工业安全秘诀:一点 IT、一点 OT 和一点 SOC
我喜欢做饭。如果您也喜欢它,您就会知道共用厨房会带来一系列挑战。厨房里的厨师越多,就越容易引起争议。但是,如果一个人做开胃菜,另一个人做主菜,第三个人做甜点,结果通常是五颗星。如果你和我一样,一切都会成为工作的隐喻。因此,这个场景让我想到了保护工业物联网(或 IIoT)的主要利益相关者如何像厨房里的厨师一样。每个人都有自己的一套优先事项,当他们一起工作时,一顿美餐的机会就越大,我的意思是,结果。
厨师
在 OT 安全工作中,通常有三名既得主厨或利益相关者。让我们从 OT 本身开始。 OT 负责确保工业流程继续运行。这些过程是静态的和可预测的。 OT 的目标是通过有助于跟踪工业流程活动的运营洞察来减少停机时间。 OT 想要更高的效率、更多的可预测性和更多的可扩展性。为了实现这些目标,网络必须是安全的,而 OT 需要可见性,以更好地了解网络上的内容以及设备的运行方式。
在 OT 安全方面具有既得利益的第二方是 IT 部门。 IT 负责实施和管理安全基础设施。传统的安全解决方案需要在整个环境中部署安全设备、不断增长的 SPAN 收集网络或两者的组合。使用这些类型的解决方案,总拥有成本 (TCO) 会随着环境的增长而增加。组织不仅需要投资购买更多设备和带外收集网络来支持额外的 SPAN 流量,而且还会产生运营成本。除了 IT 环境之外,IT 部门根本没有资源来支持 OT 环境中庞大的安全基础设施。
同时,安全运营中心 (SOC) 的首要任务是使用最强大的工业应用感知集成安全解决方案套件保护企业免受威胁。 SOC 希望了解 OT 环境,以便它可以看到与整个组织相关的资产、威胁和漏洞。此上下文对于理解如何编写安全策略以最好地保护这些资产至关重要。在 IT 环境中,最佳实践要求隔离受损资产以防止攻击通过网络传播。由于系统的相互依赖性,在 OT 环境中采用相同的方法可能会导致整个流程陷入停顿。
食谱
为了成功保护 OT 环境,所有三个既得方必须像配方中的成分一样协同工作。每一方都拥有对方实现其目标所需的制度知识:OT 了解工业环境——设备、协议和业务流程,IT 了解 IP 网络,SOC 了解威胁和漏洞。这三个实体共同构成了对攻击者的强大防御。
必须保护 OT 环境以确保高可用性和可靠性,但 SOC 必须了解设备的上下文才能应用正确的安全策略。为了完成其中任何一项工作,两者都必须了解 OT 环境 — 安全解决方案提供的可见性,其架构可降低 IT 的 TCO。
思科如何提供帮助
Cisco Cyber Vision 是一个集成的工业安全解决方案。 Cyber Vision 使用由中央设备和嵌入网络硬件中的传感器组成的两层架构。传感器对工业级交换机执行深度包检测 (DPI),以了解网络中发生的情况并将元数据转发到数据中心。由于传感器位于每个网络交换机中,因此 OT 和 SOC 受益于完整的网络可见性。通过 Cisco Cyber Vision,OT 和 SOC 可以查看网络上资产的品牌和构成、它们的通信方式以及通信对象。除了详细的 OT 资产清单外,Cyber Vision 还跟踪工业流程。嵌入式传感器可以为工业控制系统的每个组件提供分析洞察力 - 为 OT 提供前所未有的洞察力。
由于 Cyber Vision 的基于软件的传感器在网络设备上的容器中运行,因此无需派人去实施设备或构建单独的带外网络来处理额外的流量。 IT 只需打开传感器功能,这对性能没有影响,这对 OT 来说是一个进一步的好处。这种独特的边缘架构降低了保护 OT 环境的复杂性和 TCO,即使它支持可扩展性。
对于 SOC,Cisco Cyber Vision 检测修改资产的尝试,并提供由领先的网络威胁情报团队 Cisco Talos Intelligence Group 提供支持的网络威胁检测。 Cyber Vision 与安全系统的集成使 SOC 能够监控、调查和补救跨运营部门的威胁——所有这些都来自一个解决方案。 SOC 可以通过常见的聚合威胁情报减少调查时间,并通过工业网络中内置的宏观和微观分段保护工业流程。
Cisco Cyber Vision 帮助所有三方(OT、IT 和 SOC)实现他们的目标:通过可扩展的低 TCO 解决方案保护和提高 OT 环境可用性的能力。如果您想了解有关 Cyber Vision 的更多信息,请观看点播网络研讨会 See It, Secure It:How to Gain Visibility In Industrial Control Networks。
物联网技术