想象一下下面的场景。你是一家独立原油管道运营商的首席执行官,服务于二叠纪盆地的十几个油田,最近对Colonial pipeline的勒索软件攻击引起了你的思考。到目前为止,贵公司只遭受过几次小规模的网络攻击,虽然这些事件确实令人恼火,但它们从未对业务运营构成重大威胁。但随着美国政府警告中游运营商风险不断增加,并发布新的网络安全要求,你开始担心了。你决定是时候采取行动了,所以你打电话给你的首席技术官。在谈话开始时,CTO注意到,只有当贵公司为了获得覆盖其所有信息技术(IT)和操作技术(OT)系统的新的、准确的库存而进行资产发现时,才有可能遵守新的需求。她解释说,目前的库存只包括IT系统。您记得CTO和她的团队对为现有库存提供资产发现服务的网络安全供应商非常满意,因此您询问该供应商是否可以扩展其先前的工作。然而,她不建议这样做,并建议公司从一系列更专业(也更昂贵)的供应商中选择。你问:为什么?她回答说:因为IT环境中的资产发现与OT环境中的资产发现是不一样的。
IT和OT系统是不可避免的不同
当然,这是一个虚构的场景,但它不是一个幻想。OT环境中的资产发现确实不同于IT环境中的资产发现。主要原因是所涉及的资产不同。网络安全在IT方面是复杂的,因为涉及的系统可能包括各种各样的资产——不仅包括服务器和台式计算机,还包括外围设备(打印机、复印机等)、物联网(IoT)监视器、移动设备和云平台。能够访问系统的设备的数量和类型可能会不可预测地波动,这取决于远程操作的需要。然而,这些设备有重要的共性。它们主要用于处理、处理和存储用于管理任务的数据。它们通常每隔几年就会更换一次,其中许多都是同一品牌和型号,或者运行相同的软件。理想情况下,它们会定期更新,当应用补丁或网络安全供应商进行定期扫描和测试程序时,它们的用户知道会有停机时间。
不同类型的资产——以及不同类型的威胁
相比之下,在OT方面,系统可能由服务于各种不同目的的大量资产组成。其中一组资产可能足够新,它集成了工业物联网(IIoT)监视器,以收集有关网络性能和状况的数据,这些数据可以输入人工智能(AI)模块,该模块可以制定预测和预防性维护计划。另一组可能已经使用了几十年,仍然依赖于一个已经存在了30年的软件,这些软件是由一个不再存在的公司设计的,或者无法在不取消服务合同的情况下进行更新。还有一套可能配备了额外的设备,这些设备是五年前在紧急情况下安装的,从未停用过。这种类型的系统更难以服从于资产发现。它的组成部分在年龄、用途、复杂程度、复杂程度和兼容性水平上各不相同。此外,它们都可能对业务连续性至关重要。也就是说,在不中断操作到不可接受程度的情况下,它们可能无法脱机。以体育博彩平台推荐的理论管道公司为例,停止原油流动以应用紧急补丁可能有助于预防网络攻击,但也可能导致收入损失、不可抗力声明或违约诉讼。此外,网络攻击对OT系统的风险通常是不同的。如果恶意行为者干扰IT网络,公司将丢失数据、商业机密和资金。但是,如果恶意行为者干扰了OT网络,工人(可能还有附近的社区)将面临健康和安全风险,供应链将被中断。例如,网络攻击可能会使独立的管道公司在体育博彩平台推荐的场景中无法防止导致维护人员伤亡的破裂和污染环境的泄漏。如果它们中断向大型炼油厂输送原料,也可能引发燃料短缺。
获得完整的资产可见性
因此,如果OT系统的运营商想要有效地进行资产发现,他们必须考虑到这些差异。
一种方法是寻找网络安全厂商熟悉OT环境-在行业相关领域有经验和专业知识的供应商。如果不熟悉,您的供应商可能会在设置资产发现程序时遇到麻烦,该程序具有主动和被动识别的正确组合。
主动识别,也被称为“标准资产发现”,依靠软件或基于网络的传感器扫描或ping网络来识别连接的设备。从本质上讲,这可能会减慢或破坏您的OT系统,这对于时间敏感的工业控制系统(ICS)来说可能是一个问题。
被动识别往往是首选的方法,它监听存在于网络层的路由器、交换机和防火墙中的资产数据,以及部署在各种控制系统中的数据历史学家、hmi、dcs和SCADA平台。通常,这些工具与资产或日志管理和安全工具配对,以聚合和关联来自这些不同来源的所有数据,以创建完整的资产清单,对环境的影响很小。
获得对这些OT资产的全面可见性从数据包可见性开始. 在资产发现用例中,网络tap(测试访问点)在提供这种可见性方面起着关键作用。它们允许您收集流经网络的完整流量数据,而不会丢弃SPAN端口可能丢失的数据包。SPAN端口在整个网络中可能可用,也可能不可用,这会留下盲点和不可靠的数据,从而使法规遵从性复杂化。利用网络抽头和数据二极管抽头,允许您构建一个完整的资产清单,而不会危及您的OT系统。
希望在资产发现平台中添加完整的数据包可见性,但不确定从哪里开始?加入体育博彩平台推荐的简短网络设计it评估或演示。没有义务——这是体育博彩平台推荐喜欢做的。
