大多数工厂和公用事业公司运行的工业控制系统 (ICS) 设备从未打算连入互联网,其原始部署可能可以追溯到 20 世纪 70 年代或 80 年代。对于它们而言,运行的更现代化一点的系统——你猜的没错,就是 Windows XP!
设计不安全且仅限本地访问的这些控制系统虽然能够提供更高的效率,但也带来了潜在的灾难性风险。像 NotPetya 这样的勒索软件就曾于 2017 年为全球经济造成了数亿美元的损失,引发了全球制造业的恐慌。安全专家表示,NotPetya 极有可能会蔓延到商业和工业网络中,而且作为一种副作用,该恶意软件可能会跨越这些边界并造成损害。面对这种日益严峻的网络形势,除非你彻底将工厂和公用设施从互联网上撤下重回石器时代,否则就必须加快运营技术 (OT) 环境的安全性。
这可能意味着你需要获取 ICS/OT 监控工具的帮助。这时候你将面临 “商业” 和 “开源” 工具两种选项。不过无论是选择哪一种,你都需要在评估过程之前和期间慎重地思考下述几个问题:
1. 该ICS监控工具是否能够提供您所需的功能?
顶级的 ICS 监控供应商 Indegy、CyberX、Nozomi Networks 以及 Claroty 都会提供不同程度的资产发现、网络监控功能和 SOC 集成产品。他们更少关注任何给定的垂直方向,而更多地关注分析专业的——通常是古老的协议(如 modbus)以及识别特殊类型的设备(如可编程逻辑控制器 PLC)。工业控制系统网络流量看起来与典型的企业 IT 网络流量非常不同,而且其监控机器到机器的通信方式也是独特的。
例如,所有供应商都提供资产发现功能;毕竟你无法捍卫自己看不到的东西。但关于自己究竟拥有哪些资产的问题,是大多数组织都难以回答的。他们可能知道 15-20 年前工厂首次建成时安装了什么设备,但是经历这些年网络环境发生了怎样的变化?我还拥有哪些设备?这些设备之间如何进行交互?都是组织难以回答的问题。
持续的威胁监控也是您可以从供应商处获得的基本功能。识别可疑流量,连接到 OT 网络的未授权设备,以及使用机器学习来标记异常活动是必备的功能。除此之外,SOC 集成也正在迅速发展成为所有供应商提供或即将提供的另一个必备的基础功能。
购买 ICS 监控解决方案时需要考虑的一个区别因素是,该供应商解决方案标记了多少误报或低优先级的事件。因为您的 SOC 可能没有足够的资源来运行每一个事件,而且在大多数情况下可能会选择忽略较低优先级的问题,以确保全天候 (7X24) 的正常运行时间。大量的误报或低优先级事件不仅会消耗有限的员工资源,还有可能导致员工忽略真正会引发严重威胁的事件。
与其他 ICS 工具供应商不同,Dragos 专注于入侵检测及其背后的溯因。近期,该公司还免费释放了两款免费的工业控制系统 (ICS) 资产发现工具——Cyberlens 和 Integrity。这两款工具功能强大,可提供工业资产识别、ICS 网络及数据流虚拟化,以及对 ModbusTCP、DNP3、EthernetIP、BacNet 和 OPC UA 等ICS产品的基本深度包检测功能。
市政公用事业部门注意到:Dragos 与其他竞争对手不同的一点是,它为资源贫乏的自来水厂和电力公司提供免费/廉价的社区工具。大多数其他供应商都专注于从全球财富 2000 强的大企业获取合同——当然 Dragos 也不例外——但是为了帮助一些资源有限的组织保护其关键基础设施安全,Dragos 还提供了一些价格低廉但同样能够执行公共服务的替代方案。因为 Dragos 认为,大多数企业级软件对小公司和市民而言太过昂贵,即便是基础版也负担不起,通过发布免费/廉价的工具可以为这部分用户提供安全、持续的被动 ICS 网络及资产发现功能。
2. ICS工具供应商是否提供免费试用服务?
究竟 Dragos 或任何其他解决方案是否适合您的企业,还需要进行一些其他的评估分析。在此之前,不能轻易地得出究竟哪个供应商适合您的工厂或公用事业公司。
这里就要思考这样一个问题 “什么才是买家的商业需求?” 要知道,根本不存在什么 “最好的工具”,如今,各种工具正在迅速发展并互相竞争革新。
由于每个 ICS 部署都不同,因此没有单一固定的解决方案,对于企业 ICS 监控需求也没有一个通用的答案。因此,在购买解决方案之前,一定要考虑该供应商是否提供免费安装试用的服务,因为这是判断您所购买的解决方案是否真的适合您的企业的唯一方法。
3. ICS工具与SIEM和SOC的匹配程度如何?
安全管理人员还希望其供应商的解决方案能够与其现有的安全信息和事件管理 (SIEM) 系统进行交互,并且可以从一个仪表板中同时了解 IT 和 OT 的情况。这些只是工厂和公用事业公司在评估其选择时应该考虑的一些关键问题。
4. 开源的ICS监控工具是一种选择吗?
此时你可能会问自己,为什么不动手搭建属于自己的监控工具呢?确实,大型企业有条件构建与使用开源选项的商业供应商相同的内部功能。他们可以利用的有安全洋葱 (Onion)、ELK 堆栈,Suricata 甚至一些开源 Snort 规则。
但是,为许多企业用户提供咨询服务的 Caldwel 公司却反对这种做法。在它看来,企业自己搭建安全工具的行为不仅存在实践难度,而且造价非常高昂。
通过巨大的努力以及企业内部的深层安全人才,企业确实有能力复制其中一个 ICS 安全供应商的产品,但是严重的安全人才短缺意味着获取和保留这些人才可能十分困难,尤其是当风险投资 (VC) 资助的初创企业都在用高价 “挖墙脚” 的时候,这种人才更是成为了可遇不可求的稀缺资源。
除此之外,虽然,开源工具能支持有限的资产发现和网络监控功能,且自动具备可以集成到 SOC 中的开放 API,但是,尖端功能的开发仍然远远落后于商业产品。
5. 在购买ICS监控工具之前,我能做些什么?
购买某个供应商的 ICS 监控工具,并不意味着您就应该将 “通往企业的钥匙” 交给该商业供应商。推卸责任并不是可取的安全策略,事实上,企业可以执行很多安全基础——也称之为尽职调查或安全卫生,以保护其 IT 和 OT 系统安全,并确保其与 ICS 监控系统的成功集成。安全专家表示,现有系统的实施和配置同样可以对这些系统的安全性产生重大影响,而不是单纯地依靠这些高昂的工具。
除此之外,IT 安全人员和 ICS 工程师之间更深入地合作也可以产生效益。通过让他们角色互换几周或几个月可以促进他们彼此对 IT/OT 文化鸿沟有个更好的理解。
6. ICS监控工具未来几年的发展形势如何?
最近几年我们可以看到,大量的风险投资资金开始投入到 ICS/OT 监控解决方案中,少数几家公司已经成为这一关键利基领域的积极参与者。他们中的许多都提供一些类似的产品的服务,所以未来几年,一定程度的市场整合可能是不可避免地——所以,如果您的供应商被收购或宣告破产了会怎样?这是在评估供应商和签订合同时需要纳入考虑的问题。
网络安全解决方案的工厂部署寿命可能长达 20 年甚至更长时间。ICS/OT 监控领域是一个至关重要但却很小的垂直空间,而全球财富 2000 强只包含区区 2000 家企业,所以资源抢夺的力度可想而知。一般来说,如果你选择的供应商已经在全国或全球范围内的数百个企业部署了工具,那么该供应商遭遇业务危机的可能性会相对较低一些。
面对如此有限的市场规模,大多数此类供应商都面临着这样两个选项——被收购,或是努力将其产品或服务范围扩大到 ICS/OT 以外的更广泛的网络安全市场中。很明显,未来我们将看到几种不同的发展趋势——一些企业将不得不被收购或退出资产竞争舞台;还有一些目光长远的公司会将 “利益之手” 伸到其他安全产品中,而不仅仅是 OT 安全产品。
这就意味着,这些顶级供应商中的任何一家都有可能会在明年宣布结业。所以,在正式签订合同之前,买家应该要求供应商对其财务状况保持透明。正是由于这些供应商提供的产品和服务太过类似,所以未来极有可能出现一定程度的功能整合。如果发生资源整合,将随时有供应商面临被踢出市场的结局,对此企业应该谨慎对待小心选择。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】