资产可见性与资产管理 共筑OT环境安全防线
2021-12-27 18:1:1 Author: blog.nsfocus.net(查看原文) 阅读量:19 收藏

阅读: 5

一、背景

两千多年前,古代军事家孙子有句名言:“知己知彼,百战不殆。”尽管今天的世界看起来截然不同,但这一原则仍适用于网络安全资产意识。事实上,确保工业控制系统安全是从准确的自我认识和自我控制开始,也就是所谓的资产可见性和资产管理的双重原则,而且在加固OT系统安全的过程中,应该被视为不同阶段的不同目标。

通常情况下,资产可见性的目标是为安全操作员提供关于ICS资产的可操作信息。资产管理的目标是利用这些信息更好地保护操作环境。从这个意义上说,管理和可见性是一枚硬币的两面。你不能保护看不见的东西,你的可见性只有在它是可管理的时候才有用。本文的目的是更详细地解释每个概念,并提供关于每个概念的角色、注意事项和重要性。最近的事件,如Colonial Pipeline和JBS肉类包装事件,很大程度上是由于其中一个或两个过程的弱点造成的。只有理解资产可见性和资产管理的功能和重要性,才能防范和预防未来的安全风险。

二、资产可见性

资产可见性指的是帮助绘制组织内数字和物理设备全景的过程。在过去,资产可见性经常依赖于人工收集与总结。有必要去现场观察设备,并手工记录。通过使用Microsoft Excel等工具将记录数字化,这一过程得到了些许改进。然而,这两种方法都远远落后于今天的标准,不能满足现代工业环境的要求。人工时间和动态更新的需求均使得这种人工行为不再适用。相反,现代资产可见性通常是通过自动化流程实现的,这些流程分为两大类:主动可见性或被动可见性。

主动可见

主动可见是通过在各种工业协议中发送数据包来实现的,目的是发现和记录网络路径和其中的设备。然而,许多OT系统运行在各自的系统上,并且使用不同的协议,这为该方法的自动化制造了障碍。因此,主动可见性解决方案必须能够与完全不同的OT软件协议进行顺畅的交互才能获得成功。主动可见性最大的优点是能够控制数据刷新和内容的频率,而且通常是获得特定数据值的唯一方法,比如HMI上使用的软件情况和补丁信息等。

被动可见

与此同时,被动可见性依赖于读取整个OT网络的网络流量和战略部署信息。这种方法是不生成网络流量的,而是侦听OT网络来推断网络路径和设备。虽然在特定环境下效果较差,但被动解决方案的优点是将风险限制在正常操作范围内。除非为OT定制构建了独有的主动可见解决方案,否则方案反而会通过探测流量带来操作风险——这种风险在被动可见解决方案中是不存在的。另一个优点是对网络中发生的事件进行近乎实时的监控。虽然主动的方式允许操作员控制数据收集的频率,但它会在事件发生和操作员看到事件之间造成时间上的延迟。除此之外,并不是所有的更新都是通过网络进行的,被动可见系统在这种情况下就十分受限制。

在两种模式中,都有重要的特定数据需要查看。例如IP地址、物理位置、硬件/软件供应商、生命周期阶段、漏洞和补丁状态。了解OT系统的情况是保卫它的第一步也是必要的一步。

三、资产管理

资产管理是指对资产可见性数据进行操作以更新和保护数字和物理设备的过程。早在2016年,在美国有一项对200名公用事业高管的调查,他们都将资产管理列为运营技术安全的一个关键考量。随着工业物联网(IIoT)的快速崛起和更大的工业4.0运动,资产管理变得越来越重要。将IP连接纳入OT系统增加了与OT资产相关的风险,对于管理能力是极大的挑战。管理的关键领域包括修补漏洞、生命周期管理、安全事件日志记录和恢复能力等。

管理解决方案可以使用可见性工具接收到的数据来检查软件和硬件设备,以对抗公开的已知漏洞。资产管理解决方案还可以识别关键的补丁缺失,从而降低安全风险。同时,还需要具备识别运行旧操作系统的设备的能力,因为这些系统通常不再得到制造商的支持。资产管理解决方案可以帮助确定如何最好地将这些设备与其他网络活动隔离。除此之外,资产管理还可以检测和标记从可见性解决方案接收到的异常活动,并尽可能提供恢复服务,以减轻恶性攻击的损害。

四、总结

综上所述,OT资产可见性和资产管理是工业网络安全中截然不同但同样不可或缺的两个方面。确保可见性和管理解决方案能够并行工作,使所接收的数据具有可操作性是至关重要的。OT的形势正变得越来越复杂。通过资产可见性获得态势感知,通过资产管理进行自我控制,可以确保OT系统在面对各种各样的潜在攻击时做好了万全的准备。

参考链接

  1. https://new.abb.com/news/detail/45824/abb-survey-shows-majority-of-utilities-see-iot-as-key-to-asset-management
  2. https://www.industrialdefender.com/defending-the-industrial-internet-of-things/
  3. https://www.industrialdefender.com/asset-visibility-vs-asset-management/
  4. https://www.industrialdefender.com/ot-asset-management/

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/ot-envir/
如有侵权请联系:admin#unsafe.sh