网安 - 专业的网络安全产业、社区、知识平台

上下文资产信息(Context Asset Data)助力OT环境的SOAR

VSole2021-11-16 09:41:40

 背景

近些年,工业控制领域的安全问题逐渐得到大家的关注,讨论通常围绕着如何保护OT环境。虽然在某些情况下,大多数人会关注OT设备,如可编程逻辑控制器(PLC)、远程终端单元(RTU)或安全仪表系统(SIS),但了解IT和OT基础设施和系统的监控同样重要是至关重要的。由于缺乏对这些环境的可见性,因此几乎不可能知道如何保护整个OT系统。

大多数OT环境的主要关注点是安全可靠地运行进程。正如过去所证明的那样,新技术的引入会直接影响这些系统的安全性和可靠性。例如,扫描软件已被证明会对PLC、SCADA系统和其他设备产生负面影响。在某些情况下,扫描技术导致系统不稳定,导致设备离线,在最坏的情况下,使它们无法操作,这与拒绝服务攻击是同等性质。因此,许多OT操作人员将重点放在系统加固上,以将潜在攻击者排除在系统之外,例如被广泛使用的白名单机制。但大多数操作人员对OT环境本身的可见性有限。如果一个组织想要保护他们的OT环境,关键是操作者不仅要具有系统边界的可见性,而且针对基础设施和OT设备本身也需要具备可见性。

 上下文资产的必要性

一直以来,安全性和可靠性一直被认为是OT环境的关键考量,而安全性则是后来才考虑到的。此外,传统技术和现代技术的结合,使OT系统在投入生产时的安全性更具挑战性,当时网络安全根本没有被考虑在内。好消息是,随着越来越多工控安全厂商的参与以及相关技术的引入,对于OT系统的监控与安全加固能力已经在许多现实生产环境中实现。与此同时,运营商可以方便地集中监控工控企业的OT环境,从而获得的可见性也十分关键。然而,由于数据的数量和多样性,添加更多的数据可能会存在隐藏风险。为了过滤这些数据,从而提供可操作的建议,可以应用SIEM、SOAR和用户行为分析等技术,但在OT环境中使用这些工具进行事件响应时,访问上下文数据是至关重要的。

通过结合企业安全和OT环境安全监控等方式,OT安全团队现在可以利用资产和系统的上下文数据,以及其他技术和SIEM分析平台。诸如站点、资产所有者、操作状态和资产类型等信息都可以直接影响谁需要参与事件响应,以及可能的响应类型。将告警、漏洞和资产信息集成到平台中,不仅可以帮助安全分析师了解潜在的安全威胁,而且还可以在必要时获取关键的上下文资产信息。

 关于SOAR

安全编排、自动化和响应(SOAR)是一系列用于保护 IT 系统免受威胁的功能。

SOAR 指的是安全团队所使用的3大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。SOAR一词来自分析机构 Gartner。有些分析机构也用其他术语来描述 SOAR:IDC 将这一概念称为“安全分析、情报、响应和编排”(AIRO)。Forrester 则使用“安全自动化和编排”(SAO)一词来描述同一功能。 

SOAR 通常是与企业的安全防护运维中心(SOC)一起协调实施的。SOAR 平台可以监控威胁情报源并触发自动响应以缓解安全威胁。

 上下文资产数据如何帮助SOAR

安全编排自动化和响应(SOAR)是一组用于自动化部分安全调查过程的技术。之所以经常使用SOAR,是因为SOC团队每天都会收到大量耗时的告警,但这些告警通常是重复的,并且可以自动化。这些日常场景中的重复告警可以通过自动化分析进行适当过滤,使事件响应团队可以专注于需要他们专业知识的关键问题。一些常见的SOAR编排和响应操作可能包括禁用帐户、阻止防火墙端口和隔离资产等。虽然这些操作不太可能在OT环境中自主发生,但还有其他的自动化工具可以帮助减少解决事件的时间。

例如,了解是否在某个资产上检测到新的应用程序或漏洞,可能是了解特定资产事件的临界性和潜在攻击的范围的关键。这些自动验证检查与资产关键度、信息和资产联系信息结合在一起,有助于减少平均解析时间(MTTR),同时有助于保护OT环境的其他部分。

利用事件响应(IR)工作簿有助于定义IR过程和可以利用的可能的自动化(包括何时让一个人参与决策过程)。同时,工作簿可以使事件响应更加一致,并帮助防止事件响应者错过流程中的关键步骤。同样,这种上下文信息可以帮助SOAR平台知道应该执行哪些工作簿和流程,因为对SIEM发出的关键警报的响应可能会根据资产类型、位置和资产所有者而有所不同。

参考链接:

1.https://www.industrialdefender.com/how-to-overcome-vulnerability-patch-management-challenges-in-ot/

2.https://www.industrialdefender.com/how-contextual-asset-data-makes-soar-possible-in-ot/

3.https://www.industrialdefender.com/defendersphere-ics-vendors/

网络安全上下文
本作品采用《CC 协议》,转载必须注明作者和本文链接
借助上下文应对威胁情报可行性挑战
2023-04-24 10:29:47
想要威胁情报具有可行性,单靠自动化可不够,还需要情景化和优先级排序。
2022年中国网络安全产业十大创新方向
2023-04-07 09:44:49
2022 年,中国网络安全的创新方向依然较为碎片化,与用户现阶段网络安全的刚性需求密切相关。可喜的是,推出这些创新方向产品的大多数是安全创业公司,虽然产品与解决方案的成熟度依然需要时间,但未来可期。
网络安全领域处理AI决策的四种方式
2023-03-27 10:43:00
时至今日,企业面临的网络攻击规模意味着,自治系统已经成为网络安全的重要组成部分。不过,对于想要掌握这项技术的企业而言,这一阶段是建立对AI自主响应引擎信任的重要途径。他们可以在必要的时候干预,但希望在未经仔细审查时谨慎否决或拒绝AI建议的操作。XAI采用自然语言处理来向操作人员解释,以基本日常用语阐述机器采取那些操作的原因。
基于上下文感知计算的APT攻击组织追踪方法
2022-01-17 16:08:22
近日,绿盟科技联合广州大学网络空间先进技术研究院发布2021年《APT组织情报研究年鉴》(下文简称“年鉴”)。 年鉴借助网络空间威胁建模知识图谱和大数据复合语义追踪技术,对全球372个APT组织知识进行了知识图谱归因建档,形成APT组织档案馆,并对APT组织活动进行大数据追踪,从而对本年度新增和活跃的攻击组织的攻击活动态势进行分析。目前年鉴所涉及的相关情报和技术已经应用在绿盟科技的威胁情报平台(
关于网络安全网格,企业应该了解的十个问题
2023-09-07 09:38:00
网络安全网格(CyberSecurity Mesh)”是国际研究机构Gartner 提出的一个创新网络安全技术发展理念,近两年连续入选其年度网络安全战略技术趋势研究报告,成为当前网络安全领域的一个热门概念,也受到全球网络安全从业者的高度关注。
AI补丁管理给网络安全带来五大变革
2023-05-18 15:22:03
基于AI和机器学习的漏洞风险评级或评分可提供安全团队所需的洞察力,对修补工作流进行优先排序和自动化。攻击者利用受监督的机器学习算法,通过数据训练,自动识别漏洞的攻击模式并将其添加到攻击者的知识库中。漏洞风险评级有助于确定和管理风险最高的系统和端点的修补优先级,有助于简化基于AI的补丁管理。机器学习算法可以为数千个补丁提供威胁情报数据,揭示系统漏洞和稳定性问题。
网络安全专家最爱用的9大工具
2023-03-20 10:29:01
网络安全专家,不是你认为的那种搞破坏的 “黑客”。它在数据流量的帮助下被动识别网络,收集数据包并检测非信标和隐藏网络。Kismet 基本上是一个嗅探器和无线网络检测器,可与其他无线网卡配合使用并支持原始监控模式。Intruder 承担了漏洞管理中的大部分繁重工作,并提供了 9000 多项安全检查。Metasploit 面向渗透测试,网络安全专家可针对远程目标开发和执行漏洞利用代码。
网络安全专家最爱用的 9 大工具
2023-03-16 09:45:43
网络安全专家,不是你认为的那种搞破坏的“黑客”。Nmap 基本上是一个网络安全映射器,能够发现网络上的服务和主机,从而创建网络映射。它在数据流量的帮助下被动识别网络,收集数据包并检测非信标和隐藏网络。Kismet 基本上是一个嗅探器和无线网络检测器,可与其他无线网卡配合使用并支持原始监控模式。Intruder 承担了漏洞管理中的大部分繁重工作,并提供了 9000 多项安全检查。Metasploit 面向渗透测试,网络安全专家可针对远程目标开发和执行漏洞利用代码。
网络安全产品集成ChatGPT
2023-03-13 10:24:09
OpenAI推出的ChatGPT可能遭到恶意滥用,造成安全威胁,但这款人工智能聊天机器人也能给网络安全行业带来诸多好处。ChatGPT于2022年11月推出,很多人认为这是一款革新产品。过去几个月以来,多家网络安全公司披露自己已经开始或计划使用ChatGPT,有些研究人员甚至已经发现了这款聊天机器人的实际用例。
VSole
网络安全专家