新一代互聯工業物聯網(IIoT)裝置正在幫助企業利用網際網路的力量實作更智能的營運技術(OT)。可程式設計邏輯控制器(PLCs)廣泛用于控制工業機電過程的制造和機器人,并日益聯機。在城市中,聯網OT解決方案被用來提高一些關鍵服務的效率和生産率。
這些城市OT解決方案以及互聯的交通運輸和基礎設施技術,還可以確定組織與社會日益變化的文化和經濟形勢保持同步。是以,具有IIoT裝置的OT解決方案已成為現代商業自動化解決方案,業務營運和關鍵基礎架構的骨幹。
但是,這些裝置的迅速崛起也使它們(以及旨在幫助它們的業務)變得脆弱。實際上,在Ponemon Institute于2019年進行的一項研究中,涉及運作諸如水和電之類的重要公用事業的OT越來越受到網絡攻擊的威脅,這些攻擊可能會造成嚴重損害。
以前,控制系統具有特定的功能,并且通常不與其他系統連接配接,進而使攻擊的可能性降低且難度更大。但是,公司正在添加傳感器和嵌入式裝置來控制網絡、監視操作并提高效率。這些系統越來越多地連接配接到公司内部技術系統,以促進資料傳輸。
由于網絡監控和其他安全實踐沒有被規範或适當地管理裝置的安全性,問題随之出現。例如,Stuxnet病毒就是針對離心機開發的,離心機是核電站裡用來分離鈾同位素的裝置。Stuxnet是一種擁有不被某些安全措施檢測到的安全防護措施的蠕蟲,其設計目的是尋找離心機,并對其重新程式設計,以重複會導緻離心機解體的循環。
IIoT裝置通常還與IP網絡進行本地內建。這種能力可以簡化操作任務,但也意味着所有連接配接現在變得越來越脆弱。與标準IT裝置一樣,它們仍然是全球網絡威脅的脆弱“軟目标”。
但在OT系統中被利用的不隻是IIoT裝置:Windows計算機和網絡也受到攻擊。從曆史上看,網絡攻擊的目标是計算機和移動裝置等商業操作所需的IT資産,以竊取資料。然而,針對IT裝置的新攻擊,比如OT系統中的機器、網絡和傳輸或配置設定電力的系統,可能會劫持操作關鍵基礎設施的控制系統,造成實體破壞和大面積停電。
在OT系統中使用IIoT和IT裝置的組織需要評估暴露情況,并最大化其快速檢測和調查異常以及響應和減輕攻擊的能力。但是,提供裝置安全性可能具有挑戰性,特别是因為IIoT和IT裝置本質上是不同的。
IIoT裝置的設計也不能與安全管理工具內建。了解裝置風險的局限性和機會對于幫助公司提高長期生存能力至關重要。
OT解決方案安全性的挑戰
傳統上,OT和IT安全是在各自的孤島中解決的,而不是采用整體方法。
互聯OT解決方案具有内在的安全挑戰,這些挑戰可能會對公司造成重大損害。此外,OT系統中的裝置缺乏安全管理的內建能力。如果沒有企業風險觀,企業就缺乏快速發現威脅并作出适當反應的重要企業能力。
但是,高效而有效地監視裝置并不是沒有希望。OT環境中的裝置通常無需人工操作即可運作,并以某種方式模組化為“行為”。這種程式設計方式意味着可以将算法重新解釋為“行為”,并且可以部署使用者實體行為分析(UEBA)以提高安全性監視功能和SIEM內建。
行為分析如何解決裝置風險
傳統的威脅檢測解決方案并非針對互聯的OT系統和大資料時代而設計。他們要求安全團隊投入大量時間來維護靜态關聯規則,并在出現新威脅時加以識别。事實證明,調查同樣痛苦,需要在安全和IT系統之間進行查詢和轉換,直到分析師收集到足夠的證據來手動建立事件時間表為止。 一旦分析人員确定發生了什麼事,他們就可以控制并響應事件。
這裡的挑戰是,每一個OT控制點每秒都會生成數百甚至數千個日志,這使得在網絡中很難檢測到對手。
UEBA通過使用分析來建構時間和對等組範圍内的使用者和實體的标準配置檔案和行為,進而提供了一種不同的方法。與這些标準基準線異常的活動表示為可疑,而應用于這些異常的打包分析可以幫助發現威脅和潛在事件。UEBA解決方案為使用者和實體配置檔案建立了基準,以識别正常活動,它們提供了一種系統地監視IIoT裝置以及IT裝置的大量輸出以發現潛在安全威脅的方法。
與現代SIEM內建的IT和OT安全
如前所述,傳統和現代IIoT/OT/IoT解決方案的局限性都是固有的和持久的。但也有辦法。如果公司希望確定其業務營運的安全性和完整性,則應避免采用“點式解決方案(point solution)”方法,并選擇将UEBA和現代SIEM平台相結合的內建解決方案,以實作企業範圍内的IT和OT安全。集中監控的這一步驟可以增加對威脅的檢測,包括難以檢測的技術,如橫向移動。SIEM可以接收和分析來自組織所有來源的資料,允許一個SOC團隊實時檢視其OT環境中所有裝置的所有安全性和可見性。
原文連結