OT资产可见性如何实现有效的威胁检测

当OT资产可见性和威胁检测结合在一起时,工业组织开始获得全面的威胁可见性。

由Dragos 2022年8月2日
图片提供:布雷特·赛尔斯(Brett Sayles)

固体资产管理是所有网络安全活动的基础。将资产枚举成可靠的库存,跟踪其当前状态 - 包括部署的配置和版本,并绘制他们的关系,这一切都大有帮助获得最大风险所在的最大风险所在。在ICS环境中,工业组织通常很难获得他们所需的OT资产可见性,以管理和确保运行其工业运营的全部技术资产。

特定于IT的资产清单和监视工具无法准确或安全地跟踪OT资产,使组织拥有手动和孤立的收集流程,用于库存OT资产。不仅在此时间密集型,因此产生的库存不准确,很少更新。

这是我们一直在撰写的一系列博客中的第四个,以解释由自动收藏的OT资产可见性计划如何减轻资产管理的负担,并及时可见到OT环境。该系列一直在研究这为工业组织提供的安全利益 - 从提供的基本面开始对OT基础架构的正常外观有清晰的看法, 和可视化资产之间的关系

除这些原则外,Automated OT资产可见性计划提供了另一组巨大的优势,是威胁检测周围的一种。

OT资产可见性可实现更好的威胁检测

威胁检测和资产可见性工具在OT网络安全中就像同一硬币的两个方面。

资产发现和监视工具专门为OT环境制造,以有价值的背景为威胁检测机制。例如,如果交通与HMI相对于安全仪器系统(SIS)(SIS),则由于东西流流量而发射的威胁检测规则将具有完全不同的背景。同时,威胁检测工具扩展了对OT基础架构中正在发生的事情的分析,并为何时在托管资产组合中出现异常时提供了理智检查。这是因为资产状况的异常情况,例如在有意被拆除以进行维护时离线的工作站,并不一定意味着存在威胁。

目前,工业界仍在努力通过对ICS环境的可见性来丰富其威胁检测能力。根据最新的Dragos年,在2021年期间Dragos发现了86%的专业服务客户仅限于不可见力进入他们的ICS环境。

虽然确实是一种被动检测检测方法,并不一定需要完整的资产可见性才能掌握资产之间的威胁活动,但绝对可以轻松地识别完全可见的资产中的威胁。

可见性和资产库存和行为的既定基线增加了至关重要的上下文线索,以加快威胁检测。某些更改可能是好是坏,偏差不一定是组织想要触发警报的东西。但是,加上威胁行为数据的资产信息为OT威胁检测提供了更大的保真度,该检测可以说明与对手策略,技术和程序(TTP)相关的变化与与计划的操作变更相关的变化之间的差异。

关键是,仅威胁检测不足以为有效的OT网络安全计划提供动力。仅资产可见性也是不够的。两者结合在一起的时候,工业组织开始获得全面的威胁可见性。

这最初出现在Dragos网站Dragos是CFE媒体内容合作伙伴。

原始内容可以在Dragos


Dragos