的警报就能将安全人员淹没。为攻克这一难题,我们需要包含相关上下文的技术解决方案来快速了解一系列警报背后的总体情况,这样才能避免浪费时间在关联信息点上,从而节省出更多时间进行风险缓解决策和采取行动。根据自身业务潜在风险排序警报优先级的能力也有助于安全团队决定何时采取何种操作。

  3、我们该怎样弥补团队缺乏OT网络安全技能的问题?即使是经验丰富的安全人员也可能在处理OT网络方面经验有限,而且许多安全团队本就在IT方面资源不足。为解决这个问题,不妨寻找内置自动化OT检测机制的解决方案,这样你的团队就能高效保障公司OT安全了。包含响应建议的警报有助于加速决策和响应。此外,注意检测机制和响应指南的更新频率,确保现有团队具备紧跟最新威胁所需的工具和洞见。

  工业企业在检测和响应威胁方面面临独特的挑战。可喜的是,只要问对问题,了解存在哪些可能性,你就能获得有效降低风险所需的能力。 



参考阅读

九成工业公司扛不住网络攻击

BlackMatter表明农业已成黑客攻击目标

基于工控业务场景构建工控安全成熟度模型