想象一下以下情景。
您是一个独立原油管道运营商的首席执行官,在二叠纪盆地服务十几个字段,近期赎金软件攻击殖民地管道让你思考。到目前为止,贵公司只遭受了乐动体育 足球快讯一些小型网络攻击,而这些事件肯定令人讨厌,他们从未对业务运营构成了重大威胁。但与美国政府警告中游运营商的风险和发行新的网络安全要求,你担心。你决定采取行动是时候了,所以你致电你的首席技术官。
在谈话开始时,如果您的公司从事资产发现,只有符合新的要求,才能遵守新的要求,以获得新的准确库存,以涵盖其所有信息技术(IT)和操作技术(OT)乐动体育 足球快讯系统。她解释说,目前的库存只涵盖了IT系统。您还记得CTO和她的团队对网络安全卖方提供了高度满意,为现有库存提供资产发现服务,因此您询问供应商是否可以扩展其上一项工作。然而,她建议反对它,并建议该公司从一系列更专业(更昂贵)的供应商中。乐动体育 足球快讯
你问:为什么?
她回答:因为IT环境中的资产发现与OT环境中的资产发现不一样。
它和OT系统不可避免地不同
当然,这是一个虚构的情景,但这不是一个幻想的情景。OT环境中的资产发现真的与IT环境中的资产发现不同。
主要原因是所涉及的资产是不同的。
网络安全在IT方面复杂化,因为所涉及的系统可能包括广泛的资产 - 不仅仅是服务器和台式计算机,还包括服务器和桌面计算机,还包括外围设备(打印机,复印机等),物联网(IoT)监视器,移动设备和云平台。能够访问系统的设备的数量和类型可以不可预测地波动,这取决于对远程操作的需求。
尽管如此,这些设备具有重要的共性。它们主要用于处理,处理和存储管理任务数据。它们通常每隔几年更换,而且它们中的许多都是相同的制作和模型或运行相同的软件。理想情况下,它们定期更新,他们的用户知道应用补丁或网络安全供应商进行定期扫描和测试程序时,他们会期待停机时间。
不同类型的资产 - 以及不同类型的威胁
相比之下,在OT方面,系统可以包括各种提供各种不同目的的各种资产。一套资产可能是足够的,它已经足够了,它具有综合的工业互联网(IIT)监视器,以收集有关网络的性能和条件的数据,可以进入人工智能(AI)模块,该模块吸引预测和预防性维护计划。几十年来,另一套可能已在服务中,依赖于30岁的软件,该软件由不再存在的公司设计,或者在没有空缺服务合同的情况下无法更新。乐动体育 足球快讯又可以使用五年前在紧急情况下安装的额外设备包装,并且从未停用。
这种类型的系统更难以受资产发现。其组成部分的年龄差,目的,复杂性,复杂程度和兼容性水平。此外,他们都可能对业务连续性至关重要。也就是说,它们可能无法在不中断操作的情况下脱机到不可接受的程度。例如,在我们的理论管道公司的情况下,停止原油流动申请紧急贴片可能有助于突破网络攻乐动体育 足球快讯击,但也可能导致丧失收入,不可抗力宣言或违反合同的诉讼。
此外,OT系统上的网络攻击通常是不同的。如果恶意演员干扰IT网络,公司将失去数据,商业秘密和金钱。但如果恶意演员干扰OT网络,工人(也许附近的社区也也将面临健康和安全风险,并且供应链将被扰乱。例如,CyberAtcks可能会在我们的情景中渲染独立的管道公司,无法防止导致污染环境的维护人员和溢出的死亡或伤害。乐动体育 足球快讯如果他们中断向主要炼油厂交付原料,它们也可能触发燃料短缺。
获得全部资产可见性
因此,如果OT系统的运营商想要参与有效的资产发现,他们必须考虑到这些差异。
这样做的一种方法是寻找网络安全供应商熟悉OT环境 - 在业内相关部门拥有经验和专业知识的供应商。如果没有这种熟悉程度,您的供应商可能无法建立一个有效和被动识别的资产发现程序的资产发现程序。
主动识别,也称为“标准资产发现”依赖于软件或基于网络的传感器来扫描或ping网络以识别连接的设备。本质上,这可能会缓慢或扰乱您的OT系统,这可能是时间敏感的工业控制系统(IC)的问题。
被动识别,往往是首选方法,侦听网络层的路由器,交换机和防火墙中存在的资产数据,以及部署在各种控制系统中部署的数据历史学家,HMIS,DCS和SCADA平台。通常,这些与资产或日志管理和安全工具配对,以聚合和关联来自这些各种来源的所有数据,以创建完整的资产库存,对环境影响很小。
获得这些OT资产的完全可见性从数据包可见性开始。在资产发现用例中,网络抽头(测试接入点)在提供此可见性方面发挥着关键作用。它们允许您收集通过网络流过的完整流量数据,而不会删除跨端口可能错过的数据包。在整个网络中可能或可能无法在整个网络中提供跨度端口,留下盲点和可能复杂化规则合规性的不可靠数据。利用网络抽头和数据二极管抽头,允许您构建完整的资产库存,而不会冒对OT系统中断的风险。
希望为资产发现平台添加完整的数据包可见性,但不确定在哪里开始?加入我们的简短网络设计 - 评估或演示。没有义务 - 这就是我们喜欢做的事情。
