如果你从事安全工作,你一定深有体会:可视性是不可或缺的。
这符合 SANS《工业控制系统关键控制措施(第三版)——网络可视性与监控》、NIST CSF 以及 ISA/IEC 62443 标准,这些标准明确规定了可视性要求。
然而,对于所有需要网络可视性的团队而言,要将其安全地融入运营技术(OT)和工业控制系统(ICS)环境中仍面临挑战:
- IT 和 OT 安全团队需要日志来监控事件。
- 安全事件响应人员需要数据,以便在遭受攻击时做出明智的决策。
- 取证分析师需要数据来了解运营技术(OT)环境中的攻击是如何发生的,以及事件的时间线。
- 即使是合规团队,也需要记录来证明已履行尽职调查义务。
问题不在于“如何”为这些团队提供远程访问权限,而在于如何在提供访问权限的同时,避免无意中给攻击者留下可乘之机。
这就是OPSWAT MetaDefender NetWall 上用场的地方。
与其让每个团队直接访问OT环境,不如MetaDefender NetWall 单向数据二极管将日志从OT推送到IT系统,这样团队既能掌握实时动态,又不会为威胁敞开大门。
谁需要 OT 日志(以及为什么他们不能仅仅“登录”)
诸如 SANS 工业控制系统(ICS)第三版关键控制措施、NIST CSF 以及 ISA/IEC 62443 等框架都制定了明确的可见性规则。
可视化控制对于识别资产、发现漏洞以及进行实时威胁监控至关重要,且不会干扰关键且敏感的工业流程。
一个组织内部存在不同的团队,这些团队访问实时 OT 数据是不可或缺的。
安全运营中心(SOC)分析师
SOC分析师负责监控、检测、调查和处理安全警报。
简而言之,他们的工作就是在威胁演变成灾难之前将其扼杀在萌芽状态。为此,他们需要实时OT日志来检测入侵、恶意软件或异常流量。
然而,如果攻击者直接入侵了IT环境,他们便能迅速向OT系统渗透,从而造成OT系统遭入侵的严重风险。
因此,SOC团队不能仅依靠简单的登录方式来访问用于监控的实时OT数据。
如果SOC系统遭到入侵,攻击者可能会利用该连接作为进入OT环境的通道。
OT Security 小组
运营技术(OT)安全团队负责保护工业控制系统及运营技术(OT)设备,例如SCADA、PLC和制造机器人,这些系统和管理设备负责管理物理基础设施。
这些团队需要安全日志来进行取证分析和异常检测。
在 IT 环境中,允许配备 ICS 和 OT 专用安全工具的系统访问 OT 环境,也不是一个好主意。
与SOC的情况类似,如果这些IT系统遭到入侵,可能会为攻击者提供一条直接侵入OT运营系统的通道。
事件响应与取证分析团队
如果检测到异常或安全漏洞,将立即调集事件响应和取证分析团队进行调查和修复。
他们需要日志来识别、遏制和消除针对运营技术(OT)系统的攻击,从而为预防此类事件再次发生提供依据。
然而,这些团队通常是在系统安全已遭入侵且风险进一步加剧后才被请来处理的。
如果响应工具或凭据遭到泄露,通往运营技术(OT)系统的登录路径将使攻击者如愿以偿。
因此,事件响应和取证团队不应拥有直接基于登录方式访问 OT 环境的权限。
合规与审计团队
如果没有日志,就无法满足合规标准。
合规和审计团队需要长期存储日志并进行可靠的事件追踪,以满足监管和报告要求。
然而,允许审计人员直接访问OT环境既没有必要,也不可取。
与其在运营技术(OT)系统中开通实时访问通道,不如通过外部渠道向其提供所需的日志和报告,这样既更安全,也更容易管控。
为什么要使用数据二极管?因为入站访问简直是一场噩梦
至此,很明显,允许企业系统直接查询OT日志会带来极高的安全风险。
对于攻击者而言,一个安全措施薄弱的连接就足以让他们:
- 从IT转向OT。
- 窃取敏感的运营技术(OT)和工业控制系统(ICS)环境数据,包括控制系统信息,例如PLC的品牌和型号、工艺参数等。
- 篡改日志以掩盖行踪。
MetaDefender Netwall 通过硬件强制实施单向数据流,从而消除了这些风险。
日志被发送出去,但没有任何内容返回。
我们的团队能够获取所需数据,同时运营技术(OT)系统始终处于受控且安全的状态。
工作原理
该 OT Splunk 实例从整个 OT 环境中收集安全日志。
- 该集合包含防火墙日志、IPS 、Windows事件日志,甚至还包括PLC事件。
OPSWAT NetWall 不会允许企业用户或系统访问 OT 环境,而是将日志从 OT Splunk 收集器NetWall 推送至外部。
随后,企业 Splunk 实例会收到这些事件的 Splunk 到 Splunk 复制副本。
因此,安全与合规团队能够获得所需的可视性,同时又不会创建可能使 OT 环境面临风险的入站访问路径。
结语:毫不妥协的安全保障
如果贵企业的安全团队要求获取 OT 日志,请不要断然拒绝。
您可以授予他们所需的访问权限,但切勿以会暴露整个环境的方式进行。
OPSWAT Netwall 数据二极管在保障运营技术(OT)安全的同时,为他们提供了所需的可视性。
由于没有入站访问,因此不存在被入侵的风险。
OPSWAT NetWall 正确的数据以正确的方式送达正确的人手中。
您无需在可见性和安全性之间做出取舍。
使用数据二极管,您可以同时实现这两点。
联系我们,了解OPSWAT NetWall 如何NetWall 您的安全团队NetWall 高效运作,并确保您的 OT 环境安全无虞。
