上下文资产信息 (Context Asset Data) 助力OT环境的SOAR

作者 | 绿盟科技格物实验室 田泽夏@nsfocus.com

背景

近些年，工业控制领域的安全问题逐渐得到大家的关注，讨论通常围绕着如何保护OT环境。虽然在某些情况下，大多数人会关注OT设备，如可编程逻辑控制器(PLC)、远程终端单元(RTU)或安全仪表系统(SIS)，但了解IT和OT基础设施和系统的监控同样重要是至关重要的。由于缺乏对这些环境的可见性，因此几乎不可能知道如何保护整个OT系统。

大多数OT环境的主要关注点是安全可靠地运行进程。正如过去所证明的那样，新技术的引入会直接影响这些系统的安全性和可靠性。例如，扫描软件已被证明会对PLC、SCADA系统和其他设备产生负面影响。在某些情况下，扫描技术导致系统不稳定，导致设备离线，在最坏的情况下，使它们无法操作，这与拒绝服务攻击是同等性质。因此，许多OT操作人员将重点放在系统加固上，以将潜在攻击者排除在系统之外，例如被广泛使用的白名单机制。但大多数操作人员对OT环境本身的可见性有限。如果一个组织想要保护他们的OT环境，关键是操作者不仅要具有系统边界的可见性，而且针对基础设施和OT设备本身也需要具备可见性。

上下文资产的必要性

一直以来，安全性和可靠性一直被认为是OT环境的关键考量，而安全性则是后来才考虑到的。此外，传统技术和现代技术的结合，使OT系统在投入生产时的安全性更具挑战性，当时网络安全根本没有被考虑在内。好消息是，随着越来越多工控安全厂商的参与以及相关技术的引入，对于OT系统的监控与安全加固能力已经在许多现实生产环境中实现。与此同时，运营商可以方便地集中监控工控企业的OT环境，从而获得的可见性也十分关键。然而，由于数据的数量和多样性，添加更多的数据可能会存在隐藏风险。为了过滤这些数据，从而提供可操作的建议，可以应用SIEM、SOAR和用户行为分析等技术，但在OT环境中使用这些工具进行事件响应时，访问上下文数据是至关重要的。

通过结合企业安全和OT环境安全监控等方式，OT安全团队现在可以利用资产和系统的上下文数据，以及其他技术和SIEM分析平台。诸如站点、资产所有者、操作状态和资产类型等信息都可以直接影响谁需要参与事件响应，以及可能的响应类型。将告警、漏洞和资产信息集成到平台中，不仅可以帮助安全分析师了解潜在的安全威胁，而且还可以在必要时获取关键的上下文资产信息。

关于SOAR

安全编排、自动化和响应(SOAR)是一系列用于保护 IT 系统免受威胁的功能。

SOAR 指的是安全团队所使用的3大软件功能：案例和工作流管理、任务自动化，以及集中式管理访问、查询和共享威胁情报。SOAR一词来自分析机构 Gartner。有些分析机构也用其他术语来描述 SOAR：IDC 将这一概念称为“安全分析、情报、响应和编排”(AIRO)。Forrester 则使用“安全自动化和编排”(SAO)一词来描述同一功能。

SOAR 通常是与企业的安全防护运维中心(SOC)一起协调实施的。SOAR 平台可以监控威胁情报源并触发自动响应以缓解安全威胁。

上下文资产数据如何帮助SOAR

安全编排自动化和响应(SOAR)是一组用于自动化部分安全调查过程的技术。之所以经常使用SOAR，是因为SOC团队每天都会收到大量耗时的告警，但这些告警通常是重复的，并且可以自动化。这些日常场景中的重复告警可以通过自动化分析进行适当过滤，使事件响应团队可以专注于需要他们专业知识的关键问题。一些常见的SOAR编排和响应操作可能包括禁用帐户、阻止防火墙端口和隔离资产等。虽然这些操作不太可能在OT环境中自主发生，但还有其他的自动化工具可以帮助减少解决事件的时间。

例如，了解是否在某个资产上检测到新的应用程序或漏洞，可能是了解特定资产事件的临界性和潜在攻击的范围的关键。这些自动验证检查与资产关键度、信息和资产联系信息结合在一起，有助于减少平均解析时间(MTTR)，同时有助于保护OT环境的其他部分。

利用事件响应(IR)工作簿有助于定义IR过程和可以利用的可能的自动化(包括何时让一个人参与决策过程)。同时，工作簿可以使事件响应更加一致，并帮助防止事件响应者错过流程中的关键步骤。同样，这种上下文信息可以帮助SOAR平台知道应该执行哪些工作簿和流程，因为对SIEM发出的关键警报的响应可能会根据资产类型、位置和资产所有者而有所不同。

参考链接：

1.https://www.industrialdefender.com/how-to-overcome-vulnerability-patch-management-challenges-in-ot/

2.https://www.industrialdefender.com/how-contextual-asset-data-makes-soar-possible-in-ot/

3.https://www.industrialdefender.com/defendersphere-ics-vendors/

声明：本文来自网络安全应急技术国家工程实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。