主动监控 VS. 被动监控:不再是非此即彼的选项
大多数资深安全人员都听过这么一句箴言:你保护不了你看不见的东西。
很明显,你对自身环境了解得越多,就越能检测到可疑行为并加以调查。但这也导致了一个经典的安全谜题:如何在保证运营稳定性的情况下在环境中实现发现与监视功能?这个问题引发了安全圈中一个长期的争论:主动扫描和被动扫描,哪种方法更适合终端发现与异常检测?安全老手对这两个选项都已经很熟悉了,但运营人员往往就没那么熟悉,他们主要担心两种方法各自对运营技术(OT)过程的潜在负面影响。
被动监视
通过镜像端口静默分析网络流量以发现终端和流量模式,不产生额外的网络流量,不直接与终端交互,也就基本没有终端关键过程的风险。但是,由于必须等待每个资产生成网络流量以创建完整基线,被动监视的资产数据收集过程可能会更加耗时。而且,不是所有的网络段都能有镜像端口可用,这也会限制在整个OT环境中被动监视流量的能力。
主动监视
通过向网络发送测试流量并轮询有反应的终端实现其资产发现与异常检测功能。主动监视在收集设备名、IP和MAC地址、NetFlow或系统日志数据等基本信息方面非常有效,更细粒度的配置数据,比如型号、固件版本、已安装软件/版本和操作系统补丁情况等,也能充分收集起来。通过直接向终端发送数据包,主动监视能够更快速地收集数据;但也会因向终端发送不兼容查询或充塞小型网络流量而增加终端故障的风险。而且主动扫描通常不是24小时不间断地扫描网络,所以可能检测不到瞬时终端或处于仅监听模式的设备。
随着工业企业越来越关注保护其OT环境安全,他们开始探索能够更好地发现需保护资产的方法。一直以来,工业企业对其工业控制系统(ICS)终端的可见性都不是很好,安全风险不断上升,所以他们的需求非常明显。最开始,他们在ICS网络上采用以IT为中心的主动发现技术,但结果证明这很大程度上是一场灾难。生产车间的专用协议多种多样,这些以IT为中心的解决方案缺乏对众多专用协议的支持,因而基本没什么效用,有些甚至引发了损失惨重的生产线中断。可编程逻辑控制器(PLC)和安全仪表系统(SIS)之类ICS资产,尤其是遗留老旧设备,对主动扫描行为非常敏感,会因多次网络查询而过载,或者因非预期通信协议而崩溃。
随着OT安全解决方案的发展,我们开始看到主动和被动技术的兴盛,同时再次遭遇哪种方法对终端发现和监视更有效的争论。但对运营团队而言,因主动爬取OT网络而导致的潜在中断和宕机是不可接受的,所以安全团队宁可无功不可有过,绝大部分采取了被动扫描路线。他们或许未必总能获得想要的终端信息,但中断运营网络上产生收益的过程对公司而言可谓罪大恶极,是有可能把安全人员送上通往失业的特快列车的。
最近,关于终端发现的讨论从主动/被动之争转向了寻求更为平衡的方法:融合两种检测技术,各取所长,覆盖终端发现的宽度和粒度的同时最小化干扰终端和网络性能的风险。
而随着OT安全解决方案的不断成熟,行业也更能满足这种需求。顶级资产发现与监视解决方案如今融合了主动和被动技术的元素,最大化ICS环境可见性,令OT安全团队能够为每一个网络段部署合适的监视方法。其中最好的解决方案还融入了失效保护技术以降低中断风险。例如,通过被动监视网络和在发送主动查询包之前映射当前固件版本及通信协议,来降低终端故障风险;以及限制并发查询数量以避免低带宽OT网络过载。
重点是OT安全团队补足可见性缺口及安全实现终端发现、监视及管理的机会从来没这么好过。当然,“通吃”解决方案是不存在的,安全团队必须与运营团队配合,了解各个OT网络段的具体要求和限制。但今天的可用解决方案选项真的让资产拥有者没有任何理由再看不到自己需要保护的东西了。