網路安全格局不斷發展,尤其是在 OT(營運技術)環境中,風險異常高。資產所有者通常必須提供對第三方供應商筆記型電腦的網路存取才能進行日常營運。
依靠傳統的防毒即時掃描作為基本安全措施已不足以保護關鍵 OT 基礎架構免受複雜的網路威脅。這項觀察結果並不意味著應停止即時防毒掃描,而是強調了需要透過進階解決方案來解決的安全漏洞,以保護您的關鍵基礎設施。
為什麼傳統的即時防毒掃描還不夠
- 檢測率限制:據統計,單一防毒引擎的檢測率僅 45.6% 左右OPSWAT 研究。採用多重掃描技術增強覆蓋範圍並降低風險。
- 掃描區域覆蓋範圍限制:即時防毒掃描提供的偵測功能有限,主要關注目標裝置的特定區域,例如使用者空間,而未掃描關鍵區域,例如核心/作業系統、UEFI/BIOS 和裝置硬體。
- 無法掃描加密的磁碟/檔案:傳統的即時防毒掃描無法掃描加密的磁碟或檔案系統,因為它依賴正在運行的作業系統來解密它們。
- 對系統效能的影響:即時防毒掃描,尤其是即時執行時,可能會嚴重阻礙關鍵基礎架構的運作。根據 NIST SP 1058,防毒軟體可能會對 ICS 的時間關鍵控制流程產生負面影響。
- 網路傳播的風險:由於即時防毒掃描是在裝置仍在運作時執行的,因此惡意軟體可能會在被發現和緩解之前在 OT 隔離網路內傳播。
- 對未知威脅/複雜惡意軟體毫無防禦能力:即時防毒技術在作業系統運行時進行掃描,使其容易受到GRUB BootHole、Petya/NotPetya、TDSS/TDL-4 和各種可以逃避傳統防毒檢測的Rootkit 等高階威脅的影響。
掃描 OT 網路安全中的瞬態和靜態設備OPSWAT的MetaDefender Drive
為了強化深度防禦策略,組織應專注於解決即時防毒掃描的已知漏洞。 OT 環境具有獨特的特徵,需要專門的反惡意軟體解決方案來保護關鍵網路免受瞬態網路資產和固定設備的威脅。 OPSWAT的MetaDefender Drive全面消除這些威脅和組織的關鍵基礎設施。
多防毒引擎掃描技術
利用多個領先的反惡意軟體引擎提高偵測率。
無法操作的作業系統恢復
透過從以下位置啟動來恢復無法運行的作業系統MetaDefender Drive的內建作業系統
對 OT 營運的影響最小
減少 OT 裝置效能問題,同時確保關鍵操作不受影響。
降低傳播風險
在裝置連接到網路之前執行離線掃描,可以最大限度地降低偵測到的威脅傳播到 OT 系統其他部分的風險。
遵守監管要求
離線掃描有助於支援符合監管要求,例如NIST SP 800-53、NIST SP 800-82、ISO/IEC 27001、美國行政命令14028、NIST FIPS 140-2、CIP-003-7、CIP-010-4 、 ANSSI,確保瞬態和固定設備在連接到 OT 網路之前可以安全使用。
有關有效保護 OT 環境的更深入見解,請下載我們的白皮書,其中揭穿了有關即時防毒掃描的常見誤解,並強調了當前協議下的安全風險。立即探索採用全面的安全方法來保護瞬態和固定設備的好處。
