主動監控 VS. 被動監控:不再是非此即彼的選項
責編:gltian |2019-04-10 14:53:46大多數資深安全人員都聽過這么一句箴言:你保護不了你看不見的東西。
很明顯,你對自身環境了解得越多,就越能檢測到可疑行為并加以調查。但這也導致了一個經典的安全謎題:如何在保證運營穩定性的情況下在環境中實現發現與監視功能?這個問題引發了安全圈中一個長期的爭論:主動掃描和被動掃描,哪種方法更適合終端發現與異常檢測?安全老手對這兩個選項都已經很熟悉了,但運營人員往往就沒那么熟悉,他們主要擔心兩種方法各自對運營技術(OT)過程的潛在負面影響。
被動監視
通過鏡像端口靜默分析網絡流量以發現終端和流量模式,不產生額外的網絡流量,不直接與終端交互,也就基本沒有終端關鍵過程的風險。但是,由于必須等待每個資產生成網絡流量以創建完整基線,被動監視的資產數據收集過程可能會更加耗時。而且,不是所有的網絡段都能有鏡像端口可用,這也會限制在整個OT環境中被動監視流量的能力。
主動監視
通過向網絡發送測試流量并輪詢有反應的終端實現其資產發現與異常檢測功能。主動監視在收集設備名、IP和MAC地址、NetFlow或系統日志數據等基本信息方面非常有效,更細粒度的配置數據,比如型號、固件版本、已安裝軟件/版本和操作系統補丁情況等,也能充分收集起來。通過直接向終端發送數據包,主動監視能夠更快速地收集數據;但也會因向終端發送不兼容查詢或充塞小型網絡流量而增加終端故障的風險。而且主動掃描通常不是24小時不間斷地掃描網絡,所以可能檢測不到瞬時終端或處于僅監聽模式的設備。
隨著工業企業越來越關注保護其OT環境安全,他們開始探索能夠更好地發現需保護資產的方法。一直以來,工業企業對其工業控制系統(ICS)終端的可見性都不是很好,安全風險不斷上升,所以他們的需求非常明顯。最開始,他們在ICS網絡上采用以IT為中心的主動發現技術,但結果證明這很大程度上是一場災難。生產車間的專用協議多種多樣,這些以IT為中心的解決方案缺乏對眾多專用協議的支持,因而基本沒什么效用,有些甚至引發了損失慘重的生產線中斷。可編程邏輯控制器(PLC)和安全儀表系統(SIS)之類ICS資產,尤其是遺留老舊設備,對主動掃描行為非常敏感,會因多次網絡查詢而過載,或者因非預期通信協議而崩潰。
隨著OT安全解決方案的發展,我們開始看到主動和被動技術的興盛,同時再次遭遇哪種方法對終端發現和監視更有效的爭論。但對運營團隊而言,因主動爬取OT網絡而導致的潛在中斷和宕機是不可接受的,所以安全團隊寧可無功不可有過,絕大部分采取了被動掃描路線。他們或許未必總能獲得想要的終端信息,但中斷運營網絡上產生收益的過程對公司而言可謂罪大惡極,是有可能把安全人員送上通往失業的特快列車的。
最近,關于終端發現的討論從主動/被動之爭轉向了尋求更為平衡的方法:融合兩種檢測技術,各取所長,覆蓋終端發現的寬度和粒度的同時最小化干擾終端和網絡性能的風險。
而隨著OT安全解決方案的不斷成熟,行業也更能滿足這種需求。頂級資產發現與監視解決方案如今融合了主動和被動技術的元素,最大化ICS環境可見性,令OT安全團隊能夠為每一個網絡段部署合適的監視方法。其中最好的解決方案還融入了失效保護技術以降低中斷風險。例如,通過被動監視網絡和在發送主動查詢包之前映射當前固件版本及通信協議,來降低終端故障風險;以及限制并發查詢數量以避免低帶寬OT網絡過載。
重點是OT安全團隊補足可見性缺口及安全實現終端發現、監視及管理的機會從來沒這么好過。當然,“通吃”解決方案是不存在的,安全團隊必須與運營團隊配合,了解各個OT網絡段的具體要求和限制。但今天的可用解決方案選項真的讓資產擁有者沒有任何理由再看不到自己需要保護的東西了。