新一代互联工业物联网(IIoT)设备正在帮助企业利用互联网的力量实现更智能的运营技术(OT)。可编程逻辑控制器(PLC)广泛用于制造和机器人技术,以控制工业机电一体化过程,并且越来越多地在线连接。在城市中,连接的OT解决方案被用于提高一些关键服务的效率和生产力。这些城市OT解决方案,连同互联交通和基础设施技术,还可以确保组织跟上社会不断变化的文化和经济格局。因此,带有IIoT设备的OT解决方案已成为现代业务自动化解决方案、业务运营和关键基础设施的支柱。但这些设备的迅速崛起也使它们(以及旨在帮助它们的企业)变得脆弱。事实上,在PonemonInstitute2019年的一项研究中,参与运营水电等重要公用事??业的OT越来越面临可能造成严重破坏的网络攻击风险。以前,控制系统具有特定的功能并且通常不与其他系统连接,这使得攻击的可能性更小,难度也更大。然而,公司正在添加传感器和嵌入式设备来控制网络、监控操作和提高效率。这些系统越来越多地连接到公司内部技术系统,以促进数据传输。问题的出现是因为网络监控和其他安全实践没有为设备的安全性进行监管或适当管理。例如,Stuxnet病毒是为离心机开发的,离心机是核电站中用于分离铀同位素的设备。Stuxnet是一种通过某些安全措施防止检测的蠕虫病毒,旨在寻找离心机并对它们重新编程以重复一个循环,从而导致它们解体。IIoT设备通常还与IP网络本地集成。此功能简化了操作任务,但也意味着所有连接现在都越来越容易受到攻击。与标准IT设备一样,它们仍然是全球网络威胁的易受攻击的“软目标”。但在OT系统中被利用的不仅仅是IIoT设备:Windows计算机和网络也受到攻击。从历史上看,网络攻击的目标是业务运营所需的IT资产,例如计算机和移动设备,以窃取数据。然而,针对IT设备的新攻击,例如OT系统中的机器、传输或分配电力的网络和系统,可能会劫持运行关键基础设施的控制系统,造成物理损坏和大范围停电。在OT系统中使用IIoT和IT设备的组织需要评估风险并最大限度地提高他们快速检测和调查异常以及响应和减轻攻击的能力。然而,提供设备安全性可能具有挑战性,尤其是因为IIoT和IT设备在本质上是不同的。IIoT设备也不是为与安全管理工具集成而设计的。了解设备风险的局限性和机会对于帮助公司提高其长期生存能力至关重要。OT解决方案安全性的挑战传统上,OT和IT安全性是在单独的孤岛中解决的,而不是采用整体方法。连接的OT解决方案具有固有的安全挑战,可能会对公司造成重大损害。此外,OT系统中的设备缺乏安全管理的集成能力。如果没有企业风险视图,组织将缺乏快速检测威胁并做出适当响应的关键企业能力。然而,高效且有效地监控设备并非没有希望。OT环境中的设备通常无需人工干预即可运行,并以某种方式建模为“行为”。这种编程方法意味着可以将算法重新解释为“行为”,并且可以部署用户实体行为分析(UEBA)以提高安全监控能力和SIEM集成。行为分析如何解决设备风险传统的威胁检测解决方案并非为互联OT系统和大数据时代而设计。它们要求安全团队投入大量时间来维护静态关联规则并在新威胁出现时对其进行识别。调查证明同样痛苦,需要在安全和IT系统之间进行查询和转换,直到分析师收集到足够的证据以手动创建事件时间表。一旦分析人员确定发生了什么,他们就可以控制和响应事件。这里的挑战是每个OT控制点每秒生成数百甚至数千条日志,因此很难检测到网络中的对手。UEBA提供了一种不同的方法,通过使用分析来构建跨时间和同龄组的用户和实体的标准配置文件和行为。偏离这些标准基线的活动被指示为可疑,应用于这些异常的打包分析可以帮助发现威胁和潜在事件。UEBA解决方案为用户和实体配置文件建立基线以识别正常活动,并且它们提供了一种方法来系统地监控IIoT设备以及IT设备的批量输出以发现潜在的安全威胁。IT和OT安全与现代SIEM集成如前所述,传统和现代IIoT/OT/IoT解决方案的局限性是固有的和持久的。但是有办法。如果公司希望确保其业务运营的安全性和完整性,则应避免“单点解决方案”方法,并选择将UEBA与现代SIEM平台相结合的集成解决方案,以实现企业范围内的IT和OT安全。集中监控中的这一步骤可以增加对威胁的检测,包括横向移动等难以检测的技术。SIEM可以接收和分析来自组织中所有来源的数据,使SOC团队能够实时查看其OT环境中所有设备的所有安全性和可见性。
