工业环境中的可见性是棘手但必要的,在评估工业网络安全解决方案时需要考虑三个关键问题。了解风险、确定风险的优先级和减轻风险是主动保护工业环境的必要条件。以上所有都是任何工业网络安全计划的重要组成部分,但严酷的现实是,即使是最先进的保护控制和流程也无法完全消除风险。因此,我们迫切需要能够在潜在威胁出现时快速有效地检测和响应。不幸的是,由于以下原因,工业网络中的威胁检测特别棘手:与IT安全工具不兼容:工业资产中使用的操作技术(OT)协议多种多样,并且在很大程度上是供应商特定的、专有的,通常与传统的威胁检测工具不兼容。尝试在OT环境中部署相同的IT安全工具不仅效率低下,还可能导致停机和大量误报或漏报。OT环境庞大而复杂:大规模多站点工业网络的复杂性使得难以识别与公认基线的偏差。在不知道正常情况是什么样子的情况下,您无法发现配置错误、流量过载或其他风险问题。IT-OT融合:随着工业网络的数字化,IT和OT的界限逐渐模糊,恶意黑客可以通过IT端进入OT环境,潜伏数月甚至数年,寻找隐蔽的方式扰乱运营,造成灾难。防御者需要能够在日益互联的环境中有效检测威胁的整体解决方案。缺乏工业网络安全专业知识:招聘和留住OT安全专家既困难又昂贵,许多安全团队只接受过解决IT事件的培训,缺乏保护工业环境的OT专业知识。由于上述困难,检测和应对已知和未知工业网络威胁的问题非常复杂。由于OT环境各不相同,因此通用方法在很大程度上是无用的。无论企业是在评估现有OT环境的威胁检测和响应能力,还是在考虑新的解决方案,以下三个问题可以帮助明确评估重点:现有哪些机制可以充分检测潜在威胁?需要多少钱?这种方法对于检测可能影响OT网络的所有不同类型的威胁是必要的。检测已知威胁需要拥有一个大型的签名和危害指标(IoC)数据库。然而,这只是一个起点。对于未知威胁,您还需要多种其他检测机制,包括识别资产、区域和网络其他组件之间典型通信模式的偏差的能力,以及识别IT和OT特定入侵方法背后的行为模式的能力,这可以帮助识别网络钓鱼和漏洞利用。此外,监控操作行为(如配置更改和固件升级)并将上下文应用于每个特定操作的能力也可以指出恶意行为的迹象。最后,由于工业网络不同,自定义规则可以根据网络的特定需求定制威胁检测和警报。一旦检测到威胁,我们如何使用这些信息做出更好的风险缓解决策?如果没有正确的能力,来自单个入侵者的一系列活动可能会让安全人员不知所措。为了克服这一挑战,我们需要包含相关上下文的技术解决方案,以快速了解一系列警报背后的整体情况,这样就不会浪费时间关联信息点,从而为风险缓解决策和行动节省更多时间。根据自身业务的潜在风险确定警报优先级的能力也有助于安全团队决定何时采取何种行动。我们如何弥补团队中OT网络安全技能的不足?即使是经验丰富的安全人员在处理OT网络方面的经验也可能有限,而且许多安全团队在IT方面的资源已经不足。要解决此问题,请寻找具有内置自动OT检测机制的解决方案,以便您的团队可以有效地保护您公司的OT。带有建议响应的警报有助于加快决策制定和响应速度。此外,请注意检测机制和响应指南的更新频率,以确保现有团队拥有应对最新威胁所需的工具和洞察力。工业企业在检测和应对威胁方面面临着独特的挑战。好消息是,通过提出正确的问题并了解存在的可能性,您可以获得有效降低风险所需的能力。
