保护工业物联网：采用下一代方法——第 2 部分

Exabeam 产品营销副总裁 Trevor Daughney

Exabeam

正如我们在上一篇文章中发现的那样，网络威胁越来越多地针对工业控制系统 (ICS)，目的是关闭生产线或对设备造成大规模物理损坏。

随着对工业网络的威胁不断增加，负责管理和保护 IT 和 OT 的员工需要密切合作，以查明潜在漏洞并确定需要弥合安全漏洞的优先级。在这样做的过程中，IT 和 OT 团队对 OT 环境、业务网络和更广泛的工业生态系统本身之间的相互关系（也可能包括供应商、供应商和合作伙伴）之间的相互关系获得了深刻的了解。

当您考虑到现在为止，IT 和 OT 安全问题主要是在各自的孤岛中得到解决时，这并非易事。此外，解决 OTsolutions 安全性的挑战并非易事。

气隙系统不是可行的解决方案

在保护工业控制系统方面，许多组织仍然采用一种称为气隙或隔离安全的方法，以加强传统 OT 系统的安全性以抵御网络攻击。然而，虽然作为一种权宜之计的安全措施有效，但从长远来看，气隙并不是理想的解决方案。它当然不应该单独使用。以 Stuxnet 蠕虫攻击为例，该攻击旨在通过受感染的 USB 记忆棒破坏其目标环境——跨越任何气隙。由于存在诸如此类的恶意计算机蠕虫，仅靠气隙是不够安全的。

除了气隙系统显着限制了组织利用这些系统生成的实时数据来削减成本、减少停机时间和提高效率的能力之外，当今的许多现代架构现在都支持将传统 OT 连接到互联网，以实现以下目的：现代作战指挥与控制。事实上，40% 的工业站点至少有一个与公共互联网的直接连接——当涉及到潜在的攻击者和恶意软件时，这使这些 OT 网络直接处于危险之中。

掌握复杂性

不幸的是，许多为 IT 世界设计的安全解决方案并不是为处理当今互联 OT 环境的复杂性而定制的。这是因为 OT 系统中使用的 IIoT 设备并未设计为与专为企业 IT 网络设计的安全监控和管理工具集成。

这对组织的影响是深远的：他们无法看到 OT 网络事件或资产。如果没有企业范围内所有潜在风险、漏洞和潜在渗透点的视图，这些公司的快速威胁检测和响应能力将受到严重损害。

对于负责保护 IIoT 环境免受越来越多针对多个行业的控制系统的威胁行为者的安全团队来说，这不是个好消息。

使用 UEBA 解决设备风险

好消息是，高效且有效地监控 OT 设备并非不可能完成的任务。这些设备通常设计为无需人工操作即可运行，它们以某种方式“运行”。例如，它们在预期时间使用特定端口、特定 IP 地址和设备进行通信。这些操作可以重新解释为“行为”，并部署用户实体行为分析 (UEBA) 以增加安全监控功能，这些功能可以与安全信息和事件管理 (SIEM) 集成，以真正统一的方式执行全面的基础设施监控。

UEBA 无需花费数天或数周的时间使用旧版 SIEM 系统手动查询和旋转单个 OT 控制点每秒生成的数百条日志中的每一条，而是可以更快、更轻松地发现入侵指标。

UEBA 解决方案使用分析对整个环境中所有用户和实体的综合正常行为概况进行建模，将识别与这些标准基线不一致的任何活动。然后可以对这些异常情况应用打包分析，以发现威胁和潜在事件。

通过这种方式，可以系统地监控 IIoT 设备以及 IT 设备的大量输出，以发现潜在的安全威胁。还可以监控其他活动，例如设备登录。

采取综合安全措施

正如我们所见，传统和现代 IIoT、OT 和 IoT 解决方案的局限性是持久的，但公司可以采取一些措施来确保其业务运营的完整性。

这里的关键是避免“单点解决方案”方法，而是选择将 UEBA 与现代 SIEM 平台相结合的集成解决方案，以提供企业范围的 IT 和 OT 安全视图。使启动最重要的集中监控成为可能这可以增加对威胁的检测 - 包括难以检测的技术，例如横向移动。

有了这个，单个 SOC 团队就可以利用 SIEM 从组织的所有来源提取和分析数据，并实时查看所有安全性 - 包括其 OT 环境中所有设备的完全可见性。

作者是 Exabeam 产品营销副总裁 Trevor Daughney