工業(yè)組織如何使用風(fēng)險(xiǎn)導(dǎo)向的方法來協(xié)助保護(hù)OT端點(diǎn)和縮小安全性漏洞。
如今許多工業(yè)組織內(nèi)部均有大量仍未追蹤和監(jiān)控的端點(diǎn)裝置。
這些裝置大多數(shù)是在數(shù)十年的生產(chǎn)運(yùn)營中部署。因此許多工業(yè)組織對(duì)資訊技術(shù)(IT)和營運(yùn)技術(shù)(OT)作業(yè)仍是一知半解,而且那些有可能暴露的端點(diǎn)資產(chǎn)仍很容易遭到網(wǎng)路攻擊。再加上OT作業(yè)的連線能力持續(xù)增加,以及技能/資源持續(xù)短缺,這些因素導(dǎo)致工業(yè)部門的風(fēng)險(xiǎn)持續(xù)增加。
| 圖一 : 許多工業(yè)組織對(duì)IT和OT作業(yè)仍是一知半解,而且那些有可能暴露的端點(diǎn)資產(chǎn)仍很容易遭到網(wǎng)路攻擊。 |
|
雖然不可能修補(bǔ)每一個(gè)OT安全性漏洞,但您可以使用風(fēng)險(xiǎn)導(dǎo)向的資訊安全方法,根據(jù)貴組織最關(guān)鍵的安全性漏洞協(xié)助快速保護(hù)端點(diǎn)。我們的四步驟端點(diǎn)安全檢查清單可以協(xié)助建立風(fēng)險(xiǎn)導(dǎo)向的安全計(jì)畫,該計(jì)畫經(jīng)過量身訂製,能有助於強(qiáng)化貴組織的網(wǎng)路安全防護(hù)。
【步驟 1】獲得涵蓋連線到網(wǎng)路所有端點(diǎn)的可見性
因?yàn)槊總€(gè)網(wǎng)路安全從業(yè)人員都清楚知道,您無法保護(hù)您看不到的東西。如果您是工業(yè)網(wǎng)路安全的新進(jìn)人員,縮小可見性的差距是強(qiáng)而有力的第一個(gè)基礎(chǔ)步驟。
在此步驟中,您應(yīng)該根據(jù)貴組織的獨(dú)特需求量身訂製防護(hù)措施,可能必須:
? 將網(wǎng)路資產(chǎn)探索自動(dòng)化:自動(dòng)化平臺(tái)可以對(duì)網(wǎng)路區(qū)段內(nèi)的任何裝置進(jìn)行深入的即時(shí)盤點(diǎn),不僅包括傳統(tǒng)的IP型裝置,也包括較低階的ICS資產(chǎn)。
? 盡可能減少干擾:尋找能夠執(zhí)行深度資產(chǎn)探索,而不會(huì)影響網(wǎng)路可用性或營運(yùn)正常運(yùn)作時(shí)間的解決方案。
? 檢視您的網(wǎng)路架構(gòu):雖然安全產(chǎn)品可以改善您目前狀態(tài)的安全態(tài)勢(shì),但擁有適當(dāng)?shù)木W(wǎng)路架構(gòu)才是可以讓這些工具以最佳狀態(tài)執(zhí)行的基礎(chǔ)整合方案。
? 部署用於端點(diǎn)的集中式儀表板:儀表板將會(huì)提供最重要的資料,例如非常重要的未修補(bǔ)端點(diǎn)。
? 取得可疑活動(dòng)的即時(shí)警示:如果某個(gè)端點(diǎn)正在存取不應(yīng)存取的內(nèi)容,您必須立即知道。
? 配合人員調(diào)整見解:管理執(zhí)行高層會(huì)想要高階資料,而工程師可能必須深入了解更多脈絡(luò)。
? 保持不偏重供應(yīng)商:不偏重供應(yīng)商的端點(diǎn)管理系統(tǒng)可以針對(duì)您的風(fēng)險(xiǎn)概況提供統(tǒng)一的脈絡(luò)。.
? 通盤思考:努力涵蓋所有系統(tǒng)-而不僅是端點(diǎn)、頂層控制,以及對(duì)外連線網(wǎng)際網(wǎng)路的裝置。全方位的端點(diǎn)安全著重於環(huán)境的各個(gè)環(huán)節(jié),甚至是最低的IO層級(jí),而且應(yīng)考慮其他因素,例如生命週期狀態(tài)、備用零件的可用性、保固和前置時(shí)間。
【步驟 2】利用風(fēng)險(xiǎn)導(dǎo)向的方法優(yōu)先處理漏洞
| 圖二 : 在現(xiàn)今的威脅環(huán)境中,無可避免會(huì)發(fā)生入侵事件。請(qǐng)準(zhǔn)備災(zāi)難復(fù)原計(jì)畫,其中包括資料備份,並定期測(cè)試該計(jì)畫。 |
|
風(fēng)險(xiǎn)評(píng)估可以協(xié)助您以哪些風(fēng)險(xiǎn)會(huì)對(duì)貴組織造成最大影響為根據(jù),來辨識(shí)和優(yōu)先考慮風(fēng)險(xiǎn)。您可以採取評(píng)估和降低風(fēng)險(xiǎn)的一些關(guān)鍵措施包括:
? 判斷每個(gè)端點(diǎn)的「良好」?fàn)顩r:擷取端點(diǎn)存取、經(jīng)常存取的程式/檔案、使用者帳戶,以及修補(bǔ)程式狀態(tài)等資料,來建立衡量基準(zhǔn)。
? 執(zhí)行持續(xù)性的即時(shí)監(jiān)控:持續(xù)監(jiān)控端點(diǎn)是否偏離正常行為,以快速找出威脅。
? 微調(diào)安全警示以符合作業(yè)規(guī)範(fàn):根據(jù)您獨(dú)特環(huán)境中的正常行為模式,持續(xù)調(diào)整您的系統(tǒng),以避免警示疲勞。
? 符合核心法規(guī)標(biāo)準(zhǔn):確保您的端點(diǎn)緩解計(jì)畫符合產(chǎn)業(yè)需求和政府規(guī)定。
? 根據(jù)您最大的風(fēng)險(xiǎn)優(yōu)先處理安全性漏洞:只因?yàn)槟硺友b置容易遭到攻擊,不代表您的OT環(huán)境也是如此。使用風(fēng)險(xiǎn)評(píng)估來引導(dǎo)您的端點(diǎn)安全優(yōu)先處理順序和降低整體風(fēng)險(xiǎn),同時(shí)將對(duì)資源的影響降到最低。
【步驟 3】部署額外的網(wǎng)路及端點(diǎn)防護(hù)
強(qiáng)化您的OT環(huán)境可以新增更多有助於保護(hù)端點(diǎn)的防護(hù)層,同時(shí)能夠提升您的整體安全態(tài)勢(shì)。部分選項(xiàng)包括:
? 執(zhí)行零信任原則引擎:在裝置可以存取網(wǎng)路之前,從內(nèi)部和外部以持續(xù)和動(dòng)態(tài)的方式驗(yàn)證這些裝置。
? 分割您的網(wǎng)路:如果威脅者滲透您的環(huán)境,網(wǎng)路區(qū)隔可限制其可以採取的行動(dòng)。
? 部署防火牆:防火牆可以保護(hù)外部網(wǎng)路周邊,防止未經(jīng)授權(quán)的流量進(jìn)出。
? 為關(guān)鍵資料建立安全隔離區(qū):在您的關(guān)鍵資產(chǎn)和您的區(qū)域網(wǎng)路(LAN)間新增防火牆,可以減少威脅者取得存取權(quán)限時(shí)的攻擊面。
? 建立非軍事隔離區(qū) (DMZ):DMZ中需要和外界通訊的主機(jī)應(yīng)用程式,例如雲(yún)端型端點(diǎn)偵測(cè)與回應(yīng)(EDR)平臺(tái),有助於防止惡意存取。
? 將防火牆和DMZ搭配使用:如果威脅者滲透到DMZ,這種作法可以建立額外的防護(hù)。
? 要求USB安全檢查站:在將USB裝置連接到您的環(huán)境之前,請(qǐng)?jiān)趯S媒K端掃描是否存在威脅。
? 制定災(zāi)難復(fù)原計(jì)畫:在現(xiàn)今的威脅環(huán)境中,無可避免會(huì)發(fā)生入侵事件。請(qǐng)準(zhǔn)備災(zāi)難復(fù)原計(jì)畫,其中包括資料備份,並定期測(cè)試該計(jì)畫。
【步驟 4】建立持續(xù)性端點(diǎn)安全處理流程
您的基礎(chǔ)系統(tǒng)和處理流程是否完備?接下來請(qǐng)專注改善和發(fā)展您的策略。請(qǐng)考慮下列額外的精進(jìn)措施:
? 更頻繁盤點(diǎn)資產(chǎn):攻擊的速度和威脅的發(fā)展持續(xù)以飛快的速度增加。每季甚至每個(gè)月的資產(chǎn)盤點(diǎn)可能不足以應(yīng)付。
? 將修補(bǔ)程式管理自動(dòng)化:讓您的SecOps團(tuán)隊(duì)擺脫這項(xiàng)繁瑣耗時(shí)的工作以提升效率。
? 全年無休監(jiān)控威脅:威脅者永遠(yuǎn)不會(huì)罷休,您也不應(yīng)停下腳步。利用EDR等平臺(tái)全天候監(jiān)控威脅,協(xié)助您快速採取行動(dòng)。
? 執(zhí)行事件回應(yīng)計(jì)畫:您最不想做的事情,就是在事件發(fā)生時(shí)弄清楚如何應(yīng)對(duì)事件。事件回應(yīng)計(jì)畫可以提前建立逐步處理流程。如果您的內(nèi)部資源有限,可以交由洛克威爾自動(dòng)化等防護(hù)型事件回應(yīng)供應(yīng)商處理。
? 提高安全意識(shí)的有效性:培養(yǎng)SecOps和製造團(tuán)隊(duì)間的合作方法。這麼做將可改善您的安全文化,並賦予工廠區(qū)域的團(tuán)隊(duì)更大的安全所有權(quán)。
對(duì)OT環(huán)境而言,僅執(zhí)行傳統(tǒng)的IT安全措施並不足夠。OT系統(tǒng)有獨(dú)特的需求、限制,以及必須透過特定方法才能解決的風(fēng)險(xiǎn)。雖然利用IT安全最佳實(shí)務(wù)可能有所助益,但採用針對(duì)您OT基礎(chǔ)設(shè)施特定需求量身訂製的全方位安全策略非常重要。
若要保護(hù)工業(yè)控制系統(tǒng)(ICS)、監(jiān)管控制和資料擷取(SCADA)系統(tǒng),以及其他關(guān)鍵營運(yùn)資產(chǎn)等OT端點(diǎn),就必須深入了解營運(yùn)環(huán)境、潛在攻擊媒介,以及安全措施對(duì)系統(tǒng)可用性和效能的影響。
除了部署適當(dāng)?shù)陌踩ぞ吆图夹g(shù)以外,也必須針對(duì)OT環(huán)境建立符合工業(yè)標(biāo)準(zhǔn)和監(jiān)管要求的有力政策、程序和治理架構(gòu);其中包括執(zhí)行網(wǎng)路區(qū)隔、安全遠(yuǎn)端存取、修補(bǔ)程式管理,以及事件回應(yīng)計(jì)畫等措施。
在此過程中,和經(jīng)驗(yàn)豐富、專精工業(yè)控制系統(tǒng)的OT網(wǎng)路安全公司合作非常難能可貴。合作夥伴可以提供開發(fā)和執(zhí)行全方位OT網(wǎng)路安全計(jì)畫的專家指南,解決在營運(yùn)環(huán)境的獨(dú)特挑戰(zhàn)和風(fēng)險(xiǎn)因素。透過專業(yè)知識(shí)可以協(xié)助彌平IT和OT安全之間的差距,確認(rèn)您的重要系統(tǒng)獲得充分保護(hù),而不會(huì)影響營運(yùn)完整性和韌性。
(本文作者M(jìn)att Cameron為洛克威爾自動(dòng)化網(wǎng)路安全服務(wù)全球產(chǎn)品經(jīng)理、Steven Taylor為自動(dòng)化網(wǎng)路安全服務(wù)資深全球產(chǎn)品經(jīng)理)
