背景
近些年,工業控制領域的安全問題逐漸得到大家的關注,討論通常圍繞著如何保護OT環境。雖然在某些情況下,大多數人會關注OT設備,如可編程邏輯控制器(PLC)、遠程終端單元(RTU)或安全儀表系統(SIS),但了解IT和OT基礎設施和系統的監控同樣重要是至關重要的。由于缺乏對這些環境的可見性,因此幾乎不可能知道如何保護整個OT系統。
大多數OT環境的主要關注點是安全可靠地運行進程。正如過去所證明的那樣,新技術的引入會直接影響這些系統的安全性和可靠性。例如,掃描軟件已被證明會對PLC、SCADA系統和其他設備產生負面影響。在某些情況下,掃描技術導致系統不穩定,導致設備離線,在最壞的情況下,使它們無法操作,這與拒絕服務攻擊是同等性質。因此,許多OT操作人員將重點放在系統加固上,以將潛在攻擊者排除在系統之外,例如被廣泛使用的白名單機制。但大多數操作人員對OT環境本身的可見性有限。如果一個組織想要保護他們的OT環境,關鍵是操作者不僅要具有系統邊界的可見性,而且針對基礎設施和OT設備本身也需要具備可見性。
上下文資產的必要性
一直以來,安全性和可靠性一直被認為是OT環境的關鍵考量,而安全性則是后來才考慮到的。此外,傳統技術和現代技術的結合,使OT系統在投入生產時的安全性更具挑戰性,當時網絡安全根本沒有被考慮在內。好消息是,隨著越來越多工控安全廠商的參與以及相關技術的引入,對于OT系統的監控與安全加固能力已經在許多現實生產環境中實現。與此同時,運營商可以方便地集中監控工控企業的OT環境,從而獲得的可見性也十分關鍵。然而,由于數據的數量和多樣性,添加更多的數據可能會存在隱藏風險。為了過濾這些數據,從而提供可操作的建議,可以應用SIEM、SOAR和用戶行為分析等技術,但在OT環境中使用這些工具進行事件響應時,訪問上下文數據是至關重要的。
通過結合企業安全和OT環境安全監控等方式,OT安全團隊現在可以利用資產和系統的上下文數據,以及其他技術和SIEM分析平臺。諸如站點、資產所有者、操作狀態和資產類型等信息都可以直接影響誰需要參與事件響應,以及可能的響應類型。將告警、漏洞和資產信息集成到平臺中,不僅可以幫助安全分析師了解潛在的安全威脅,而且還可以在必要時獲取關鍵的上下文資產信息。
關于SOAR
安全編排、自動化和響應(SOAR)是一系列用于保護 IT 系統免受威脅的功能。
SOAR 指的是安全團隊所使用的3大軟件功能:案例和工作流管理、任務自動化,以及集中式管理訪問、查詢和共享威脅情報。SOAR一詞來自分析機構 Gartner。有些分析機構也用其他術語來描述 SOAR:IDC 將這一概念稱為“安全分析、情報、響應和編排”(AIRO)。Forrester 則使用“安全自動化和編排”(SAO)一詞來描述同一功能。
SOAR 通常是與企業的安全防護運維中心(SOC)一起協調實施的。SOAR 平臺可以監控威脅情報源并觸發自動響應以緩解安全威脅。
上下文資產數據如何幫助SOAR
安全編排自動化和響應(SOAR)是一組用于自動化部分安全調查過程的技術。之所以經常使用SOAR,是因為SOC團隊每天都會收到大量耗時的告警,但這些告警通常是重復的,并且可以自動化。這些日常場景中的重復告警可以通過自動化分析進行適當過濾,使事件響應團隊可以專注于需要他們專業知識的關鍵問題。一些常見的SOAR編排和響應操作可能包括禁用帳戶、阻止防火墻端口和隔離資產等。雖然這些操作不太可能在OT環境中自主發生,但還有其他的自動化工具可以幫助減少解決事件的時間。
例如,了解是否在某個資產上檢測到新的應用程序或漏洞,可能是了解特定資產事件的臨界性和潛在攻擊的范圍的關鍵。這些自動驗證檢查與資產關鍵度、信息和資產聯系信息結合在一起,有助于減少平均解析時間(MTTR),同時有助于保護OT環境的其他部分。
利用事件響應(IR)工作簿有助于定義IR過程和可以利用的可能的自動化(包括何時讓一個人參與決策過程)。同時,工作簿可以使事件響應更加一致,并幫助防止事件響應者錯過流程中的關鍵步驟。同樣,這種上下文信息可以幫助SOAR平臺知道應該執行哪些工作簿和流程,因為對SIEM發出的關鍵警報的響應可能會根據資產類型、位置和資產所有者而有所不同。