新一代互聯工業物聯網(IIoT)設備正在幫助企業利用互聯網的力量實現更智能的運營技術(OT)。可編程邏輯控制器(PLCs)廣泛用於控制工業機電過程的製造和機器人,並日益聯機。在城市中,聯網OT解決方案被用來提高一些關鍵服務的效率和生產率。
這些城市OT解決方案以及互聯的交通運輸和基礎設施技術,還可以確保組織與社會日益變化的文化和經濟形勢保持同步。因此,具有IIoT設備的OT解決方案已成為現代商業自動化解決方案,業務運營和關鍵基礎架構的骨幹。
但是,這些設備的迅速崛起也使它們(以及旨在幫助它們的業務)變得脆弱。實際上,在Ponemon Institute於2019年進行的一項研究中,涉及運行諸如水和電之類的重要公用事業的OT越來越受到網絡攻擊的威脅,這些攻擊可能會造成嚴重損害。
以前,控制系統具有特定的功能,並且通常不與其他系統連接,從而使攻擊的可能性降低且難度更大。但是,公司正在添加傳感器和嵌入式設備來控制網絡、監視操作並提高效率。這些系統越來越多地連接到公司內部技術系統,以促進數據傳輸。
由於網絡監控和其他安全實踐沒有被規範或適當地管理設備的安全性,問題隨之出現。例如,Stuxnet病毒就是針對離心機開發的,離心機是核電站裡用來分離鈾同位素的設備。Stuxnet是一種擁有不被某些安全措施檢測到的安全防護措施的蠕蟲,其設計目的是尋找離心機,並對其重新編程,以重複會導致離心機解體的循環。
IIoT設備通常還與IP網絡進行本地集成。這種能力可以簡化操作任務,但也意味著所有連接現在變得越來越脆弱。與標準IT設備一樣,它們仍然是全球網絡威脅的脆弱“軟目標”。
但在OT系統中被利用的不只是IIoT設備:Windows計算機和網絡也受到攻擊。從歷史上看,網絡攻擊的目標是計算機和移動設備等商業操作所需的IT資產,以竊取數據。然而,針對IT設備的新攻擊,比如OT系統中的機器、網絡和傳輸或分配電力的系統,可能會劫持操作關鍵基礎設施的控制系統,造成物理破壞和大面積停電。
在OT系統中使用IIoT和IT設備的組織需要評估暴露情況,並最大化其快速檢測和調查異常以及響應和減輕攻擊的能力。但是,提供設備安全性可能具有挑戰性,特別是因為IIoT和IT設備本質上是不同的。
IIoT設備的設計也不能與安全管理工具集成。瞭解設備風險的侷限性和機會對於幫助公司提高長期生存能力至關重要。
OT解決方案安全性的挑戰
傳統上,OT和IT安全是在各自的孤島中解決的,而不是採用整體方法。
互聯OT解決方案具有內在的安全挑戰,這些挑戰可能會對公司造成重大損害。此外,OT系統中的設備缺乏安全管理的集成能力。如果沒有企業風險觀,企業就缺乏快速發現威脅並作出適當反應的重要企業能力。
但是,高效而有效地監視設備並不是沒有希望。OT環境中的設備通常無需人工操作即可運行,並以某種方式建模為“行為”。這種編程方式意味著可以將算法重新解釋為“行為”,並且可以部署用戶實體行為分析(UEBA)以提高安全性監視功能和SIEM集成。
行為分析如何解決設備風險
傳統的威脅檢測解決方案並非針對互聯的OT系統和大數據時代而設計。他們要求安全團隊投入大量時間來維護靜態關聯規則,並在出現新威脅時加以識別。事實證明,調查同樣痛苦,需要在安全和IT系統之間進行查詢和轉換,直到分析師收集到足夠的證據來手動創建事件時間表為止。 一旦分析人員確定發生了什麼事,他們就可以控制並響應事件。
這裡的挑戰是,每一個OT控制點每秒都會生成數百甚至數千個日誌,這使得在網絡中很難檢測到對手。
UEBA通過使用分析來構建時間和對等組範圍內的用戶和實體的標準配置文件和行為,從而提供了一種不同的方法。與這些標準基準線異常的活動表示為可疑,而應用於這些異常的打包分析可以幫助發現威脅和潛在事件。UEBA解決方案為用戶和實體配置文件建立了基準,以識別正常活動,它們提供了一種系統地監視IIoT設備以及IT設備的大量輸出以發現潛在安全威脅的方法。
與現代SIEM集成的IT和OT安全
如前所述,傳統和現代IIoT/OT/IoT解決方案的侷限性都是固有的和持久的。但也有辦法。如果公司希望確保其業務運營的安全性和完整性,則應避免採用“點式解決方案(point solution)”方法,並選擇將UEBA和現代SIEM平臺相結合的集成解決方案,以實現企業範圍內的IT和OT安全。集中監控的這一步驟可以增加對威脅的檢測,包括難以檢測的技術,如橫向移動。SIEM可以接收和分析來自組織所有來源的數據,允許一個SOC團隊實時查看其OT環境中所有設備的所有安全性和可見性。