运营技术(ot)涵盖了我们世界的许多方面,包括用于控制核心运营流程的工业控制系统(ics)。ics技术通常用于控制基本服务,例如供水、供电,还用于监控这些服务,以防发生危险情况。这些系统和流程的运营可能会对这些服务的最终用户以及运营环境中的工作人员产生极大影响。因此,ot环境和ics技术的安全性应该是组织的头等大事。
不过,组织在保护ot环境的安全,对其进行评估以确定补救计划和战略,以及获得可视性方面面临着诸多挑战,并且组织还需要采用与应对传统it环境时不同的方法。近年来,ot网络安全事件的数量也出现了大幅增长:2020年ibm x-force威胁情报指数报告显示,这一数量同比增长了2,000%。再加上缺乏对ot环境的it/ot整合可视性,意味着安全问题可能会在所有人都不知情的情况下发生,在一些情形下,这会对企业造成灾难性的破坏。
因此,有一个问题越来越受到安全领导者的关注,即:“为什么我的安全团队和安全运营中心(soc)仅能确保对我们的it环境的可视性,而无法确保对ot环境的可视性?”让我们讨论如何通过整合的ot/it安全运营中心的协同作用来实现对ot环境的可视性。
定义运营技术和工业流程自动化
我们首先从运营技术和工业流程自动化开始。关于ot,有许多令人困惑的定义,但全面了解ot的关键在于首先定义一个工业流程。
此情境中所述的流程是指特定的自动化工业流程,它可能包含多个其他子流程。举例来说,我们的饮用水通过氯化流程来确保安全,该流程是指向水中添加氯或氯化合物(如次氯酸钠)。该流程通过各种ics系统实现自动化,这些ics系统的作用是控制添加到水中的具体氯含量,以及一个用以确保用水安全的验证流程。
在该示例中,ot是指用于运行安全饮用水生产所需工业环境、自动化和控制系统的整个环境。ot环境包括ics和it系统,例如路由器、交换机、网络电缆/无线设备和计算机。很简单,这些构成了一个完整的环境。
ot与it安全的融合
ot和it安全流程的集成已经产生了以前从未实现的新协同效应。ot设备的连接性有助于您提升对关键流程的可视性,但同时也产生了复杂的安全格局,其中不再是只有单个外围。ot特定的入侵检测系统(ids)可以通过深度数据包检查、签名、协议分析、异常检测和机器学习将可视性扩展到已定义的“信号列表”之外。现在,可编程逻辑控制器(plc)和传感器操纵已成为恶意威胁实施者的新攻击媒介。
ot环境中的网络安全挑战与it中的挑战相似
出人意料的是,ot环境中的安全挑战与it环境中的挑战非常相似,不过前者会带来更多的工业影响。与it一样,ot环境面临的挑战包括未经授权的访问、密码、远程访问、恶意软件和修补程序。
举例来说,为了更改ot环境中的水氯化水平而设计的恶意软件与针对银行的分布式拒绝服务(ddos)攻击并无二致。两者都会产生严重的后果,但是在ot环境中发生的攻击还会对人类的生命和安全产生影响。
构建整合的ot/it soc
大多数公司不需要为其ot环境配备专门的ot soc或单独的安全团队。通常而言,只有一些关键基础架构领域,例如大型电力或自来水公司、核能公司、运输公司以及其他需要确保对这些ot环境的单独可视性的公司需要这么做。
因此,对于大多数公司而言,通过将ot soc整合到it soc便可实现协同作用和效率。同样重要的是,要确保对ot环境中所发生的it安全事件的可视性。
组织可以通过以下方法来获得对运营技术环境的可视性:
1.利用来自流程自动化技术提供商的直接消息。举例来说,某家工业自动化公司将ot安全事件直接发送到您的特定安全信息和事件管理(siem)凯发k8官网下载的解决方案之中。
2.转发来自ot环境中it设备的日志,以获得可视性。比如来自防火墙、路由器、交换机、服务器、域控制器、活动目录等的日志。如今,这些都是可以实现的;不过,需要精心设计才能将日志安全地转发到siem。
3.利用通过非侵入式交换机端口分析器(span)置于ot环境内部或外部的工业ids。可以采用类似于入侵防御系统(ips)的内联方法来停止通信。不过总的来说,考虑到ot环境的重要性,组织应首选非侵入式方法。
不需要完全专用的ot soc的组织应将ot安全运营与it运营集成在一起。若要高效管理这些环境中的威胁生命周期,安全团队应采用全面的威胁管理计划,针对ot环境特定的威胁提供主动服务、托管服务和响应服务。
ibm推出了x-force threat management for ot服务,旨在帮助组织发现、管理并响应整个环境中来自托管和非托管设备的威胁。
了解更多ibm信息安全凯发k8官网下载的解决方案请访问: