背景

近些年，工业控制领域的安全问题逐渐得到大家的关注，讨论通常围绕着如何保护 OT 环境。虽然在某些情况下，大多数人会关注 OT 设备，如可编程逻辑控制器 (PLC)、远程终端单元 (RTU) 或安全仪表系统 (SIS)，但了解 IT 和 OT 基础设施和系统的监控同样重要是至关重要的。由于缺乏对这些环境的可见性，因此几乎不可能知道如何保护整个 OT 系统。

大多数 OT 环境的主要关注点是安全可靠地运行进程。正如过去所证明的那样，新技术的引入会直接影响这些系统的安全性和可靠性。例如，扫描软件已被证明会对 PLC、SCADA 系统和其他设备产生负面影响。在某些情况下，扫描技术导致系统不稳定，导致设备离线，在最坏的情况下，使它们无法操作，这与拒绝服务攻击是同等性质。因此，许多 OT 操作人员将重点放在系统加固上，以将潜在攻击者排除在系统之外，例如被广泛使用的白名单机制。但大多数操作人员对 OT 环境本身的可见性有限。如果一个组织想要保护他们的 OT 环境，关键是操作者不仅要具有系统边界的可见性，而且针对基础设施和 OT 设备本身也需要具备可见性。

上下文资产的必要性

一直以来，安全性和可靠性一直被认为是 OT 环境的关键考量，而安全性则是后来才考虑到的。此外，传统技术和现代技术的结合，使 OT 系统在投入生产时的安全性更具挑战性，当时网络安全根本没有被考虑在内。好消息是，随着越来越多工控安全厂商的参与以及相关技术的引入，对于 OT 系统的监控与安全加固能力已经在许多现实生产环境中实现。与此同时，运营商可以方便地集中监控工控企业的 OT 环境，从而获得的可见性也十分关键。然而，由于数据的数量和多样性，添加更多的数据可能会存在隐藏风险。为了过滤这些数据，从而提供可操作的建议，可以应用 SIEM、SOAR 和用户行为分析等技术，但在 OT 环境中使用这些工具进行事件响应时，访问上下文数据是至关重要的。

通过结合企业安全和 OT 环境安全监控等方式，OT 安全团队现在可以利用资产和系统的上下文数据，以及其他技术和 SIEM 分析平台。诸如站点、资产所有者、操作状态和资产类型等信息都可以直接影响谁需要参与事件响应，以及可能的响应类型。将告警、漏洞和资产信息集成到平台中，不仅可以帮助安全分析师了解潜在的安全威胁，而且还可以在必要时获取关键的上下文资产信息。

关于 SOAR

安全编排、自动化和响应 (SOAR) 是一系列用于保护 IT 系统免受威胁的功能。

SOAR 指的是安全团队所使用的 3 大软件功能：案例和工作流管理、任务自动化，以及集中式管理访问、查询和共享威胁情报。SOAR 一词来自分析机构 Gartner。有些分析机构也用其他术语来描述 SOAR：IDC 将这一概念称为 “安全分析、情报、响应和编排”(AIRO)。Forrester 则使用 “安全自动化和编排”(SAO) 一词来描述同一功能。

SOAR 通常是与企业的安全防护运维中心 (SOC) 一起协调实施的。SOAR 平台可以监控威胁情报源并触发自动响应以缓解安全威胁。

上下文资产数据如何帮助 SOAR

安全编排自动化和响应 (SOAR) 是一组用于自动化部分安全调查过程的技术。之所以经常使用 SOAR，是因为 SOC 团队每天都会收到大量耗时的告警，但这些告警通常是重复的，并且可以自动化。这些日常场景中的重复告警可以通过自动化分析进行适当过滤，使事件响应团队可以专注于需要他们专业知识的关键问题。一些常见的 SOAR 编排和响应操作可能包括禁用帐户、阻止防火墙端口和隔离资产等。虽然这些操作不太可能在 OT 环境中自主发生，但还有其他的自动化工具可以帮助减少解决事件的时间。

例如，了解是否在某个资产上检测到新的应用程序或漏洞，可能是了解特定资产事件的临界性和潜在攻击的范围的关键。这些自动验证检查与资产关键度、信息和资产联系信息结合在一起，有助于减少平均解析时间 (MTTR)，同时有助于保护 OT 环境的其他部分。

利用事件响应 (IR) 工作簿有助于定义 IR 过程和可以利用的可能的自动化 (包括何时让一个人参与决策过程)。同时，工作簿可以使事件响应更加一致，并帮助防止事件响应者错过流程中的关键步骤。同样，这种上下文信息可以帮助 SOAR 平台知道应该执行哪些工作簿和流程，因为对 SIEM 发出的关键警报的响应可能会根据资产类型、位置和资产所有者而有所不同。