您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
資產(chǎn)可見(jiàn)性與資產(chǎn)管理共筑OT環(huán)境安全防線
背景
兩千多年前,古代軍事家孫子有句名言:“知己知彼,百戰(zhàn)不殆?!北M管今天的世界看起來(lái)截然不同,但這一原則仍適用于網(wǎng)絡(luò)安全資產(chǎn)意識(shí)。事實(shí)上,確保工業(yè)控制系統(tǒng)安全是從準(zhǔn)確的自我認(rèn)識(shí)和自我控制開(kāi)始,也就是所謂的資產(chǎn)可見(jiàn)性和資產(chǎn)管理的雙重原則,而且在加固O(píng)T系統(tǒng)安全的過(guò)程中,應(yīng)該被視為不同階段的不同目標(biāo)。
通常情況下,資產(chǎn)可見(jiàn)性的目標(biāo)是為安全操作員提供關(guān)于ICS資產(chǎn)的可操作信息。資產(chǎn)管理的目標(biāo)是利用這些信息更好地保護(hù)操作環(huán)境。從這個(gè)意義上說(shuō),管理和可見(jiàn)性是一枚硬幣的兩面。你不能保護(hù)看不見(jiàn)的東西,你的可見(jiàn)性只有在它是可管理的時(shí)候才有用。本文的目的是更詳細(xì)地解釋每個(gè)概念,并提供關(guān)于每個(gè)概念的角色、注意事項(xiàng)和重要性。最近的事件,如Colonial Pipeline和JBS肉類包裝事件,很大程度上是由于其中一個(gè)或兩個(gè)過(guò)程的弱點(diǎn)造成的。只有理解資產(chǎn)可見(jiàn)性和資產(chǎn)管理的功能和重要性,才能防范和預(yù)防未來(lái)的安全風(fēng)險(xiǎn)。
資產(chǎn)可見(jiàn)性
資產(chǎn)可見(jiàn)性指的是幫助繪制組織內(nèi)數(shù)字和物理設(shè)備全景的過(guò)程。在過(guò)去,資產(chǎn)可見(jiàn)性經(jīng)常依賴于人工收集與總結(jié)。有必要去現(xiàn)場(chǎng)觀察設(shè)備,并手工記錄。通過(guò)使用Microsoft Excel等工具將記錄數(shù)字化,這一過(guò)程得到了些許改進(jìn)。然而,這兩種方法都遠(yuǎn)遠(yuǎn)落后于今天的標(biāo)準(zhǔn),不能滿足現(xiàn)代工業(yè)環(huán)境的要求。人工時(shí)間和動(dòng)態(tài)更新的需求均使得這種人工行為不再適用。相反,現(xiàn)代資產(chǎn)可見(jiàn)性通常是通過(guò)自動(dòng)化流程實(shí)現(xiàn)的,這些流程分為兩大類:主動(dòng)可見(jiàn)性或被動(dòng)可見(jiàn)性。
主動(dòng)可見(jiàn)
主動(dòng)可見(jiàn)是通過(guò)在各種工業(yè)協(xié)議中發(fā)送數(shù)據(jù)包來(lái)實(shí)現(xiàn)的,目的是發(fā)現(xiàn)和記錄網(wǎng)絡(luò)路徑和其中的設(shè)備。然而,許多OT系統(tǒng)運(yùn)行在各自的系統(tǒng)上,并且使用不同的協(xié)議,這為該方法的自動(dòng)化制造了障礙。因此,主動(dòng)可見(jiàn)性解決方案必須能夠與完全不同的OT軟件協(xié)議進(jìn)行順暢的交互才能獲得成功。主動(dòng)可見(jiàn)性最大的優(yōu)點(diǎn)是能夠控制數(shù)據(jù)刷新和內(nèi)容的頻率,而且通常是獲得特定數(shù)據(jù)值的唯一方法,比如HMI上使用的軟件情況和補(bǔ)丁信息等。
被動(dòng)可見(jiàn)
與此同時(shí),被動(dòng)可見(jiàn)性依賴于讀取整個(gè)OT網(wǎng)絡(luò)的網(wǎng)絡(luò)流量和戰(zhàn)略部署信息。這種方法是不生成網(wǎng)絡(luò)流量的,而是偵聽(tīng)OT網(wǎng)絡(luò)來(lái)推斷網(wǎng)絡(luò)路徑和設(shè)備。雖然在特定環(huán)境下效果較差,但被動(dòng)解決方案的優(yōu)點(diǎn)是將風(fēng)險(xiǎn)限制在正常操作范圍內(nèi)。除非為OT定制構(gòu)建了獨(dú)有的主動(dòng)可見(jiàn)解決方案,否則方案反而會(huì)通過(guò)探測(cè)流量帶來(lái)操作風(fēng)險(xiǎn)——這種風(fēng)險(xiǎn)在被動(dòng)可見(jiàn)解決方案中是不存在的。另一個(gè)優(yōu)點(diǎn)是對(duì)網(wǎng)絡(luò)中發(fā)生的事件進(jìn)行近乎實(shí)時(shí)的監(jiān)控。雖然主動(dòng)的方式允許操作員控制數(shù)據(jù)收集的頻率,但它會(huì)在事件發(fā)生和操作員看到事件之間造成時(shí)間上的延遲。除此之外,并不是所有的更新都是通過(guò)網(wǎng)絡(luò)進(jìn)行的,被動(dòng)可見(jiàn)系統(tǒng)在這種情況下就十分受限制。
在兩種模式中,都有重要的特定數(shù)據(jù)需要查看。例如IP地址、物理位置、硬件/軟件供應(yīng)商、生命周期階段、漏洞和補(bǔ)丁狀態(tài)。了解OT系統(tǒng)的情況是保衛(wèi)它的第一步也是必要的一步。
資產(chǎn)管理
資產(chǎn)管理是指對(duì)資產(chǎn)可見(jiàn)性數(shù)據(jù)進(jìn)行操作以更新和保護(hù)數(shù)字和物理設(shè)備的過(guò)程。早在2016年,在美國(guó)有一項(xiàng)對(duì)200名公用事業(yè)高管的調(diào)查,他們都將資產(chǎn)管理列為運(yùn)營(yíng)技術(shù)安全的一個(gè)關(guān)鍵考量。隨著工業(yè)物聯(lián)網(wǎng)(IIoT)的快速崛起和更大的工業(yè)4.0運(yùn)動(dòng),資產(chǎn)管理變得越來(lái)越重要。將IP連接納入OT系統(tǒng)增加了與OT資產(chǎn)相關(guān)的風(fēng)險(xiǎn),對(duì)于管理能力是極大的挑戰(zhàn)。管理的關(guān)鍵領(lǐng)域包括修補(bǔ)漏洞、生命周期管理、安全事件日志記錄和恢復(fù)能力等。
管理解決方案可以使用可見(jiàn)性工具接收到的數(shù)據(jù)來(lái)檢查軟件和硬件設(shè)備,以對(duì)抗公開(kāi)的已知漏洞。資產(chǎn)管理解決方案還可以識(shí)別關(guān)鍵的補(bǔ)丁缺失,從而降低安全風(fēng)險(xiǎn)。同時(shí),還需要具備識(shí)別運(yùn)行舊操作系統(tǒng)的設(shè)備的能力,因?yàn)檫@些系統(tǒng)通常不再得到制造商的支持。資產(chǎn)管理解決方案可以幫助確定如何最好地將這些設(shè)備與其他網(wǎng)絡(luò)活動(dòng)隔離。除此之外,資產(chǎn)管理還可以檢測(cè)和標(biāo)記從可見(jiàn)性解決方案接收到的異?;顒?dòng),并盡可能提供恢復(fù)服務(wù),以減輕惡性攻擊的損害。
總結(jié)
綜上所述,OT資產(chǎn)可見(jiàn)性和資產(chǎn)管理是工業(yè)網(wǎng)絡(luò)安全中截然不同但同樣不可或缺的兩個(gè)方面。確保可見(jiàn)性和管理解決方案能夠并行工作,使所接收的數(shù)據(jù)具有可操作性是至關(guān)重要的。OT的形勢(shì)正變得越來(lái)越復(fù)雜。通過(guò)資產(chǎn)可見(jiàn)性獲得態(tài)勢(shì)感知,通過(guò)資產(chǎn)管理進(jìn)行自我控制,可以確保OT系統(tǒng)在面對(duì)各種各樣的潛在攻擊時(shí)做好了萬(wàn)全的準(zhǔn)備。
參考鏈接:
1.https://new.abb.com/news/detail/45824/abb-survey-shows-majority-of-utilities-see-iot-as-key-to-asset-management
2.https://www.industrialdefender.com/defending-the-industrial-internet-of-things/
3.https://www.industrialdefender.com/asset-visibility-vs-asset-management/
4.https://www.industrialdefender.com/ot-asset-management/
作者 | 綠盟科技格物實(shí)驗(yàn)室 田澤夏@nsfocus.com
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心