大部分工厂和公用事业企业运行的工业控制系统 (ICS) 机器设备从没准备连入互联网技术,其初始布署很有可能可以追溯到 20 新世纪 70 时代或 80 年代。针对他们来讲,运行的更智能化一点的系统软件——你猜猜的没有错,便是 Windows XP!
设计方案不安全且仅限于当地浏览的这种自动控制系统尽管可以带来更好的高效率,但也提供了不确定性的勒索软件风险性。像 NotPetya 那样的勒索病毒就曾于 2017 年为世界经济导致了数亿美元的损害,引起了世界制造产业的焦虑。安全性专业人士表明,NotPetya 很有可能会涌向商业服务和行业互联网中,并且做为一种不良反应,该恶意程序很有可能会超越这种界限并导致危害。应对这类日益严重的互联网局势,除非是你完全将工厂和公共设施从网络上撤掉重返石器时代,不然就必需加速经营技术性 (OT) 自然环境的安全系数。
这也许代表着你需要获得 ICS/OT 监管设备的协助。此刻你将遭遇 “商业服务” 和 “开源系统” 专用工具二种选择项。但是不论是挑选哪一种,你都要在评定全过程以前和期内谨慎地思索以下好多个问题:
1. 该ICS监管专用工具是不是可以给予您所需的作用?
顶尖的 ICS 监管经销商 Indegy、CyberX、Nozomi Networks 及其 Claroty 都是会给予不一样水平的财产发觉、网络视频监控作用和 SOC 集成化商品。她们更少关心一切已知的竖直方位,而大量地关心剖析技术专业的——通常是历史悠久的协议书(如 modbus)及其鉴别特殊类型的机器设备(如可编程逻辑控制板 PLC)。工业控制系统数据流量看上去与典型性的公司 IT 数据流量十分不一样,并且其监管设备到机器的通信方式也是与众不同的。
例如,全部经销商都给予财产发觉作用;终究你没法保卫自身看不见的物品。但有关自身到底有着什么财产的问题,是大部分机构都无法回应的。她们很有可能了解 15-20 年以前工厂初次完工时安裝了哪些机器设备,可是历经这么多年网络空间发生了如何的转变?我都有着什么机器设备?这种机器设备中间怎样开展互动?全是机构无法回应的问题。
不断的威胁监控也是您可以从供货商处得到的基本要素。鉴别异常总流量,联接到 OT 互联网的未受权机器设备,及其应用人工神经网络来标识出现异常主题活动是常备的作用。此外,SOC 集成化也已经快速发展壮大变成全部厂商供应或将要带来的另一个必不可少的根本作用。
选购 ICS 监控解决方案时必须考量的一个差别要素是,该经销商解决方法标识了是多少乱报或低优先级队列的事情。由于您的 SOC 很有可能并没有非常的网络资源来运行每一个事情,并且在大部分情形下有可能会挑选忽视较低优先级队列的问题,以保证全天 (7X24) 的一切正常运行時间。很多的乱报或低优先级队列事情不仅仅会耗费比较有限的职工資源,也有有可能致使职工忽视真真正正会引起严重危害的事情。
与别的 ICS 专用工具经销商不一样,Dragos 致力于入侵检测技术以及身后的溯因。最近,该企业还完全免费释放出来了2款完全免费的工业控制系统 (ICS) 财产发觉专用工具——Cyberlens 和 Integrity。这几款专用工具功能齐全,可给予工业生产财产鉴别、ICS 互联网及数据流分析虚拟化技术,及其对 ModbusTCP、DNP3、EthernetIP、BacNet 和 OPC UA 等ICS商品的基本上深层包检验作用。
市政工程公用事业单位注意到:Dragos 与其它竞争者不一样的一点是,它为资源枯竭的自来水公司和供电公司给予完全免费/便宜的小区专用工具。大部分别的经销商都致力于从全球财富 2000 强的大型企业获得合同书——自然 Dragos 也是如此——可是为了能协助一些資源不足的机构维护其重要基础设施建设安全性,Dragos 还带来了一些质优价廉但一样可以实行公共文化服务的代替计划方案。由于 Dragos 觉得,大部分私有云手机软件对小公司和群众来讲过于价格昂贵,就算是基本版也负担不起,根据公布完全免费/便宜的道具可以为这一部分客户带来安全性、不断的处于被动 ICS 互联网及财产发觉作用。
2. ICS专用工具经销商是不是给予免费使用服务项目?
到底 Dragos 或任意别的解决方法是不是合适您的公司,还必须完成一些其它的评定剖析。在这之前,不可以随便地得到到底哪个经销商合适您的工厂或公用事业企业。
这儿就需要思索那样一个问题 “哪些才算是顾客的行业要求?” 要了解,压根不会有哪些 “最好是的专用工具”,现如今,各种各样专用工具已经快速发展趋势并相互之间市场竞争创新。
因为每一个 ICS 布署都不一样,因而沒有单一稳定的解决方法,针对公司 ICS 监管要求都没有一个通用性的回答。因而,在选购解决方法以前,一定要考虑到该经销商是不是给予免费安装使用的服务项目,由于这也是分辨您所订购的解决方法是不是确实合适您的公司的唯一方式。
3. ICS专用工具与SIEM和SOC的搭配水平怎样?
安全性管理者还期待其经销商的解决方法可以与其说目前的安全信息和事件管理方法 (SIEM) 系统软件实现互动,而且可以从一个汽车仪表板中与此同时掌握 IT 和 OT 的状况。这种仅仅工厂和公用事业企业在分析其挑选时应当考量的一些至关重要的问题。
4. 开源系统的ICS监管专用工具是一种挑选吗?
这时你也许会问一下自己,为什么不动手能力构建是自身的监管专用工具呢?的确,知名企业有标准搭建与应用开源系统选择项的商业服务经销商同样的内部结构作用。她们可以运用的有安全性圆葱 (Onion)、ELK 局部变量,Suricata 乃至一些开源系统 Snort 标准。
可是,为很多公司客户给予服务咨询的 Caldwel 企业却抵制这类作法。在它来看,公司自身构建安全工具的方式不但存有实践活动难度系数,并且工程造价十分昂贵。
根据很大的拼搏及其企业内部的深层次安全性优秀人才,公司的确有工作能力拷贝在其中一个 ICS 安全性经销商的商品,可是比较严重的安全性专业人才紧缺代表着获得和保存这种优秀人才很有可能十分困难,尤其是当风投 (VC) 支助的初创公司都是在用高价位 “挖墙角” 的情况下,这类优秀人才也是变成了可遇而不可求的刚性需求。
此外,尽管,开源系统专用工具能适用比较有限的财产发觉和网络视频监控作用,且全自动具有可以融合到 SOC 中的对外开放 API,可是,顶尖作用的开发设计依然远远地滞后于商业服务商品。
5. 在选购ICS监管专用工具以前,我可以做些哪些?
选购某一经销商的 ICS 监管专用工具,并不代表您就需要将 “通向公司的锁匙” 交到该商业服务经销商。逃避责任并并不是可用的安全设置,实际上,公司可以运行许多安全性基本——也称作财务尽职调查或食品卫生安全,以保障其 IT 和 OT 系统优化,并保障其与 ICS 监控系统的取得成功集成化。安全性专业人士表明,目前体系的执行和配备一样可以对这种体系的安全系数造成巨大危害,而不是纯粹地借助这种昂贵的专用工具。
此外,IT 安全性工作人员和 ICS 技术工程师中间更进一步地协作还可以造成经济效益。根据让她们角色互换几个星期或好多个月可以推动她们彼此之间对 IT/OT 文化艺术差距有一个更快的了解。
6. ICS监管专用工具将来两年的未来发展态势怎样?
最近几年我们可以见到,很多的风投资产逐渐资金投入到 ICS/OT 监控解决方案中,少数几家企业已变成这一重要彭尼行业的主动参加者。她们中的很多都给予一些相近的企业产品的服务项目,因此将来两年,一定水平的销售市场融合可能是难以避免地——因此,假如您的经销商被回收或宣告破产了会如何?这也是在评定经销商和签署合同时必须列入考虑到的问题。
网络信息安全解决方法的工厂布署使用寿命很有可能长达 20 年乃至更长期。ICS/OT 监管行业是一个尤为重要但却不大的竖直室内空间,而全球财富 2000 强只包括小小 2000 家公司,因此資源争夺的幅度显而易见。一般来说,假如你选用的经销商早已在国内或全世界范畴内的数千公司布署了专用工具,那麼该经销商遭受业务流程困境的可能会相应较低一些。
应对如此不足的市场容量,大部分该类经销商都面对着这种2个选择项——被回收,或者勤奋将其商品或服务范围扩张到 ICS/OT 之外的更普遍的网络信息安全销售市场中。很显著,将来人们将见到几类不一样的发展趋向——一些公司将必须被回收或撤出财产市场竞争演出舞台;也有一些眼光长久的企业会将 “权益之手” 伸到别的网络安全产品中,而不仅是 OT 网络安全产品。
这就代表着,这种顶尖经销商中的任意一家都是有很有可能会在今年公布毕业。因此,在宣布签署合同以前,顾客应当规定经销商对其经营情况维持全透明。恰好是因为这种经销商带来的产品与服务过于相近,因此将来很有可能发生一定水平的作用融合。假如产生整合资源,将随时随地有经销商遭遇被赶出销售市场的结果,对于此事公司应当慎重看待当心挑选。
【文中是51CTO栏目创作者“李少鹏”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章