有必要為OT網(wǎng)絡(luò)單獨建設(shè)一個SOC嗎?

OT環(huán)境的漏洞管理(例如漏洞發(fā)現(xiàn)、評估和合規(guī)性掃描)也非常復(fù)雜和棘手,因為PLC和SCADA設(shè)備往往難以承受漏洞掃描。為了避免這種情況,企業(yè)可以使用被動漏洞掃描解決方案。但即使采用這種方法,仍然存在一些復(fù)雜的問題需要解決。

1.png

本文來自微信公眾號“GoUpSec”。

評估OT環(huán)境是否需要建設(shè)專用SOC(OT-SOC)是一項細(xì)致且復(fù)雜的工作,不僅取決于企業(yè)的風(fēng)險偏好,還包含一系列考慮因素。例如,OT系統(tǒng)對于企業(yè)的重要性、安全漏洞的潛在影響、合規(guī)要求以及不斷變化的威脅形勢。此外,還需要對企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全能力進(jìn)行深入評估,包括事件檢測、響應(yīng)能力以及保護(hù)敏感OT資產(chǎn)的能力。

OT網(wǎng)絡(luò)安全的獨特挑戰(zhàn)

在討論OT-SOC的必要性之前,我們先簡要總結(jié)一下OT網(wǎng)絡(luò)安全的特殊性:

理論上,如果企業(yè)嚴(yán)格遵守普渡模型,OT環(huán)境將能有效遏制和緩解IT相關(guān)威脅。然而,現(xiàn)實中的OT網(wǎng)絡(luò)的安全態(tài)勢更為復(fù)雜,理論與實踐往往存在分歧。

1.png

普渡大學(xué)模型

實施普渡模型的第一個障礙是身份和訪問管理(IAM)。這是一個關(guān)鍵的考慮因素,安全主管面臨一個頗具挑戰(zhàn)性的問題:“采用集中身份驗證還是分散身份驗證?”這兩個選擇各有其優(yōu)缺點,需要仔細(xì)評估。

OT環(huán)境的漏洞管理(例如漏洞發(fā)現(xiàn)、評估和合規(guī)性掃描)也非常復(fù)雜和棘手,因為PLC和SCADA設(shè)備往往難以承受漏洞掃描。為了避免這種情況,企業(yè)可以使用被動漏洞掃描解決方案。但即使采用這種方法,仍然存在一些復(fù)雜的問題需要解決。

首先,你的OT環(huán)境在PLC/SCADA設(shè)備和其他組件之間是否有明確的界限?實現(xiàn)這種分離可能是一項艱巨的任務(wù),而且漏洞評估的頻率和范圍仍然會受到限制。

OT安全面臨的另一個難題是端點安全。并非每個OT設(shè)備供應(yīng)商都允許安裝企業(yè)級反惡意軟件和EDR解決方案,他們擔(dān)心此類軟件可能會破壞設(shè)備的功能,導(dǎo)致服務(wù)級別協(xié)議(SLA)出現(xiàn)問題。這種限制使得安全團隊必須在保護(hù)OT環(huán)境和維持關(guān)鍵設(shè)備不間斷運行之間取得微妙的平衡。

OT環(huán)境另一個獨特的挑戰(zhàn)是無處不在的過時操作系統(tǒng)。與IT環(huán)境(設(shè)備通常每4到6年更換一次)不同,OT環(huán)境通常遵循更長的生命周期管理計劃,最長可達(dá)20年。這種“長壽系統(tǒng)“加大了與操作系統(tǒng)相關(guān)的風(fēng)險,這些操作系統(tǒng)可能早已不再定期接收安全更新和補丁,從而更容易受到網(wǎng)絡(luò)威脅。

工業(yè)環(huán)境中設(shè)備生命周期的延長帶來了一系列獨特的挑戰(zhàn)。采用普渡模型并依靠VLAN和路由器來隔離資產(chǎn)和管理風(fēng)險并不足夠,企業(yè)還需要實施適當(dāng)?shù)姆阑饓軜?gòu)來大大減少漏洞被利用的風(fēng)險和攻擊的“爆炸半徑“。創(chuàng)建此類OT防火墻架構(gòu)的優(yōu)點在于,雖然它是勞動密集型的,但設(shè)計過程本身相對簡單。

但需要注意的是,有效實施此類防火墻架構(gòu)需要專用的OT-SOC。這是因為,必須深入了解OT系統(tǒng),才能在這種獨特的環(huán)境中做出明智的決策并有效應(yīng)對安全事件。這種方法需要對專業(yè)知識和資源進(jìn)行大量投資,以加強OT基礎(chǔ)設(shè)施的安全狀況。

建設(shè)OT-SOC的關(guān)鍵考量因素:事件響應(yīng)

在決定是否建立專門的OT-SOC時,一個關(guān)鍵的考慮因素是事件響應(yīng)。雖然在較高層面上,NIST事件響應(yīng)模型在IT和OT環(huán)境中保持一致,但實際執(zhí)行卻存在顯著差異。主要是因為在OT領(lǐng)域采取的行動可能產(chǎn)生重大影響或嚴(yán)重后果。

1.png

在傳統(tǒng)IT環(huán)境中,當(dāng)惡意軟件爆發(fā)時,常見的應(yīng)對措施是隔離并遏制受影響的設(shè)備。然而,在OT環(huán)境中實施相同的方法會帶來巨大的風(fēng)險。原因在于OT中斷可能產(chǎn)生重大影響。想象一下這樣一個場景:你在工廠的OT網(wǎng)絡(luò)上隔離設(shè)備。這種行為在IT環(huán)境中看似無害,但可能會無意中擾亂整個工廠生產(chǎn)線,從而可能導(dǎo)致災(zāi)難性后果,甚至危及生命。

擁有專用OT-SOC的關(guān)鍵優(yōu)勢是能夠更好地設(shè)計和執(zhí)行針對OT獨特挑戰(zhàn)的更為精確的事件響應(yīng)策略。因為OT-SOC(團隊)擁有應(yīng)對復(fù)雜OT事件場景的專業(yè)知識,因此不會“誤傷“關(guān)鍵系統(tǒng)的核心功能。這意味著專用OT-SOC才是保護(hù)OT環(huán)境的明智選擇,而不是僅僅依賴更通用的IT-SOC。

IT和OTSOC是否共享SIEM和SOAR?

根據(jù)不同企業(yè)的組織結(jié)構(gòu),建立專用的OT-SOC并不一定需要重復(fù)建設(shè)SIEM和SOAR平臺。IT和OT的SOC共享SIEM和SOAR平臺是一個可行的選擇。當(dāng)選擇共享方法時,確保這些平臺位于IT和OT環(huán)境之間的DMZ中至關(guān)重要。僅允許通過代理或單步解決方案訪問這些平臺。

以上這種共享架構(gòu)設(shè)計有雙重目的。首先,它可保護(hù)SIEM和SOAR平臺本身,創(chuàng)建額外的防御層。其次,最大限度避免這些平臺成為從IT環(huán)境進(jìn)入OT環(huán)境的網(wǎng)絡(luò)攻擊的墊腳石。

采用共享SIEM平臺的顯著優(yōu)勢之一是其能夠關(guān)聯(lián)整個環(huán)境中的安全警報。此功能可以更全面地了解潛在威脅,并促進(jìn)更快、更有效的響應(yīng)。但是,需要注意的是,如果您所在公司的風(fēng)險承受能力不允許共享訪問,則可以通過在IT和OT安全團隊之間實施明確定義的流程和互鎖來實現(xiàn)類似的結(jié)果。這些措施可以實現(xiàn)有效的信息共享和協(xié)調(diào),而無需共享SIEM平臺,從而確保安全性的同時與企業(yè)的風(fēng)險管理策略保持一致。

最后,企業(yè)的風(fēng)險承受能力和OT基礎(chǔ)設(shè)施的具體需求也是決定是否建設(shè)專用SOC的決定性因素。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論