關鍵基礎建設 (包括能源網、水處理廠、石油與天然氣、運輸系統及製造業) 仰賴資料複製來滿足作業、網路安全及合規需求。然而,如何安全地將 OT 環境中的日誌和事件傳輸至 IT 環境,卻是一大挑戰。
安全作業團隊、鑑識分析師及法規遵循官員都需要 OT 記錄來偵測異常、對威脅作出回應,並確保法規遵循。但是,允許 IT 直接存取 OT 環境會產生無法接受的安全風險,包括:1:
- 網路罪犯從 IT 網路轉移到 OT 網路的 Pivot 攻擊
- 敏感工業控制資料外洩
- 竄改日誌以掩蓋攻擊者的痕跡
MetaDefender Optical Diode強制執行單向硬體資料複製,確保 SPLUNK 日誌安全地從 OT 推送至 IT,而不會為攻擊者創造攻擊面。
關鍵基礎設施如何使用 SPLUNK 資料複製
| 工業 | SPLUNK Replication 如何幫助OT Security |
| 發電、輸電與配電 | 將 SCADA 日誌傳送至 SPLUNK,以進行即時異常偵測和 NERC CIP 合規性監控 |
| 水處理 | 將 ICS 和感測器日誌傳送至 Splunk,以即時監控水質、作業異常,並支援符合當地法規標準 |
| 製造業 | 匯集日誌和事件,以進行預測性維護。 |
| 石油與天然氣 | 使用 SPLUNK 進行效能追蹤、安全事件關聯及作業分析。 |
誰需要 OT 日誌(以及為什麼他們不能只是「登入」)?
安全作業中心 (SOC) 分析師
- 需要即時的 OT 日誌來偵測入侵、惡意軟體和異常流量。
- IT 對OT 的直接存取可讓攻擊者窺探並入侵工業系統。
OT Security 團隊
- 需要安全記錄以進行鑑識分析和異常偵測。
- 以 IT 為基礎的安全工具不應對 OT 環境進行入站存取。
事件回應與鑑識團隊
- 需要日誌來調查攻擊、控制威脅和防止重複發生事件。
- 如果攻擊者入侵具有 OT 存取權限的 IT 端工具,他們就可以控制工業資產。
合規與稽核團隊
- 要求長期日誌儲存和事件追蹤以供稽核 (例如 NERC CIP、IEC 62443)。
- 稽核人員直接進行 OT 存取會增加安全風險。
為什麼需要保護 SPLUNK 資料?
對於在關鍵基礎設施領域營運的組織而言,SPLUNK 在匯集、分析和關聯 ICS(工業控制系統)、SCADA 環境和 OT 網路的資料方面扮演著重要的角色。然而,確保這些資料的安全性、完整性及受控傳輸,對於維持營運彈性及預防網路風險至關重要。
確保可信賴的網路分割與保護 資料流
關鍵基礎架構需要 100% 的網路機密性。傳統的網路分割方法 (例如防火牆和 VPN) 可能會因為錯誤設定和不斷演進的攻擊方法而引發風險。
消除遠端監控中的外部存取點
隨著遠端監控的增加,OT 網路暴露於網路威脅的風險也隨之增加。橋接 OT 和 IT 網路會造成攻擊者可能利用的漏洞,包括贖金軟體和進階持續性威脅。
降低Software分割的成本與複雜性
傳統的解決方案需要高昂的維護成本和複雜的設定。這可能會導致錯誤、產生額外的開銷,並增加因配置錯誤或過時的防禦措施而暴露的風險。
MetaDefender Optical Diode 與 SPLUNK 解決方案使用案例
使用MetaDefender Optical Diode HTTPS 連接器透過 HTTP 進行 SPLUNK-to-SPLUNK 複製
MetaDefender Optical Diode 透過使用MetaDefender Optical Diode的 HTTPS 連接器增強 SPLUNK-to-SPLUNK 複製功能,確保跨網路邊界的安全加密資料傳輸。此整合支援 HTTP 通訊協定,在不影響網路安全性的情況下提供安全的單向資料流,非常適合需要嚴格網路安全措施的環境。
支援的 SPLUNK 複製使用個案
MetaDefender Optical Diode 支援多種 SPLUNK 複製情境,確保各種工業環境的資料安全性與合規性。這些使用情境可在 SPLUNK 實體之間進行彈性、安全的資料傳輸,不論是來自重型轉送器、通用轉送器或 syslog 系統。
重型轉發器至索引器
通用轉發器至索引器
Syslog 來源至索引器
克服 SPLUNK 整合中傳統單向傳輸閘道的挑戰
將MetaDefender Optical Diode OPSWAT 的單向傳輸閘道)與 SPLUNK 整合,可解決傳統上 SPLUNK 資料複製中與防火牆相關的幾項挑戰:
保存 SPLUNK 元資料
- 挑戰:過去,單向傳輸閘道經常會剝離或無法傳輸重要的 SPLUNK 元資料 (例如:sourcecetype、source、host、_time),導致資料完整性問題。
- 解決方案: MetaDefender Optical Diode 可確保在傳輸過程中保留所有關鍵的元資料,維持 SPLUNK 內資料的完整性與可用性。
消除額外的Software 模組
- 挑戰:透過單向傳輸閘道實施 SPLUNK資料複製通常需要額外的軟體模組或客製化配置,增加了複雜性和成本。
- 解決方案: MetaDefender Optical Diode 支援原生 SPLUNK-to-SPLUNK 複製,無需使用額外軟體,可簡化部署並降低支出。
支援原生 SPLUNK 通訊協定
- 挑戰:許多歷史悠久的光學資料二極體不支援 SPLUNK 的原始通訊協定,因此必須進行通訊協定轉換,這可能會造成延遲和潛在錯誤。
- 解決方案: MetaDefender Optical Diode 可使用 SPLUNK 的原生通訊協定進行複製,確保資料傳輸的順暢與效率。
跨網路保護 資料傳輸
- 挑戰:在不同安全等級的網路之間傳輸資料,會造成資料洩漏或未經授權存取的風險。
- 解決方案: MetaDefender Optical Diode 可強制執行單向資料流,在不損害網路完整性的情況下安全地跨網路傳輸 SPLUNK 資料。
降低總擁有成本 (TCO)
- 挑戰:傳統的單向傳輸閘道解決方案通常會因為複雜的組態和持續的維護需求而產生高成本。
- 解決方案: MetaDefender Optical Diode 不需要額外的模組,並支援原生通訊協定,因此可降低初始設定和長期維護成本。
安全無虞:獲得 SPLUNK 可視性而無風險
安全團隊不必在可視性與安全性之間做出選擇。MetaDefender Optical Diode 可確保重要的 OT 安全記錄安全地供 IT 監控使用,而不會讓工業網路暴露於威脅之下。
- 沒有進入 OT 環境的 IT 存取權限
- 符合法規框架(NERC CIP、IEC 62443、NIST CSF)
- 保護、確定和無縫的 SPLUNK 整合
- 降低作業複雜度與成本
什麼是 Splunk?
Splunk 是領先的資料分析平台,用於蒐集、索引和分析大型資料,尤其是安全記錄。它是安全作業中即時監控、威脅偵測及合規報告的重要工具。
什麼是MetaDefender Optical Diode?
MetaDefender Optical Diode 是MetaDefender NetWall 安全閘道的核心,可執行從 OT 到 IT 的基於硬體的單向資料流。它可確保日誌和警報等關鍵資料離開 OT 網路,而不允許任何返回路徑。作為MetaDefender NetWall 系列的一部分,它支援安全的日誌複製、檔案傳輸以及合規性的可視性,而不會影響網路隔離。MetaDefender NetWall 產品線旨在保護關鍵基礎設施,同時實現安全、受控的資料共享。
使用OPSWAT MetaDefender Optical Diode,確保您的關鍵基礎架構中的資料複製安全可靠。
