大多数工厂和公用事业运行的工业控制系统(ICS)设备从未打算连接到互联网,其原始部署可能可以追溯到20年代1970年代或80年代。就他们而言,运行更现代的东西——你猜对了,WindowsXP!这些控制系统设计不安全且仅限于本地访问,可提供更高的效率,但也可能带来灾难性风险。NotPetya等勒索软件在2017年对全球经济造成了数亿美元的损失,引发了全球制造业的恐慌。安全专家表示,NotPetya很可能会传播到商业和工业网络,而作为副作用,恶意软件可能会跨越这些边界并造成损害。面对这种不断增长的网络环境,除非您将工厂和公用事业从互联网上撤下并回到石器时代,否则您必须加快运营技术(OT)环境的安全性。这可能意味着您需要ICS/OT监控工具方面的帮助。此时你将面临“商业”和“开源”工具两种选择。但无论选择哪一种,在评估前和评估过程中都需要仔细考虑以下问题:1.ICS监控工具能否提供您需要的功能?顶级ICS监控提供商Indegy、Cyber??X、NozomiNetworks和Claroty都提供不同程度的资产发现、网络监控功能和SOC集成产品。他们较少关注任何给定的垂直领域,而更多地关注分析专门的——通常是古老的——协议(如modbus)和识别特殊类型的设备(如可编程逻辑控制器、PLC)。工业控制系统网络流量看起来与典型的企业IT网络流量非常不同,并且在监控机器对机器通信的方式上是独一无二的。例如,所有供应商都提供资产发现;毕竟,你无法捍卫你看不到的东西。但他们拥有哪些资产的问题是大多数组织都难以回答的问题。他们可能知道15-20年前刚建厂时安装了什么设备,但这些年来网络环境发生了怎样的变化?我还有哪些其他设备?这些设备如何相互交互?这些是组织难以回答的问题。持续威胁监控也是您可以从供应商那里获得的一项基本功能。识别可疑流量、连接到OT网络的未经授权的设备以及使用机器学习来标记异常活动是必备功能。除此之外,SOC集成正在迅速发展成为所有厂商都提供或即将提供的另一项必备的基本功能。购买ICS监控解决方案时要考虑的一个差异化因素是供应商的解决方案标记了多少误报或低优先级事件。因为您的SOC可能没有足够的资源来运行每个事件,并且在大多数情况下可能会选择忽略优先级较低的问题以确保24/7的正常运行时间。大量误报或低优先级事件不仅会耗尽有限的员工资源,还会导致员工忽视实际上构成严重威胁的事件。与其他ICS工具供应商不同,Dragos专注于入侵检测及其背后的可追溯性。该公司最近还免费发布了两款免费的工业控制系统(ICS)资产发现工具——Cyber??lens和Integrity。这些强大的工具为ModbusTCP、DNP3、EthernetIP、BacNet和OPCUA等ICS产品提供工业资产识别、ICS网络和数据流虚拟化以及基本的深度数据包检测功能。市政公用事业需要注意:让Dragos与竞争对手区分开来的一件事是它为资源匮乏的自来水公司和电力公司提供免费/廉价的社区工具。大多数其他供应商都专注于获得全球最大的财富2000强公司的合同——Dragos也不例外——但为了帮助资源有限的组织保护其关键基础设施,Dragos还提供一些廉价但同样能够执行公共服务的替代方案。因为Dragos认为,大多数企业级软件对于小公司和公民来说太贵了,即使是基础版也买不起。通过发布免费/廉价工具,它可以为这些用户提供安全、连续的无源ICS网络和资产发现功能。2.ICS工具供应商是否提供免费试用?Dragos或任何其他解决方案是否适合您的业务需要一些额外的评估。在那之前,要判断哪个供应商适合您的工厂或公用事业并不容易。这里要思考一个问题,“买家的业务需求是什么?”要知道根本就没有“最好的工具”。今天,各种工具发展迅速,相互竞争创新。由于每个ICS部署都不同,因此没有单一、固定的解决方案,也没有针对企业ICS监控需求的万能解决方案。因此,在购买解决方案之前,务必要考虑供应商是否提供免费安装试用,因为这是确定您购买的解决方案是否真的适合您的业务的唯一方法。3.ICS工具与SIEM和SOC的契合度如何?安全主管还希望他们的供应商的解决方案能够与他们现有的安全信息和事件管理(SIEM)系统交互,并从单个仪表板获得对IT和OT案例的可见性。这些只是工厂和公用事业公司在评估他们的选择时应该考虑的一些关键问题。4.开源ICS监控工具是一种选择吗?此时您可能会问自己,为什么不构建自己的监控工具呢?事实上,大型企业完全有能力构建与使用开源选项的商业供应商相同的内部监控工具。功能。他们可以利用Onion、ELKstack、Suricata甚至一些开源的Snort规则。但为许多企业用户提供咨询服务的Caldwel反对这种做法。在其看来,企业自建安全工具的行为不仅实践难度大,而且成本非常高。凭借企业内部的巨大努力和深厚的安全人才,企业确实有能力复制其中一家ICS安全供应商,但严重的安全人才短缺意味着获得和留住这些人才可能很困难,尤其是当风险投资(VC)资助开始时ups正在用高价“挖墙脚”,这种人才已经成为求之不得的稀缺资源。此外,虽然开源工具可以支持有限的资产发现和网络监控功能,并自动拥有可以集成到SOC中的开放API,但前沿功能的开发仍然远远落后于商业产品。5.购买ICS监控工具之前可以做什么?从某个供应商处购买ICS监控工具并不意味着您应该将“企业的钥匙”移交给该商业供应商。争先恐后不是一个明智的安全策略,事实上,有许多安全基础——也称为尽职调查或安全卫生——组织可以实施这些基础来保护他们的IT和OT系统,并确保他们与ICS监控系统的成功集成。安全专家表示,现有系统的实施和配置也会对这些系统的安全性产生重大影响,而不是仅仅依赖这些昂贵的工具。除此之外,还可以从IT安全人员和ICS工程师之间更深入的协作中获益。将他们的角色调换几周或几个月可以促进更好地理解他们之间的IT/OT文化鸿沟。6.未来几年ICS监控工具会是什么样子?近年来,我们看到大量风险资本资金开始涌入ICS/OT监控解决方案,少数公司已经成为这一关键领域的主要参与者。积极参与者。他们中的许多人服务于一些类似的产品,因此在未来几年内某种程度的市场整合可能是不可避免的-那么如果您的供应商被收购或宣布破产怎么办?以下是在签订供应商和合同时要考虑的评估问题。工厂部署的网络安全解决方案的生命周期可以长达20年或更长时间。ICS/OT监控领域是一个重要而狭小的垂直空间,全球财富2000强仅包括2000家企业,资源抢夺强度可想而知。一般来说,如果你选择的供应商已经在全国或全球数百家企业中部署了工具,那么该供应商遇到业务危机的可能性相对较低。面对如此有限的市场规模,这些供应商中的大多数面临两种选择——被收购,或者努力将其产品或服务扩展到ICS/OT以外的更广泛的网络安全市场。显然,未来我们会看到几种不同的发展趋势——一些公司将不得不被收购或退出资产竞争领域;一些长期的公司会将他们的“兴趣之手”延伸到其他安全产品,而不仅仅是OT安全产品。这意味着这些顶级供应商中的任何一家都可能在明年宣布关闭。因此,采购商应要求供应商在正式签订合同前公开其财务状况。正是因为这些供应商提供的产品和服务非常相似,所以未来很可能会进行某种程度的功能整合。如果发生资源整合,供应商随时会面临被踢出市场的下场,企业应慎重选择。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
