如何提高OT网络的可见性

这篇博客是关于这些发现的系列文章中的第一篇。Dragos确定86%的服务项目在OT网络中缺乏可见性，相比2021年的90%有所下降。网络可见性在整个行业中还没有达到成熟，但它是强大网络安全态势的典型基石之一。

网络可见性:改善安全状况的第一步

可见性在大多数其他网络安全控制中发挥着关键作用，提供信息以确定需要解决的问题的范围和定义。资产清单、变更配置管理、漏洞管理、流氓接入点检测、威胁检测等都是通过环境中更好的可见性来实现的。

提高能见度有助于以下努力:

• 识别环境中的基线行为，以增强威胁检测
• 通过资产管理、变更配置和资产标识增强可见性
• 验证防火墙规则和网络分割的有效性
• 促进根本原因分析和事件响应
• 允许创建度量标准来证明安全投资的合理性
• 突出显示信任区域之间的进出流量
• 加强对0/1/2级区域内通信的内部监控

可见性是强大的网络安全计划的起点，并逐步发展成为开发更成熟和安全环境的指标。

区分IT停止和OT开始的位置

在过去的一年里，Dragos看到了互联IT和OT环境对关键基础设施运营的影响。威胁行为者多次使用勒索软件攻击企业网络，由于担心这种妥协可能蔓延到OT网络，这些企业选择关闭业务。造成这些担忧的原因之一是缺乏可见性，或者不知道IT和OT网络之间的数据流或弥合这一差距的资产。

可见性对于验证用于定义可防御体系结构的安全控制是必要的。如果没有完全的可见性，防御者就不太可能确定其他保护方法的有效性，例如周界安全、网络分段或基于角色的访问控制。如果IT网络和OT网络之间的数据流不清楚，就会在OT网络的攻击面产生潜在的盲点。了解和监控OT和IT资产之间的连接对于防止潜在的泄露至关重要。

网络可见性的三个关键原则

可见性有多种形式资产可见性对数据流的检查，但它可以概括为任何增加防御者对自己环境的知识。为了确保充分的可见性，安全人员需要了解他们可以在哪里收集网络和资产信息。一个藏品管理框架对防御者可用的数据源进行文档化和制度化。它详细说明了可供他们使用的数据的总广度，并揭示了需要培养以提高其组织的可见性的缺乏数据源。

有助于提高可见性的主要数据源有:

1. 网络监控—一个被动网络OT感知解决方案，如Dragos平台，可以监控网络上的流量，以发现恶意流量或威胁行为。OT感知监控可以通过剖析ICS协议，检测和警报OT资产(如plc、工程工作站或hmi)产生的行为。
2. 日志记录,在可能的情况下捕获日志，提高组织对其网络的可见性;但并非所有OT设备都能产生日志。内部东/西网络监控或数据包捕获可以通过增加缺乏日志记录功能的OT资产附近的监控来改善这一缺陷。主机事件日志、防火墙日志和PLC警报以及网络监控提供了OT环境的整体视图。
3. 资产识别—识别网络的组件使防御者能够有效地分配他们的资源。这一点在完成后就更加重要了王冠宝石分析防御者可以在日志和网络流量中识别他们的网络，以创建额外的警报和安全控制，以保护对组织任务最关键的资产。

建议的前进步骤

开发完全可见性是一个困难的过程。在现有资源的基础上采取措施，消除盲点，推进组织的成熟是网络安全的发展过程。

• 识别网络中的所有皇冠宝石资产，并记录它们的行为(数据流、协议、用户和服务访问)。
• 监控信任区域之间的网络分段点上的网络流量，特别是IT和OT网络与任何DMZ之间，以及每个OT区域内部。
• 集中集合管理框架中确定的所有可用数据源，并与安全操作中心协调，以获得更大的效果。

收集更多的信息和数据是很好的，以便为防御者提供网络行为的背景。在培养额外的数据源之后，将日志和警报从网络流量调优为有用信息的过程既依赖于技术，也依赖于人。网络安全专业知识需要运营主题专家的支持，以弥补关键流程的可见性差距。

总之

可见性为在组织的OT环境中开发其余的安全控制创建了基础。可见性方面的微小进步会放大为整体安全态势成熟度方面的进步。列举这些差距，可见性是展示其他需要补救的领域的工具——例如，年的其他三个关键发现德拉戈斯的年度回顾:安全周界差，与ICS环境的外部连接不足，IT和OT用户没有分开管理。

-这最初出现在Dragos的网站上。德拉格是CFE媒体和技术内容合作伙伴。由CFE媒体与技术杂志副主编摩根·格林编辑，mgreen@cfemedia.com

原始内容可以在德拉格．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。