新一代互联工业物联网(IIoT)设备正在帮助企业利用互联网的力量实现更智能的运营技术(OT)。可编程逻辑控制器(PLCs)广泛用于控制工业机电过程的制造和机器人,并日益联机。在城市中,联网OT解决方案被用来提高一些关键服务的效率和生产率。
这些城市OT解决方案以及互联的交通运输和基础设施技术,还可以确保组织与社会日益变化的文化和经济形势保持同步。因此,具有IIoT设备的OT解决方案已成为现代商业自动化解决方案,业务运营和关键基础架构的骨干。
但是,这些设备的迅速崛起也使它们(以及旨在帮助它们的业务)变得脆弱。实际上,在Ponemon Institute于2019年进行的一项研究中,涉及运行诸如水和电之类的重要公用事业的OT越来越受到网络攻击的威胁,这些攻击可能会造成严重损害。
以前,控制系统具有特定的功能,并且通常不与其他系统连接,从而使攻击的可能性降低且难度更大。但是,公司正在添加传感器和嵌入式设备来控制网络、监视操作并提高效率。这些系统越来越多地连接到公司内部技术系统,以促进数据传输。
由于网络监控和其他安全实践没有被规范或适当地管理设备的安全性,问题随之出现。例如,Stuxnet病毒就是针对离心机开发的,离心机是核电站里用来分离铀同位素的设备。Stuxnet是一种拥有不被某些安全措施检测到的安全防护措施的蠕虫,其设计目的是寻找离心机,并对其重新编程,以重复会导致离心机解体的循环。
IIoT设备通常还与IP网络进行本地集成。这种能力可以简化操作任务,但也意味着所有连接现在变得越来越脆弱。与标准IT设备一样,它们仍然是全球网络威胁的脆弱“软目标”。
但在OT系统中被利用的不只是IIoT设备:Windows计算机和网络也受到攻击。从历史上看,网络攻击的目标是计算机和移动设备等商业操作所需的IT资产,以窃取数据。然而,针对IT设备的新攻击,比如OT系统中的机器、网络和传输或分配电力的系统,可能会劫持操作关键基础设施的控制系统,造成物理破坏和大面积停电。
在OT系统中使用IIoT和IT设备的组织需要评估暴露情况,并最大化其快速检测和调查异常以及响应和减轻攻击的能力。但是,提供设备安全性可能具有挑战性,特别是因为IIoT和IT设备本质上是不同的。
IIoT设备的设计也不能与安全管理工具集成。了解设备风险的局限性和机会对于帮助公司提高长期生存能力至关重要。
OT解决方案安全性的挑战
传统上,OT和IT安全是在各自的孤岛中解决的,而不是采用整体方法。
互联OT解决方案具有内在的安全挑战,这些挑战可能会对公司造成重大损害。此外,OT系统中的设备缺乏安全管理的集成能力。如果没有企业风险观,企业就缺乏快速发现威胁并作出适当反应的重要企业能力。
但是,高效而有效地监视设备并不是没有希望。OT环境中的设备通常无需人工操作即可运行,并以某种方式建模为“行为”。这种编程方式意味着可以将算法重新解释为“行为”,并且可以部署用户实体行为分析(UEBA)以提高安全性监视功能和SIEM集成。
行为分析如何解决设备风险
传统的威胁检测解决方案并非针对互联的OT系统和大数据时代而设计。他们要求安全团队投入大量时间来维护静态关联规则,并在出现新威胁时加以识别。事实证明,调查同样痛苦,需要在安全和IT系统之间进行查询和转换,直到分析师收集到足够的证据来手动创建事件时间表为止。 一旦分析人员确定发生了什么事,他们就可以控制并响应事件。
这里的挑战是,每一个OT控制点每秒都会生成数百甚至数千个日志,这使得在网络中很难检测到对手。
UEBA通过使用分析来构建时间和对等组范围内的用户和实体的标准配置文件和行为,从而提供了一种不同的方法。与这些标准基准线异常的活动表示为可疑,而应用于这些异常的打包分析可以帮助发现威胁和潜在事件。UEBA解决方案为用户和实体配置文件建立了基准,以识别正常活动,它们提供了一种系统地监视IIoT设备以及IT设备的大量输出以发现潜在安全威胁的方法。
与现代SIEM集成的IT和OT安全
如前所述,传统和现代IIoT/OT/IoT解决方案的局限性都是固有的和持久的。但也有办法。如果公司希望确保其业务运营的安全性和完整性,则应避免采用“点式解决方案(point solution)”方法,并选择将UEBA和现代SIEM平台相结合的集成解决方案,以实现企业范围内的IT和OT安全。集中监控的这一步骤可以增加对威胁的检测,包括难以检测的技术,如横向移动。SIEM可以接收和分析来自组织所有来源的数据,允许一个SOC团队实时查看其OT环境中所有设备的所有安全性和可见性。
