如果你從事資安工作,你一定深知箇中要領:可視性是不可妥協的。
這與 SANS《工業控制系統(ICS)第三項關鍵控制措施——網路可視性與監控》、NIST CSF 以及 ISA/IEC 62443 標準相符,這些標準均明確闡述了可視性要求。
然而,對於所有需要網路可視性的團隊而言,要將其安全地整合到 OT 和 ICS 環境中,仍是一項挑戰:
- IT 和 OT 安全團隊需要日誌來監控事件。
- 事件應變人員需要數據,才能在遭受攻擊時做出明智的決策。
- 鑑識分析人員需要數據,才能了解 OT 環境中的攻擊是如何發生的,以及事件的時序。
- 即使是合規團隊,也需要相關紀錄來證明已盡到應盡的審慎義務。
這並非在於「如何」為這些團隊提供遠端存取權限;而是要在確保存取權限的同時,避免無意間為攻擊者敞開大門。
這正是OPSWAT MetaDefender NetWall 上用場的地方。
與其讓各團隊直接接觸 OTMetaDefender NetWall 單向資料二極體會將日誌從 OT 推送到 IT 端,讓團隊能夠掌握現況,同時避免為威脅敞開大門。
誰需要 OT 日誌(以及為什麼他們不能只是「登入」)
諸如 SANS 工業控制系統(ICS)第三版關鍵控制措施、NIST CSF 以及 ISA/IEC 62443 等框架,均設有明確的可視性規範。
可視性控制對於識別資產、偵測弱點以及進行即時威脅監控至關重要,且不會中斷關鍵且敏感的工業流程。
組織內部有不同的團隊,這些團隊存取即時 OT 資料的權限是不可妥協的。
安全運作中心 (SOC) 分析師
SOC 分析師負責監控、偵測、調查及處理安全警報。
簡而言之,他們的任務是在威脅演變成災難之前及早發現。為此,他們需要即時 OT 日誌來偵測入侵、惡意軟體或異常流量。
然而,若攻擊者能直接存取 IT 環境,便能迅速轉向 OT 系統,從而造成 OT 系統遭入侵的嚴重風險。
正因如此,SOC 團隊無法僅憑簡單的登入方式來存取即時 OT 數據以進行監控。
若 SOC 系統遭到入侵,攻擊者便可能利用該連線作為入侵 OT 環境的途徑。
OT Security 團隊
營運技術(OT)安全團隊負責保護工業控制系統及營運技術(OT),例如 SCADA、PLC 和製造機器人,這些系統負責管理實體基礎設施。
這些團隊需要安全日誌,以便進行鑑識分析與異常偵測。
在 IT 環境中,讓具備 ICS 和 OT 專用安全工具的系統存取 OT 環境,這也不是個好主意。
與 SOC 的情況類似,若這些 IT 系統遭到入侵,可能會為攻擊者提供直接入侵 OT 運作的途徑。
事件應變與數位鑑識團隊
若偵測到異常狀況或安全漏洞,將立即調派事件應變與鑑識分析團隊進行調查與修復。
他們需要日誌來識別、遏制並根除針對 OT 系統的攻擊,從而為預防及避免事件重演提供依據。
然而,這些團隊通常是在系統遭入侵的事實已獲確認後才被聘請,屆時風險往往更高。
若回應工具或憑證遭到洩露,通往 OT 的登入路徑將讓攻擊者獲得他們所需要的一切。
因此,事件應變與數位鑑識團隊不應擁有直接透過登入方式存取 OT 環境的權限。
合規與稽核團隊
如果沒有日誌,就無法符合合規標準。
合規與稽核團隊需要長期儲存日誌及可靠的事件追蹤功能,以符合監管與報告要求。
然而,讓稽核人員直接存取 OT 環境既非必要,亦非明智之舉。
與其在運維系統中開啟即時存取路徑,不如透過外部管道提供所需的日誌和報告,這樣不僅更安全,也更能確保控制權。
為什麼要使用資料二極體?因為入站存取簡直是一場噩夢
至此,顯而易見的是,允許企業系統直接查詢 OT 日誌會帶來極高的安全風險。
只要連線安全性不足,攻擊者就能:
- 從 IT 轉向 OT。
- 竊取敏感的營運技術(OT)與工業控制系統(ICS)環境資料,包括控制系統資訊,例如可程式邏輯控制器(PLC)的品牌與型號、製程數值等。
- 篡改日誌以掩蓋行蹤。
MetaDefender Netwall 透過硬體強制實施單向資料流,從而消除這些風險。
日誌會被發送出去,但沒有任何內容傳回。
我們的團隊能取得所需資料,同時營運技術系統仍能保持嚴密防護與安全。
運作方式
該 OT Splunk 實例會從整個 OT 環境中收集安全日誌。
- 該資料集包含防火牆日誌、IPS 、Windows 事件日誌,甚至還包含 PLC 事件。
與其讓企業用戶或系統直接存取 OT 環境OPSWAT NetWall 會將日誌從 OT Splunk 收集器NetWall 推送至外部。
隨後,企業版 Splunk 實例會收到這些事件的 Splunk 對 Splunk 複本。
因此,資安與合規團隊得以獲得所需的可視性,同時無需建立可能使 OT 環境面臨風險的入站存取路徑。
結語:毫不妥協的安全性
如果貴企業的安全團隊要求取得 OT 日誌,請不要斷然以「不行」一詞擋下。
您可以授予他們所需的存取權限,但切勿以會暴露整個環境的方式進行。
OPSWAT Netwall 數據二極管不僅能提供他們所需的可視性,同時也能確保營運技術(OT)系統的安全。
由於沒有外部存取,因此不存在遭入侵的風險。
OPSWAT NetWall 正確的資料以正確的方式傳遞到正確的人手中。
您無需在能見度與安全之間做出取捨。
透過資料二極體,您可以同時獲得這兩者。
歡迎與我們聯繫,了解OPSWAT NetWall 如何NetWall 您的資安團隊NetWall 高效運作,並確保您的 OT 環境安全無虞。
