原創(chuàng) | 上下文資產(chǎn)信息(Context Asset Data)助力OT環(huán)境的SOAR
2021-11-17
來(lái)源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室
背景
近些年,工業(yè)控制領(lǐng)域的安全問(wèn)題逐漸得到大家的關(guān)注,,討論通常圍繞著如何保護(hù)OT環(huán)境,。雖然在某些情況下,大多數(shù)人會(huì)關(guān)注OT設(shè)備,,如可編程邏輯控制器(PLC)、遠(yuǎn)程終端單元(RTU)或安全儀表系統(tǒng)(SIS),但了解IT和OT基礎(chǔ)設(shè)施和系統(tǒng)的監(jiān)控同樣重要是至關(guān)重要的,。由于缺乏對(duì)這些環(huán)境的可見(jiàn)性,因此幾乎不可能知道如何保護(hù)整個(gè)OT系統(tǒng),。
大多數(shù)OT環(huán)境的主要關(guān)注點(diǎn)是安全可靠地運(yùn)行進(jìn)程,。正如過(guò)去所證明的那樣,新技術(shù)的引入會(huì)直接影響這些系統(tǒng)的安全性和可靠性,。例如,,掃描軟件已被證明會(huì)對(duì)PLC、SCADA系統(tǒng)和其他設(shè)備產(chǎn)生負(fù)面影響,。在某些情況下,,掃描技術(shù)導(dǎo)致系統(tǒng)不穩(wěn)定,導(dǎo)致設(shè)備離線,,在最壞的情況下,,使它們無(wú)法操作,這與拒絕服務(wù)攻擊是同等性質(zhì),。因此,,許多OT操作人員將重點(diǎn)放在系統(tǒng)加固上,以將潛在攻擊者排除在系統(tǒng)之外,,例如被廣泛使用的白名單機(jī)制,。但大多數(shù)操作人員對(duì)OT環(huán)境本身的可見(jiàn)性有限。如果一個(gè)組織想要保護(hù)他們的OT環(huán)境,,關(guān)鍵是操作者不僅要具有系統(tǒng)邊界的可見(jiàn)性,,而且針對(duì)基礎(chǔ)設(shè)施和OT設(shè)備本身也需要具備可見(jiàn)性。
上下文資產(chǎn)的必要性
一直以來(lái),,安全性和可靠性一直被認(rèn)為是OT環(huán)境的關(guān)鍵考量,,而安全性則是后來(lái)才考慮到的。此外,,傳統(tǒng)技術(shù)和現(xiàn)代技術(shù)的結(jié)合,,使OT系統(tǒng)在投入生產(chǎn)時(shí)的安全性更具挑戰(zhàn)性,當(dāng)時(shí)網(wǎng)絡(luò)安全根本沒(méi)有被考慮在內(nèi),。好消息是,,隨著越來(lái)越多工控安全廠商的參與以及相關(guān)技術(shù)的引入,對(duì)于OT系統(tǒng)的監(jiān)控與安全加固能力已經(jīng)在許多現(xiàn)實(shí)生產(chǎn)環(huán)境中實(shí)現(xiàn),。與此同時(shí),,運(yùn)營(yíng)商可以方便地集中監(jiān)控工控企業(yè)的OT環(huán)境,,從而獲得的可見(jiàn)性也十分關(guān)鍵。然而,,由于數(shù)據(jù)的數(shù)量和多樣性,,添加更多的數(shù)據(jù)可能會(huì)存在隱藏風(fēng)險(xiǎn)。為了過(guò)濾這些數(shù)據(jù),,從而提供可操作的建議,,可以應(yīng)用SIEM、SOAR和用戶行為分析等技術(shù),,但在OT環(huán)境中使用這些工具進(jìn)行事件響應(yīng)時(shí),,訪問(wèn)上下文數(shù)據(jù)是至關(guān)重要的。
通過(guò)結(jié)合企業(yè)安全和OT環(huán)境安全監(jiān)控等方式,,OT安全團(tuán)隊(duì)現(xiàn)在可以利用資產(chǎn)和系統(tǒng)的上下文數(shù)據(jù),,以及其他技術(shù)和SIEM分析平臺(tái)。諸如站點(diǎn),、資產(chǎn)所有者,、操作狀態(tài)和資產(chǎn)類型等信息都可以直接影響誰(shuí)需要參與事件響應(yīng),以及可能的響應(yīng)類型,。將告警,、漏洞和資產(chǎn)信息集成到平臺(tái)中,不僅可以幫助安全分析師了解潛在的安全威脅,,而且還可以在必要時(shí)獲取關(guān)鍵的上下文資產(chǎn)信息。
關(guān)于SOAR
安全編排,、自動(dòng)化和響應(yīng)(SOAR)是一系列用于保護(hù) IT 系統(tǒng)免受威脅的功能,。
SOAR 指的是安全團(tuán)隊(duì)所使用的3大軟件功能:案例和工作流管理、任務(wù)自動(dòng)化,,以及集中式管理訪問(wèn),、查詢和共享威脅情報(bào)。SOAR一詞來(lái)自分析機(jī)構(gòu) Gartner,。有些分析機(jī)構(gòu)也用其他術(shù)語(yǔ)來(lái)描述 SOAR:IDC 將這一概念稱為“安全分析,、情報(bào)、響應(yīng)和編排”(AIRO),。Forrester 則使用“安全自動(dòng)化和編排”(SAO)一詞來(lái)描述同一功能,。
SOAR 通常是與企業(yè)的安全防護(hù)運(yùn)維中心(SOC)一起協(xié)調(diào)實(shí)施的。SOAR 平臺(tái)可以監(jiān)控威脅情報(bào)源并觸發(fā)自動(dòng)響應(yīng)以緩解安全威脅,。
上下文資產(chǎn)數(shù)據(jù)如何幫助SOAR
安全編排自動(dòng)化和響應(yīng)(SOAR)是一組用于自動(dòng)化部分安全調(diào)查過(guò)程的技術(shù),。之所以經(jīng)常使用SOAR,是因?yàn)镾OC團(tuán)隊(duì)每天都會(huì)收到大量耗時(shí)的告警,,但這些告警通常是重復(fù)的,,并且可以自動(dòng)化,。這些日常場(chǎng)景中的重復(fù)告警可以通過(guò)自動(dòng)化分析進(jìn)行適當(dāng)過(guò)濾,使事件響應(yīng)團(tuán)隊(duì)可以專注于需要他們專業(yè)知識(shí)的關(guān)鍵問(wèn)題,。一些常見(jiàn)的SOAR編排和響應(yīng)操作可能包括禁用帳戶,、阻止防火墻端口和隔離資產(chǎn)等。雖然這些操作不太可能在OT環(huán)境中自主發(fā)生,,但還有其他的自動(dòng)化工具可以幫助減少解決事件的時(shí)間,。
例如,了解是否在某個(gè)資產(chǎn)上檢測(cè)到新的應(yīng)用程序或漏洞,,可能是了解特定資產(chǎn)事件的臨界性和潛在攻擊的范圍的關(guān)鍵,。這些自動(dòng)驗(yàn)證檢查與資產(chǎn)關(guān)鍵度、信息和資產(chǎn)聯(lián)系信息結(jié)合在一起,,有助于減少平均解析時(shí)間(MTTR),,同時(shí)有助于保護(hù)OT環(huán)境的其他部分。
利用事件響應(yīng)(IR)工作簿有助于定義IR過(guò)程和可以利用的可能的自動(dòng)化(包括何時(shí)讓一個(gè)人參與決策過(guò)程),。同時(shí),,工作簿可以使事件響應(yīng)更加一致,并幫助防止事件響應(yīng)者錯(cuò)過(guò)流程中的關(guān)鍵步驟,。同樣,,這種上下文信息可以幫助SOAR平臺(tái)知道應(yīng)該執(zhí)行哪些工作簿和流程,因?yàn)閷?duì)SIEM發(fā)出的關(guān)鍵警報(bào)的響應(yīng)可能會(huì)根據(jù)資產(chǎn)類型,、位置和資產(chǎn)所有者而有所不同,。