关键基础设施(包括能源网、水处理厂、石油和天然气、运输系统和制造业)依赖数据复制来满足运营、网络安全和合规需求。然而,如何安全地将日志和事件从 OT 环境传输到 IT 环境是一个巨大的挑战。
安全运营团队、取证分析师和合规官员都需要 OT 日志来检测异常情况、应对威胁并确保合规。但是,允许 IT 直接访问 OT 环境会带来不可接受的安全风险,其中包括:
- 网络犯罪分子从 IT 网络转向 OT 网络的 Pivot 攻击
- 敏感工业控制数据外泄
- 篡改日志以掩盖攻击者的踪迹
MetaDefender Optical Diode执行单向、硬件强制数据复制,确保 SPLUNK 日志从 OT 安全地推送到 IT,不给对手造成攻击面。
关键基础设施如何使用 SPLUNK 数据复制功能
| 行业 | SPLUNK 复制如何有助于OT Security |
| 发电、输电和配电 | 将 SCADA 日志发送至 SPLUNK,以进行实时异常检测和 NERC CIP 合规性监控 |
| 水处理 | 将 ICS 和传感器日志发送至 Splunk,以实时监控水质和运行异常情况,并支持遵守当地监管标准 |
| 制造业 | 汇总日志和事件,进行预测性维护。 |
| 石油和天然气 | 使用 SPLUNK 进行性能跟踪、安全事件关联和运行分析。 |
谁需要 OT 日志(以及为什么不能直接 "登录")?
安全运营中心 (SOC) 分析员
- 需要实时 OT 日志来检测入侵、恶意软件和异常流量。
- 从 IT 到OT 的直接访问可能会让攻击者转而入侵工业系统。
OT Security 小组
- 需要安全日志进行取证分析和异常检测。
- 基于 IT 的安全工具不应进入 OT 环境。
事件响应和法证小组
- 需要日志来调查攻击、遏制威胁并防止重复事件。
- 如果攻击者利用 OT 访问权限入侵 IT 端工具,他们就能控制工业资产。
合规与审计团队
- 要求为审计提供长期日志存储和事件跟踪(如 NERC CIP、IEC 62443)。
- 审计人员直接访问 OT 会增加安全风险。
为什么需要保护 SPLUNK 数据?
对于在关键基础设施领域运营的企业而言,SPLUNK 在汇总、分析和关联来自 ICS(工业控制系统)、SCADA 环境和 OT 网络的数据方面发挥着至关重要的作用。然而,确保这些数据的安全性、完整性和受控传输,对于在预防网络风险的同时保持运营弹性至关重要。
确保可信网络分段和Secure 数据流
关键基础设施需要 100% 的网络保密性。防火墙和 VPN 等传统网络分隔方法可能会因配置错误和攻击方法的不断变化而带来风险。
消除远程监控中的外部接入点
随着远程监控的增加,OT 网络面临网络威胁的风险也在增加。连接 OT 和 IT 网络会产生攻击者可能利用的漏洞,包括勒索软件和高级持续性威胁。
降低软件分段的成本和复杂性
传统解决方案维护成本高,配置复杂。这可能会带来错误,造成额外的开销,并增加因错误配置或过时防御而暴露的风险。
MetaDefender Optical Diode 和 SPLUNK 解决方案使用案例
使用MetaDefender Optical Diode HTTPS 连接器通过 HTTP 复制 SPLUNK-to-SPLUNK
MetaDefender Optical Diode 通过使用MetaDefender Optical Diode的 HTTPS 连接器增强了 SPLUNK 到 SPLUNK 的复制功能,确保跨网络边界的安全加密数据传输。这种集成支持HTTP协议,在不影响网络安全的情况下提供安全的单向数据流,非常适合需要严格网络安全措施的环境。
支持的 SPLUNK 复制使用案例
MetaDefender Optical Diode 支持多种 SPLUNK 复制方案,确保各种工业环境中的数据安全性和合规性。这些用例允许在 SPLUNK 实例之间进行灵活、安全的数据传输,无论是来自重型转发器、通用转发器还是系统日志系统。
重型转发器到索引器
通用转发器到索引器
到索引器的系统日志源
克服 SPLUNK 集成中的传统数据二极管挑战
将MetaDefender Optical Diode OPSWAT 的数据二极管)与 SPLUNK 集成,可解决传统上与 SPLUNK 数据复制中的防火墙相关的几个难题:
保存 SPLUNK 元数据
- 挑战:以往,数据二极管经常会剥离或无法传输重要的 SPLUNK 元数据(如来源类型、源、主机、_时间),从而导致数据完整性问题。
- 解决方案: MetaDefender Optical Diode 可确保在传输过程中保留所有重要的元数据,保持 SPLUNK 中数据的完整性和可用性。
取消额外的软件 模块
- 挑战:通过数据二极管实施 SPLUNK数据复制通常需要额外的软件模块或定制配置,从而增加了复杂性和成本。
- 解决方案: MetaDefender Optical Diode 支持本地 SPLUNK-to-SPLUNK 复制,无需额外软件,从而简化了部署并降低了成本。
支持本地 SPLUNK 协议
- 挑战:许多历史悠久的光学数据二极管不支持 SPLUNK 的本地协议,因此必须进行协议转换,这可能会带来延迟和潜在错误。
- 解决方案: MetaDefender Optical Diode 利用 SPLUNK 的本地协议促进复制,确保无缝、高效的数据传输。
Secure 跨网络数据传输
- 挑战:在不同安全等级的网络之间传输数据会带来数据泄漏或未经授权访问的风险。
- 解决方案: MetaDefender Optical Diode 可实现单向数据流,在不影响网络完整性的情况下安全地跨网络传输 SPLUNK 数据。
降低总体拥有成本(TCO)
- 挑战:传统的数据二极管解决方案往往因配置复杂和需要持续维护而成本高昂。
- 解决方案: MetaDefender Optical Diode 无需额外的模块并支持本地协议,从而降低了初始设置和长期维护成本。
安全无忧:无风险获得 SPLUNK 可见性
安全团队不必在可视性和安全性之间做出选择。MetaDefender Optical Diode 可确保关键的 OT 安全日志安全地供 IT 监控使用,而不会将工业网络暴露在威胁之下。
- IT 无法进入 OT 环境
- 遵守监管框架(NERC CIP、IEC 62443、NIST CSF)
- Secure、确定和无缝的 SPLUNK 集成
- 降低操作复杂性和成本
什么是 Splunk?
Splunk 是一个领先的数据分析平台,用于收集、索引和分析大数据,尤其是安全日志。它是安全操作中用于实时监控、威胁检测和合规性报告的关键工具。
什么是MetaDefender Optical Diode?
MetaDefender Optical Diode 是MetaDefender NetWall 安全网关的核心,它通过硬件实现从 OT 到 IT 的单向数据流。它确保日志和警报等关键数据离开 OT 网络,而不允许任何返回路径。作为MetaDefender NetWall 系列的一部分,它支持安全日志复制、文件传输和合规性可见性,而不会影响网络隔离。MetaDefender NetWall 产品系列旨在保护关键基础设施,同时实现安全、受控的数据共享。
使用OPSWAT MetaDefender Optical Diode,确保关键基础设施中数据复制的可靠性和安全性。
