SOAR资讯 上下文资产信息 (Context Asset Data) 助力 OT 环境的 SOAR(工业互联网)

wukeshu220 · 2022年04月22日 · 710 次阅读

背景

近些年,工业控制领域的安全问题逐渐得到大家的关注,讨论通常围绕着如何保护 OT 环境。虽然在某些情况下,大多数人会关注 OT 设备,如可编程逻辑控制器 (PLC)、远程终端单元 (RTU) 或安全仪表系统 (SIS),但了解 IT 和 OT 基础设施和系统的监控同样重要是至关重要的。由于缺乏对这些环境的可见性,因此几乎不可能知道如何保护整个 OT 系统。

大多数 OT 环境的主要关注点是安全可靠地运行进程。正如过去所证明的那样,新技术的引入会直接影响这些系统的安全性和可靠性。例如,扫描软件已被证明会对 PLC、SCADA 系统和其他设备产生负面影响。在某些情况下,扫描技术导致系统不稳定,导致设备离线,在最坏的情况下,使它们无法操作,这与拒绝服务攻击是同等性质。因此,许多 OT 操作人员将重点放在系统加固上,以将潜在攻击者排除在系统之外,例如被广泛使用的白名单机制。但大多数操作人员对 OT 环境本身的可见性有限。如果一个组织想要保护他们的 OT 环境,关键是操作者不仅要具有系统边界的可见性,而且针对基础设施和 OT 设备本身也需要具备可见性。

上下文资产的必要性

一直以来,安全性和可靠性一直被认为是 OT 环境的关键考量,而安全性则是后来才考虑到的。此外,传统技术和现代技术的结合,使 OT 系统在投入生产时的安全性更具挑战性,当时网络安全根本没有被考虑在内。好消息是,随着越来越多工控安全厂商的参与以及相关技术的引入,对于 OT 系统的监控与安全加固能力已经在许多现实生产环境中实现。与此同时,运营商可以方便地集中监控工控企业的 OT 环境,从而获得的可见性也十分关键。然而,由于数据的数量和多样性,添加更多的数据可能会存在隐藏风险。为了过滤这些数据,从而提供可操作的建议,可以应用 SIEM、SOAR 和用户行为分析等技术,但在 OT 环境中使用这些工具进行事件响应时,访问上下文数据是至关重要的。

通过结合企业安全和 OT 环境安全监控等方式,OT 安全团队现在可以利用资产和系统的上下文数据,以及其他技术和 SIEM 分析平台。诸如站点、资产所有者、操作状态和资产类型等信息都可以直接影响谁需要参与事件响应,以及可能的响应类型。将告警、漏洞和资产信息集成到平台中,不仅可以帮助安全分析师了解潜在的安全威胁,而且还可以在必要时获取关键的上下文资产信息。

关于 SOAR

安全编排、自动化和响应 (SOAR) 是一系列用于保护 IT 系统免受威胁的功能。

SOAR 指的是安全团队所使用的 3 大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。SOAR 一词来自分析机构 Gartner。有些分析机构也用其他术语来描述 SOAR:IDC 将这一概念称为 “安全分析、情报、响应和编排”(AIRO)。Forrester 则使用 “安全自动化和编排”(SAO) 一词来描述同一功能。

SOAR 通常是与企业的安全防护运维中心 (SOC) 一起协调实施的。SOAR 平台可以监控威胁情报源并触发自动响应以缓解安全威胁。

上下文资产数据如何帮助 SOAR

安全编排自动化和响应 (SOAR) 是一组用于自动化部分安全调查过程的技术。之所以经常使用 SOAR,是因为 SOC 团队每天都会收到大量耗时的告警,但这些告警通常是重复的,并且可以自动化。这些日常场景中的重复告警可以通过自动化分析进行适当过滤,使事件响应团队可以专注于需要他们专业知识的关键问题。一些常见的 SOAR 编排和响应操作可能包括禁用帐户、阻止防火墙端口和隔离资产等。虽然这些操作不太可能在 OT 环境中自主发生,但还有其他的自动化工具可以帮助减少解决事件的时间。

例如,了解是否在某个资产上检测到新的应用程序或漏洞,可能是了解特定资产事件的临界性和潜在攻击的范围的关键。这些自动验证检查与资产关键度、信息和资产联系信息结合在一起,有助于减少平均解析时间 (MTTR),同时有助于保护 OT 环境的其他部分。

利用事件响应 (IR) 工作簿有助于定义 IR 过程和可以利用的可能的自动化 (包括何时让一个人参与决策过程)。同时,工作簿可以使事件响应更加一致,并帮助防止事件响应者错过流程中的关键步骤。同样,这种上下文信息可以帮助 SOAR 平台知道应该执行哪些工作簿和流程,因为对 SIEM 发出的关键警报的响应可能会根据资产类型、位置和资产所有者而有所不同。

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册