网络安全形势在不断变化,尤其是在 OT(操作技术)环境中,其利害关系异常重大。资产所有者通常必须为第三方供应商的笔记本电脑提供网络访问权限,以便进行日常操作。
依靠传统的杀毒软件实时扫描作为基本的安全措施,已不足以保护关键的 OT 基础设施免受复杂的网络威胁。这并不意味着应该停止实时防病毒扫描,而是强调了需要通过先进的解决方案来解决的安全漏洞,以确保关键基础设施的安全。
为什么仅靠传统的实时杀毒扫描是不够的?
- 检测率限制:根据OPSWAT 的研究,单一防病毒引擎的检测率仅为 45.6%。采用多重扫描技术可提高覆盖率并降低风险。
- 扫描区域覆盖限制:实时防病毒扫描提供的检测功能有限,主要集中在目标设备的特定区域,如用户空间,而未扫描关键区域,如内核/操作系统、UEFI/BIOS 和设备硬件。
- 无法扫描加密磁盘/文件:传统的实时防病毒扫描无法扫描加密磁盘或文件系统,因为它依赖于运行中的操作系统来解密。
- 对系统性能的影响:实时防病毒扫描(尤其是实时扫描)会严重阻碍关键基础设施的运行。根据 NIST SP 1058,防病毒软件可能会对 ICS 的时间关键控制流程产生负面影响。
- 网络传播风险:由于实时防病毒扫描是在设备仍在运行时进行的,因此恶意软件有可能在被检测到并得到缓解之前就在 OT 空中加油网络内传播。
- 无法抵御未知威胁/复杂恶意软件:实时杀毒技术会在操作系统运行时进行扫描,因此容易受到高级威胁的攻击,如 GRUB BootHole、Petya/NotPetya、TDSS/TDL-4 和各种 rootkit,它们可以躲过传统杀毒软件的检测。
利用OPSWAT扫描 OT 网络安全中的瞬态和固定设备MetaDefender Drive
为加强深度防御战略,企业应重点解决实时防病毒扫描的已知漏洞。OT 环境具有独特性,需要专门的反恶意软件解决方案来保护关键网络免受瞬时网络资产和固定设备的威胁。OPSWAT's MetaDefender Drive全面了解这些威胁与组织关键基础设施之间的关系。
Multiscanning Technology
利用多种领先的反恶意软件引擎提高检测率。
无法运行的操作系统恢复
从MetaDefender Drive 的内置操作系统启动,恢复无法运行的操作系统
对 OT 运行的影响最小
减少 OT 设备性能问题,同时确保关键业务不受影响。
降低传播风险
离线扫描是在设备连接到网络之前执行的,可将检测到的威胁传播到 OT 系统其他部分的风险降至最低。
遵守监管规定
离线扫描可确保瞬时和固定设备在连接到 OT 网络之前可以安全使用,从而帮助支持符合 NIST SP 800-53、NIST SP 800-82、ISO/IEC 27001、美国行政命令 14028、NIST FIPS 140-2、CIP-003-7、CIP-010-4 和 ANSSI 等法规要求。
要深入了解如何有效保护您的 OT 环境,请下载我们的白皮书,该白皮书揭穿了关于实时防病毒扫描的常见误解,并强调了当前协议下的安全风险。现在就探索采用全面安全方法保护瞬时和固定设备的好处。
