可见性不足以保护运营技术系统

可见性不足以保护运营技术系统

时间戳:21年2023月3日00:XNUMX AM

对于任何刚刚接触保护运营技术 (OT) 网络或工业控制系统 (ICS) 免受网络威胁的人来说,获得全面的可见性似乎是合乎逻辑的第一步。 但然后呢? 事实上,仅靠可见性并不能保护您。 可见性不会阻止入侵者、保护端点、阻止恶意软件、分段网络或防止停机。 更好的解决方案是实时完成所有这些工作,而不是事后尝试补救。 因为一旦入侵者进入您的网络,可见性将无法将他们赶出。

由于 OT 网络面临大量威胁,因此需要双管齐下的解决方案。 可见性,绝对。 但他们还需要深度防御保护,以便在这些活动发生时甚至在它们发生之前检测并阻止它们。

为了有效,防御必须是特定于 OT 的,而不是重新设计的 IT 解决方案。 OT 环境可能极其脆弱,通常混合使用全新技术和数十年历史的技术。 应用可能是石油和天然气生产、发电、制造、水处理或楼宇自动化。 虽然 IT 传统上优先考虑隐私,但 OT 原生解决方案旨在优先考虑这些独特环境中的连续性。

OT 攻击变得更加聪明、肆无忌惮和常见

从 2010 年到 2020 年,针对关键基础设施的已知网络攻击不到 20 起。 到 2021 年,一年内发生的已知攻击数量比前 10 年还要多,到 2022 年又翻了一番。而且攻击更加肆无忌惮,例如国家支持的攻击者劫持了一辆运载工具,感染了其 OT 货物,并将其发送到其他国家。它的方式。 传统 IT 解决方案无法应对此类事件。

纵深防御方法

传统 IT 安全,尤其是云安全,往往将一切视为软件问题,以寻求软件解决方案。 在自动化工厂或基础设施运营的物理世界中情况并非如此,其中多种攻击媒介需要多管齐下的防御,而不仅仅是可见性,还需要提供预防和响应威胁的工具。 您可以采取以下一些实用、有效的步骤。

不信任任何事物,扫描一切

超越可见性的一种方法是扫描一切。 存储设备、供应商笔记本电脑、翻新资产和工厂的全新资产在连接到网络之前都应进行物理扫描。 将此作为一项政策,并在易受攻击的地点以便携式扫描设备的形式提供必要的设备。 这些设备必须使扫描过程变得简单实用,以便设施和运营经理遵守您的要求 安检政策。 适当的扫描工具还应该在每次检查期间收集并集中存储资产信息,支持可见性和保护策略。

保护端点

如果您使用基于 Windows 的系统或想要使用基于代理的防病毒技术,请部署一个能够检测意外系统更改(例如恶意软件、未经授权的访问、人为错误或设备重新配置)的软件解决方案,并在它们影响运营之前预防它们。

有效的端点保护需要专门为 OT 环境构建的解决方案。 真正的 OT 解决方案将深入了解 OT 应用程序和协议的数千种组合。 此外,它不仅仅能识别这些协议;它还能做更多的事情。 它将深入研究读/写命令,以实现主动、主动的保护。

保护生产中的资产

在 OT 安全中,可用性就是一切,建议采用主动式 OT 原生解决方案。 OT 原生解决方案将对协议有深入的了解,以维持已知和可信操作的可用性。

但深度防御意味着不仅要识别潜在的攻击或重新配置,还要真正阻止它。 因此, 虚拟补丁, 信任列表OT细分 还建议阻止入侵或防止和隔离恶意流量在网络中传播。 有一些可用的 OT 原生物理设备,它们实际上并不接触它们所保护的设备,而只是位于网络上来检测并阻止恶意活动到达生产资产。

不要停止; 攻击者不会

OT 环境是网络战争的最新前沿,因为它们目标丰富且非常非常脆弱。 他们需要专门的保护,因为没有人愿意在周一早上或假期结束后进去发现一条警告:“欢迎回来。 正在发生违规行为。” 如果您希望收到这样的警报:“周六凌晨 3:00 发生了一次尝试性违规,但已被阻止,您可以继续使用”,那么您将需要 OT 本地深度防御超越可见性来主动预防攻击的方法。

关于作者

奥斯汀·拜尔斯

奥斯汀·拜尔斯 (Austen Byers) 是以下公司的技术总监 TXOne网络公司。 他领导公司在设计、架构、工程技术指导和领导方面的工作。 Byers 是运营技术 (OT) 数字安全领域广受欢迎的思想领袖,在网络安全领域拥有 10 多年的经验。 他作为主题专家在众多行业活动中发表演讲,深入了解工业网络安全状况和复杂的 OT 漏洞,并提供策略来帮助组织保持资产和环境的安全。

时间戳记:

更多来自 暗读