背景

　　近些年，工業(yè)控制領(lǐng)域的安全問題逐漸得到大家的關(guān)注，討論通常圍繞著如何保護OT環(huán)境,。雖然在某些情況下,，大多數(shù)人會關(guān)注OT設(shè)備，如可編程邏輯控制器（PLC）,、遠(yuǎn)程終端單元（RTU）或安全儀表系統(tǒng)（SIS）,，但了解IT和OT基礎(chǔ)設(shè)施和系統(tǒng)的監(jiān)控同樣重要是至關(guān)重要的。由于缺乏對這些環(huán)境的可見性,，因此幾乎不可能知道如何保護整個OT系統(tǒng),。

　　大多數(shù)OT環(huán)境的主要關(guān)注點是安全可靠地運行進程。正如過去所證明的那樣,，新技術(shù)的引入會直接影響這些系統(tǒng)的安全性和可靠性,。例如，掃描軟件已被證明會對PLC,、SCADA系統(tǒng)和其他設(shè)備產(chǎn)生負(fù)面影響,。在某些情況下，掃描技術(shù)導(dǎo)致系統(tǒng)不穩(wěn)定,，導(dǎo)致設(shè)備離線,，在最壞的情況下，使它們無法操作,，這與拒絕服務(wù)攻擊是同等性質(zhì),。因此，許多OT操作人員將重點放在系統(tǒng)加固上,，以將潛在攻擊者排除在系統(tǒng)之外,，例如被廣泛使用的白名單機制。但大多數(shù)操作人員對OT環(huán)境本身的可見性有限,。如果一個組織想要保護他們的OT環(huán)境,，關(guān)鍵是操作者不僅要具有系統(tǒng)邊界的可見性，而且針對基礎(chǔ)設(shè)施和OT設(shè)備本身也需要具備可見性,。

　　上下文資產(chǎn)的必要性

　　一直以來,，安全性和可靠性一直被認(rèn)為是OT環(huán)境的關(guān)鍵考量，而安全性則是后來才考慮到的,。此外,，傳統(tǒng)技術(shù)和現(xiàn)代技術(shù)的結(jié)合,，使OT系統(tǒng)在投入生產(chǎn)時的安全性更具挑戰(zhàn)性，當(dāng)時網(wǎng)絡(luò)安全根本沒有被考慮在內(nèi),。好消息是,，隨著越來越多工控安全廠商的參與以及相關(guān)技術(shù)的引入，對于OT系統(tǒng)的監(jiān)控與安全加固能力已經(jīng)在許多現(xiàn)實生產(chǎn)環(huán)境中實現(xiàn),。與此同時,，運營商可以方便地集中監(jiān)控工控企業(yè)的OT環(huán)境，從而獲得的可見性也十分關(guān)鍵,。然而,，由于數(shù)據(jù)的數(shù)量和多樣性，添加更多的數(shù)據(jù)可能會存在隱藏風(fēng)險,。為了過濾這些數(shù)據(jù),，從而提供可操作的建議，可以應(yīng)用SIEM,、SOAR和用戶行為分析等技術(shù),，但在OT環(huán)境中使用這些工具進行事件響應(yīng)時，訪問上下文數(shù)據(jù)是至關(guān)重要的,。

　　通過結(jié)合企業(yè)安全和OT環(huán)境安全監(jiān)控等方式,，OT安全團隊現(xiàn)在可以利用資產(chǎn)和系統(tǒng)的上下文數(shù)據(jù)，以及其他技術(shù)和SIEM分析平臺,。諸如站點,、資產(chǎn)所有者、操作狀態(tài)和資產(chǎn)類型等信息都可以直接影響誰需要參與事件響應(yīng),，以及可能的響應(yīng)類型,。將告警、漏洞和資產(chǎn)信息集成到平臺中,，不僅可以幫助安全分析師了解潛在的安全威脅,，而且還可以在必要時獲取關(guān)鍵的上下文資產(chǎn)信息。

　　關(guān)于SOAR

　　安全編排,、自動化和響應(yīng)（SOAR）是一系列用于保護 IT 系統(tǒng)免受威脅的功能,。

　　SOAR 指的是安全團隊所使用的3大軟件功能：案例和工作流管理、任務(wù)自動化,，以及集中式管理訪問,、查詢和共享威脅情報,。SOAR一詞來自分析機構(gòu) Gartner,。有些分析機構(gòu)也用其他術(shù)語來描述 SOAR：IDC 將這一概念稱為“安全分析、情報,、響應(yīng)和編排”（AIRO）,。Forrester 則使用“安全自動化和編排”（SAO）一詞來描述同一功能,。

　　SOAR 通常是與企業(yè)的安全防護運維中心（SOC）一起協(xié)調(diào)實施的。SOAR 平臺可以監(jiān)控威脅情報源并觸發(fā)自動響應(yīng)以緩解安全威脅,。

　　上下文資產(chǎn)數(shù)據(jù)如何幫助SOAR

　　安全編排自動化和響應(yīng)（SOAR）是一組用于自動化部分安全調(diào)查過程的技術(shù),。之所以經(jīng)常使用SOAR，是因為SOC團隊每天都會收到大量耗時的告警,，但這些告警通常是重復(fù)的,，并且可以自動化。這些日常場景中的重復(fù)告警可以通過自動化分析進行適當(dāng)過濾,，使事件響應(yīng)團隊可以專注于需要他們專業(yè)知識的關(guān)鍵問題,。一些常見的SOAR編排和響應(yīng)操作可能包括禁用帳戶、阻止防火墻端口和隔離資產(chǎn)等,。雖然這些操作不太可能在OT環(huán)境中自主發(fā)生,，但還有其他的自動化工具可以幫助減少解決事件的時間。

　　例如,，了解是否在某個資產(chǎn)上檢測到新的應(yīng)用程序或漏洞,，可能是了解特定資產(chǎn)事件的臨界性和潛在攻擊的范圍的關(guān)鍵。這些自動驗證檢查與資產(chǎn)關(guān)鍵度,、信息和資產(chǎn)聯(lián)系信息結(jié)合在一起,，有助于減少平均解析時間（MTTR），同時有助于保護OT環(huán)境的其他部分,。

　　利用事件響應(yīng)（IR）工作簿有助于定義IR過程和可以利用的可能的自動化（包括何時讓一個人參與決策過程）,。同時，工作簿可以使事件響應(yīng)更加一致,，并幫助防止事件響應(yīng)者錯過流程中的關(guān)鍵步驟,。同樣，這種上下文信息可以幫助SOAR平臺知道應(yīng)該執(zhí)行哪些工作簿和流程,，因為對SIEM發(fā)出的關(guān)鍵警報的響應(yīng)可能會根據(jù)資產(chǎn)類型,、位置和資產(chǎn)所有者而有所不同。