主動監(jiān)控 VS. 被動監(jiān)控:不再是非此即彼的選項
責編:gltian |2019-04-10 14:53:46大多數(shù)資深安全人員都聽過這么一句箴言:你保護不了你看不見的東西。
很明顯,你對自身環(huán)境了解得越多,就越能檢測到可疑行為并加以調(diào)查。但這也導致了一個經(jīng)典的安全謎題:如何在保證運營穩(wěn)定性的情況下在環(huán)境中實現(xiàn)發(fā)現(xiàn)與監(jiān)視功能?這個問題引發(fā)了安全圈中一個長期的爭論:主動掃描和被動掃描,哪種方法更適合終端發(fā)現(xiàn)與異常檢測?安全老手對這兩個選項都已經(jīng)很熟悉了,但運營人員往往就沒那么熟悉,他們主要擔心兩種方法各自對運營技術(shù)(OT)過程的潛在負面影響。
被動監(jiān)視
通過鏡像端口靜默分析網(wǎng)絡流量以發(fā)現(xiàn)終端和流量模式,不產(chǎn)生額外的網(wǎng)絡流量,不直接與終端交互,也就基本沒有終端關(guān)鍵過程的風險。但是,由于必須等待每個資產(chǎn)生成網(wǎng)絡流量以創(chuàng)建完整基線,被動監(jiān)視的資產(chǎn)數(shù)據(jù)收集過程可能會更加耗時。而且,不是所有的網(wǎng)絡段都能有鏡像端口可用,這也會限制在整個OT環(huán)境中被動監(jiān)視流量的能力。
主動監(jiān)視
通過向網(wǎng)絡發(fā)送測試流量并輪詢有反應的終端實現(xiàn)其資產(chǎn)發(fā)現(xiàn)與異常檢測功能。主動監(jiān)視在收集設備名、IP和MAC地址、NetFlow或系統(tǒng)日志數(shù)據(jù)等基本信息方面非常有效,更細粒度的配置數(shù)據(jù),比如型號、固件版本、已安裝軟件/版本和操作系統(tǒng)補丁情況等,也能充分收集起來。通過直接向終端發(fā)送數(shù)據(jù)包,主動監(jiān)視能夠更快速地收集數(shù)據(jù);但也會因向終端發(fā)送不兼容查詢或充塞小型網(wǎng)絡流量而增加終端故障的風險。而且主動掃描通常不是24小時不間斷地掃描網(wǎng)絡,所以可能檢測不到瞬時終端或處于僅監(jiān)聽模式的設備。
隨著工業(yè)企業(yè)越來越關(guān)注保護其OT環(huán)境安全,他們開始探索能夠更好地發(fā)現(xiàn)需保護資產(chǎn)的方法。一直以來,工業(yè)企業(yè)對其工業(yè)控制系統(tǒng)(ICS)終端的可見性都不是很好,安全風險不斷上升,所以他們的需求非常明顯。最開始,他們在ICS網(wǎng)絡上采用以IT為中心的主動發(fā)現(xiàn)技術(shù),但結(jié)果證明這很大程度上是一場災難。生產(chǎn)車間的專用協(xié)議多種多樣,這些以IT為中心的解決方案缺乏對眾多專用協(xié)議的支持,因而基本沒什么效用,有些甚至引發(fā)了損失慘重的生產(chǎn)線中斷。可編程邏輯控制器(PLC)和安全儀表系統(tǒng)(SIS)之類ICS資產(chǎn),尤其是遺留老舊設備,對主動掃描行為非常敏感,會因多次網(wǎng)絡查詢而過載,或者因非預期通信協(xié)議而崩潰。
隨著OT安全解決方案的發(fā)展,我們開始看到主動和被動技術(shù)的興盛,同時再次遭遇哪種方法對終端發(fā)現(xiàn)和監(jiān)視更有效的爭論。但對運營團隊而言,因主動爬取OT網(wǎng)絡而導致的潛在中斷和宕機是不可接受的,所以安全團隊寧可無功不可有過,絕大部分采取了被動掃描路線。他們或許未必總能獲得想要的終端信息,但中斷運營網(wǎng)絡上產(chǎn)生收益的過程對公司而言可謂罪大惡極,是有可能把安全人員送上通往失業(yè)的特快列車的。
最近,關(guān)于終端發(fā)現(xiàn)的討論從主動/被動之爭轉(zhuǎn)向了尋求更為平衡的方法:融合兩種檢測技術(shù),各取所長,覆蓋終端發(fā)現(xiàn)的寬度和粒度的同時最小化干擾終端和網(wǎng)絡性能的風險。
而隨著OT安全解決方案的不斷成熟,行業(yè)也更能滿足這種需求。頂級資產(chǎn)發(fā)現(xiàn)與監(jiān)視解決方案如今融合了主動和被動技術(shù)的元素,最大化ICS環(huán)境可見性,令OT安全團隊能夠為每一個網(wǎng)絡段部署合適的監(jiān)視方法。其中最好的解決方案還融入了失效保護技術(shù)以降低中斷風險。例如,通過被動監(jiān)視網(wǎng)絡和在發(fā)送主動查詢包之前映射當前固件版本及通信協(xié)議,來降低終端故障風險;以及限制并發(fā)查詢數(shù)量以避免低帶寬OT網(wǎng)絡過載。
重點是OT安全團隊補足可見性缺口及安全實現(xiàn)終端發(fā)現(xiàn)、監(jiān)視及管理的機會從來沒這么好過。當然,“通吃”解決方案是不存在的,安全團隊必須與運營團隊配合,了解各個OT網(wǎng)絡段的具體要求和限制。但今天的可用解決方案選項真的讓資產(chǎn)擁有者沒有任何理由再看不到自己需要保護的東西了。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧