欢迎光临
我们一直在努力

原创 | 上下文资产信息(Context Asset Data)助力OT环境的SOAR

以下文章来源于网络安全应急技术国家工程实验室 ,作者绿盟科技

网络安全应急技术国家工程实验室 .

网络安全应急技术国家工程实验室是由国家互联网应急中心运营的国家级实验室。实验室致力于物联网安全领域的基础理论研究、关键技术研发与实验验证,并为国家关键基础设施的物联网建设和运行提供安全保障。

作者 | 绿盟科技格物实验室 田泽夏@nsfocus.com

 背景

近些年,工业控制领域的安全问题逐渐得到大家的关注,讨论通常围绕着如何保护OT环境。虽然在某些情况下,大多数人会关注OT设备,如可编程逻辑控制器(PLC)、远程终端单元(RTU)或安全仪表系统(SIS),但了解IT和OT基础设施和系统的监控同样重要是至关重要的。由于缺乏对这些环境的可见性,因此几乎不可能知道如何保护整个OT系统。

大多数OT环境的主要关注点是安全可靠地运行进程。正如过去所证明的那样,新技术的引入会直接影响这些系统的安全性和可靠性。例如,扫描软件已被证明会对PLC、SCADA系统和其他设备产生负面影响。在某些情况下,扫描技术导致系统不稳定,导致设备离线,在最坏的情况下,使它们无法操作,这与拒绝服务攻击是同等性质。因此,许多OT操作人员将重点放在系统加固上,以将潜在攻击者排除在系统之外,例如被广泛使用的白名单机制。但大多数操作人员对OT环境本身的可见性有限。如果一个组织想要保护他们的OT环境,关键是操作者不仅要具有系统边界的可见性,而且针对基础设施和OT设备本身也需要具备可见性。

 上下文资产的必要性

一直以来,安全性和可靠性一直被认为是OT环境的关键考量,而安全性则是后来才考虑到的。此外,传统技术和现代技术的结合,使OT系统在投入生产时的安全性更具挑战性,当时网络安全根本没有被考虑在内。好消息是,随着越来越多工控安全厂商的参与以及相关技术的引入,对于OT系统的监控与安全加固能力已经在许多现实生产环境中实现。与此同时,运营商可以方便地集中监控工控企业的OT环境,从而获得的可见性也十分关键。然而,由于数据的数量和多样性,添加更多的数据可能会存在隐藏风险。为了过滤这些数据,从而提供可操作的建议,可以应用SIEM、SOAR和用户行为分析等技术,但在OT环境中使用这些工具进行事件响应时,访问上下文数据是至关重要的。

通过结合企业安全和OT环境安全监控等方式,OT安全团队现在可以利用资产和系统的上下文数据,以及其他技术和SIEM分析平台。诸如站点、资产所有者、操作状态和资产类型等信息都可以直接影响谁需要参与事件响应,以及可能的响应类型。将告警、漏洞和资产信息集成到平台中,不仅可以帮助安全分析师了解潜在的安全威胁,而且还可以在必要时获取关键的上下文资产信息。

 关于SOAR

安全编排、自动化和响应(SOAR)是一系列用于保护 IT 系统免受威胁的功能。

SOAR 指的是安全团队所使用的3大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。SOAR一词来自分析机构 Gartner。有些分析机构也用其他术语来描述 SOAR:IDC 将这一概念称为“安全分析、情报、响应和编排”(AIRO)。Forrester 则使用“安全自动化和编排”(SAO)一词来描述同一功能。 

SOAR 通常是与企业的安全防护运维中心(SOC)一起协调实施的。SOAR 平台可以监控威胁情报源并触发自动响应以缓解安全威胁。

 上下文资产数据如何帮助SOAR

安全编排自动化和响应(SOAR)是一组用于自动化部分安全调查过程的技术。之所以经常使用SOAR,是因为SOC团队每天都会收到大量耗时的告警,但这些告警通常是重复的,并且可以自动化。这些日常场景中的重复告警可以通过自动化分析进行适当过滤,使事件响应团队可以专注于需要他们专业知识的关键问题。一些常见的SOAR编排和响应操作可能包括禁用帐户、阻止防火墙端口和隔离资产等。虽然这些操作不太可能在OT环境中自主发生,但还有其他的自动化工具可以帮助减少解决事件的时间。

例如,了解是否在某个资产上检测到新的应用程序或漏洞,可能是了解特定资产事件的临界性和潜在攻击的范围的关键。这些自动验证检查与资产关键度、信息和资产联系信息结合在一起,有助于减少平均解析时间(MTTR),同时有助于保护OT环境的其他部分。

利用事件响应(IR)工作簿有助于定义IR过程和可以利用的可能的自动化(包括何时让一个人参与决策过程)。同时,工作簿可以使事件响应更加一致,并帮助防止事件响应者错过流程中的关键步骤。同样,这种上下文信息可以帮助SOAR平台知道应该执行哪些工作簿和流程,因为对SIEM发出的关键警报的响应可能会根据资产类型、位置和资产所有者而有所不同。

参考链接:

1.https://www.industrialdefender.com/how-to-overcome-vulnerability-patch-management-challenges-in-ot/

2.https://www.industrialdefender.com/how-contextual-asset-data-makes-soar-possible-in-ot/

3.https://www.industrialdefender.com/defendersphere-ics-vendors/

载请注明来源:网络安全应急技术国家工程实验室

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”

赞(0) 打赏
未经允许不得转载:黑客技术网 » 原创 | 上下文资产信息(Context Asset Data)助力OT环境的SOAR
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏