網路防禦的第一條規則很簡單:您無法防禦您看不到的東西。
在 MetaDefender OT Security提供重要的可視性 - 不會中斷作業或危及生產正常運作時間。
什麼是被動式發現?
被動的發現是觀察,而不是詢問。
被動式搜尋並非主動 ping 裝置、擷取資訊或執行侵入式掃描,而是監聽網路 - 監控流量、通訊模式、工業協定訊息和裝置連線。
它可從觀察到的流量中抽取和推斷智慧,例如裝置身分、關係、協定內容和 ICS 指令,以建立全面的清單和隨時間變化的行為地圖。
在 OT/ICS 網路中,傳統系統、專屬協定和高可用性需求佔據主導地位,因此這種非侵入式方法並非可有可无,而是不可或缺。
在 OT 和 CPS 環境中的重要性
被動式發現可以解決幾個重要的 OT 特定風險:
- 遺留與不透明資產:許多工業裝置對傳統 IT 掃描沒有回應,留下盲點。
- 未知或未管理的端點:承包商、BYOD、物聯網和無線裝置經常出現在 OT 區域 - 您需要對意外情況的可視性。
- 影響流程的通訊:不僅僅是連接了什麼,而是如何以及何時進行通訊。辨識正常與異常模式是偵測威脅的關鍵。
- 作業穩定性:主動掃描或探測可能會中斷生產。被動式方法可維持正常運作時間,並尊重確定的控制迴圈。
- 復原能力的基礎:可視性是分割、異常偵測、弱點管理和事件回應的基礎 - 所有這些都取決於精確的情境。
被動發現如何在MetaDefender OT Security中運作
有了MetaDefender OT Security,您就能運用被動式發現:
- 在鏡射或分接的網段中部署感測器 - 通常位於第 2/3 級邊界或關鍵分界點。
- 收錄網路流量:流量記錄、協定會話(Modbus、DNP3、IEC 61850 等),以及設備之間的元資料。
- 執行裝置指紋:辨識供應商、型號、韌體 (若有)、裝置角色、對等機構、協定和通訊頻率。
- 建立動態資產清單和溝通圖表:瞭解誰與誰交談、何時交談以及交談頻率。
- 建立行為基線:瞭解每部裝置的正常行為,以找出偏差。
- 將資料納入更廣泛的工作流程:支援分割規劃、異常偵測、變更管理和鑑識。
- 提供儀表板、視覺化和警示:突顯未知裝置、未受管理的端點、異常流量、影子資產和風險指標。
6 種有效被動式發現的最佳作法
若要獲得持久的價值,請將被動發現視為一種策略能力,而非合規性的核取方塊:
- 策略性放置感測器:首先將焦點放在高價值的阻塞點和網路邊界。
- 全面的網域涵蓋範圍:包括傳統區域、遠端站點、無線區段和 BYOD 端點,以消除盲點。
- 預留時間進行基準設定:系統需要長時間的資料來定義「正常」行為。
- 豐富外部資料:利用工程清單、試算表和供應商資料來補充 - 有些無聲裝置可能不會出現在流量中。
- Drive 可執行的結果:將清單納入分割、事件回應及變更控制流程。
- 採取持續的思維:可視性不是一次性的目標。隨著新設備、協定和行為的出現,請重新評估您的覆蓋範圍和假設。
為什麼這對您的組織很重要
對於公用事業、製造業、石油與天然氣、運輸業及水處理業的組織來說,正常運作時間與安全性是至關重要的,因此這些組織可以獲得實質的效益。透過對所有裝置和端點 (包括先前未知的資產) 的完整可視性,團隊可以瞭解通訊模式、發現隱藏或有風險的關係,並即時偵測關鍵系統的作業和網路安全威脅。情境洞察力可加強分割、微分割及政策執行,而以證據為基礎的資產知識則可支援 IEC 62443 及 NERC CIP 等架構的合規性。歸根結柢,當您瞭解網路中的情況時,就能降低意外風險,讓您有能力預測、應變及維持彈性運作。
從猜測到洞察
在工業網路安全方面,深度比炒作更重要。
被動式發現可能聽起來不太起眼,但它卻是作業復原能力的基礎。如果沒有可視性,控制就會在黑暗中運作。有了可視性,您就能獲得清晰度 - 您可以偵測偏差、評估風險,並作出有效的回應。
有了MetaDefender OT Security的被動式發現功能,您就可以從「我們以為我們知道有什麼在連線」轉變為「我們知道有什麼在連線、我們監控、我們採取行動」。
立即與專家聯絡,瞭解MetaDefender OT Security 如何強化您的網路OT Security 勢態。
