为OT网络安全调整XDR
传统IT XDR的这五种改进使IT安全团队能够在OT环境中实现有效和高效的多遥测检测和响应。
工业组织的首席信息安全官(ciso)和网络安全总监继续对将核心信息技术(IT)安全原则应用于运营技术(OT)环境的挑战感到沮丧。这包括收集准确的资产——硬件以及全面的软件(操作系统、固件、应用程序)——库存、补丁管理、配置管理、用户和帐户控制、主机入侵检测、快速事件响应、集中准确地报告所有生产地点和原始设备制造商(OEM)系统的漏洞和风险状态等。
随着风险和安全要求的不断增加,这种挫折感也在增长。董事会、保险公司和监管机构要求在OT中提供更大的保护和安全成熟度提高的证明。这是为了应对这些环境中日益增长的网络风险现实。
CISO感到沮丧的主要原因是对OT中的网络流量数据和保护的持续依赖。由于运营商的恐惧和不确定性(部分原因是由提供工业控制硬件的原始设备制造商鼓励的),安全团队在管理OT安全时只能孤军作战。
基于网络的方法不能捕获端点风险的可靠信息,也不能采取行动证明安全性得到了改善。虽然OT安全不像IT那样成熟,但OT仍有机会通过保护端点本身,在OT系统(OT系统管理)的安全方面更加精确和主动。考虑到OT环境的连接性不断增加,周界检测不足以实现准确的安全感。
在一系列博客文章中,我们将描述这种有限模型的替代方案。第一部分重点介绍全面扩展检测和响应(XDR)方法对OT威胁检测的好处——与IT中的方法非常相似。
扩展检测和响应(XDR)的好处
首先,我们需要定义扩展检测和响应的含义,因为这个术语有很多解释。扩展检测和响应(XDR)汇集了各种遥测源(端点、网络、用户和帐户等)的数据,以提供可以遏制或阻止威胁的特定响应操作。包含的数据因实现和供应商而异。但其概念是将来自安全堆栈不同“竖井”的数据汇集在一起,以提高检测的准确性以及响应的速度和精度。大多数IT安全团队已经在朝着这个方向前进,不管他们是否正式将其称为XDR。
许多其他人已经提供了这种方法的好处的详细说明——参见Gartner, Forrester, Mandiant和许多其他关于此的安全文章。在这篇博客中,我们的目的不是重申所有这些优点,但下面简要总结了这些优点:
- 更广泛的遥测源提高了威胁在环境中移动时的可见性——网络钓鱼转移到凭据收集,访问关键服务器并最终作用于端点。
- 集成分析通过将网络、端点、用户和其他数据结合在一起来减少误报,并更准确地对风险的严重性进行排序,从而提高威胁检测的准确性。
- 综合应对加快了建立适当防御机制以阻止威胁的时间。这既包括响应行动的速度,也包括这些行动的准确性,因为对威胁和目标系统有了更深入的了解,能够执行“破坏性最小的响应”。
- 改进不同安全团队在响应时间内的协调,以改进报告和效率。
特别是在OT方面,XDR(也称为“IDR”-集成检测和响应)与目前的狭窄方法相比具有显著的优势。
- 它使安全团队能够超越今天的网络流量限制,在端点、用户、软件和网络层面看到出现的威胁。作为Dale Peterson在MITRE ATT&CK评论后写道不同OT网络异常平台:
- 访问和考虑Windows日志提供了许多有用的检测信息。...
- 该场景没有设想使用OT防火墙日志的任何解决方案,而OT防火墙日志本来是另一个很好的数据源,可以在攻击的早期阶段检测活动。端点检测日志和其他比监视跨端口保真度更高的数据源不是评估的一部分。这符合行业趋势,即从简单的检测跳到更复杂、更费时的检测解决方案。
- 所有产品都没有主动查询PLC....访问PLC/控制器信息对试图确定攻击目标的工程师非常有帮助。
- OT通常依赖于各种oem部署的反病毒解决方案、备份工具等。这种大杂烩在OEM系统或不同生产设施之间移动时,对威胁的洞察产生了重大差距。XDR集成了来自所有这些潜在的“批准”反病毒工具的信息,以创建一个单一的风险视图。
- 访问详细的资产状态信息对于“破坏性最小的响应”操作至关重要。在OT中,毯式自动响应对流程具有很高的风险。通过集成详细的端点状态数据,如:补丁和漏洞,可用的甚至休眠的用户和帐户信息,详细的配置设置,备份状态,减轻安全控制,如白名单或应用程序防火墙等,XDR提供了更精确的响应动作,减少任何动作的影响,以“最小破坏性”的一个。
- 扩展的检测和响应还支持对威胁进行响应。在OT中,操作可能是高风险的。如前所述,我们需要采取“破坏性最小的应对”行动。但我们确实需要采取行动。OT XDR平台将允许在工艺工程师的OT安全方法中采取行动。这是一个具有挑战性的步骤,但可以显著提高工业控制系统的安全性和弹性。
认识到加班的挑战
XDR有很强的吸引力,但OT不同。以下三个仅是XDR在OT中面临的挑战的例子。
- 的网络系统控制着关键物理这意味着如果不适当,任何响应行动都可能对生产造成重大风险。
- 类似地,将安全工具错误地应用于敏感的、旧的、通常是低带宽和低内存的设备和网络,可能会导致比它们打算保护的安全事件更多的操作风险。
- OT环境中的许多/大多数设备不运行IT安全工具设计用于的传统操作系统。因此,任何应用程序都需要处理这些遗留的嵌入式固件设备。
为OT调整XDR的五个组件
以下是使XDR在OT中成为现实的5个关键组件:
- 特定于ot的端点可见性:它从一种不同的方法开始收集端点数据,而不仅仅依赖于网络流量。这涉及调整传统的IT代理-无代理机制,使其在OT中安全有效。特定于ot的、经过验证安全的、与供应商无关的代理和无代理架构,可以深入了解每个端点。这种组合收集了来自端点的数百条数据,如所有已安装的应用程序、所有用户和帐户及其安全设置、完整配置状态信息等。这种终端资产可见性类似于安全领导者在其IT系统中的预期,不会对OT资产造成任何风险。
- ot特定端点遥测捕获:然后,它可以直接从这些资产(日志、syslog、网络流、设备和用户行为、性能统计等)中收集实时信息。所有这些都以ot网络敏感的方式收集,因此它的运行不会中断有限的带宽网络。
- ot系统入站集成:然后,Verve不仅仅将数据发送到像Splunk这样的收集器,而是集成了控制系统中广泛的第三方信息:来自各种批准的OEM解决方案的AV更改和日志,白名单警报,防火墙警报和检测,备份状态数据,甚至过程控制警报。因此,Verve的机器学习引擎正在从更广泛的源池中聚合遥测数据,以进行准确检测。
- OT-specific检测:XDR只有在检测具体与环境相关并提供与该系统相关的建议响应操作时才有效。该方法利用机器学习和异常检测引擎,通过数百个预先构建的检测来识别ot特定的威胁。但最重要的是,由于XDR数据库包含所有端点状态信息,因此检测和响应操作是精确的,并且考虑到威胁和端点/系统本身,允许“破坏性最小的响应”。
- ot安全响应动作:XDR必须包含“响应”。但在OT中,这些响应需要遵循适当的工业控制工程流程。我们利用30年的控制专业知识构建了一个平台,使组织能够“全球化思维,但本地化行动”。为了检测的准确性和响应的速度,该平台必须支持全局分析以及响应行动的“自动化”。但是,在自动化操作启动之前,这些操作应该经过“本地”工程师,他们知道流程的具体细节。适应XDR的“本地行动”加快了响应,但包括关键的加班保障措施。
传统IT XDR的这五种改进使IT安全团队能够在OT环境中实现有效和高效的多遥测检测和响应。我们认为,本博客开头强调的日益增长的风险要求OT安全从业者超越OT中经常出现的“不能”或“不愿意”,并基于对工业控制工程的深刻理解,找到OT安全的适应方法,为这些关键的OT环境提供it级安全。
-这最初出现在神韵工业的网站.神韵工业是CFE媒体和技术内容合作伙伴。
原始内容可以在神韵工业.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
