ICS監控廠商像是Indegy、CyberX、Nozomi Networks與Claroty,皆提供各種等級的資產探勘、網路監控功能與SOC整合。如何購得適合你工廠與公用設施的解決方案?
文/J.M. Porup 譯/劉百郁 校/Kururu
大多數工廠與公用設施運作的工業控制系統(Industrial Control System, ICS)配備從沒想過要接上網際網路,這些系統初始開發可能針對1970s或1980s年代的需求所設計。較現代化的系統或許有可能執行……Windows XP,你猜對了。
不安全的設計與僅供本機存取的這些控制系統,帶來更大效益卻可能伴隨災難性風險。NotPetya這類非針對性的惡意軟體,造成全球製造商數億美元的損失。除非你就是計劃將工廠或公用設施從網際網路上拔除,回到石器時代,否則是時候逐步提升你的操作科技(Operational Technology, OT)環境的安全性了。
這還代表必須有ICS/OT監控工具。你可以選擇商用系統,同時擁有開放源碼選項。無論哪一種,本文提供的內容,都是必須在評估程序前與程序過程中提出來的問題。
1.這套ICS監控工具是否提供你需要的功能?
最知名的幾間ICS監控廠商Indegy、CyberX、Nozomi Networks與Claroty,皆提供各種等級的資產探勘、網路監控功能與SOC整合。它們不偏重任何既定的垂直整合,而是把重點放在分析特殊且多半年代久遠的通訊協定上,例如modbus,以及識別可程式邏輯控制器(PLCs)這類特殊型態的裝置。工業控制系統流量封包完全不同於傳統企業IT網路封包,它們監控機器對機器的通訊完全「自成一格」。
例如,所有廠商皆提供資產探勘,因為你無法保護不知道自已擁有的東西。「多數企業組織不知如何回答這個問題。」CyberX行銷副總裁Phil Neray如此向《CSO》說明。「他們或許知道工廠在十五至二十年前一開始安裝了哪些裝置。但隨著時間推移,環境是如何變遷的?我們擁有哪些裝置?這些裝置彼此之間又如何溝通呢?」
持續性威脅監控也是可以預見廠商會提供的基本功能。識別可疑流量封包、未授權裝置連結至OT網路,還有通常利用機器學習標記可疑活動,這些都是必備功能。這就是開放API能與你安全資訊暨事件管理(SIEM)課題整合之處(這些警告傳向何處?誰會查看這些警告?)SOC整合很快成為所有廠商必須提供的另一項基礎功能,或者說是即將提供的功能。
採購ICS監控解決方案時與眾不同的考量,便是廠商解決方案的旗標標記中有多少假陽性(False Positive, FP)或低優先權的真陽性(True Positive, TP)。你的SOC可能沒有資源從頭處理每個單一事件,大多數情況下可能選擇忽略較低優先權的問題,以確保24小時全天候運作。排山倒海而來的警告會消耗相當的人力資源,分散對更嚴重威脅的注意。
Dragos不同於其他ICS工具廠商,他們將重點放在入侵偵測及其背後的教戰守則。該公司提供的是威脅情報即服務(Threat Intel as a Service)型式的研究。
「我們的想法是,採取透過威脅搜捕的情報驅動處理方式,『購買者接收』編碼過的體驗歷程訂閱,定期遞送。」Dragos威脅操作副總裁Ben Miller如此向《CSO》說明。
市政當局發現:Dragos有別於其他競爭者的差異在於,它提供免費/便宜的商用工具,給資源不足的自來水廠及電力公司。大部份廠商鎖定爭取來自「全球2000大企業」(Global 2000)的大訂單,Dragos也不例外,只是協助保護關鍵基礎建設這方面,Dragos另提供數種替代方案,或許不是那樣有利可圖,但卻能為公用設施的服務提出貢獻。
2.該ICS工具廠商是否提供試用期?
再次提醒,要知道適合你企業組織的是Dragos還是其他解決方案,無論如何你都必須嚴苛質疑這些評估標準,藉此剔除一些廠商。不這麼做,就無法找出適合你工廠或公用設施的廠商。
「什麼是『買家』營運的當務之急?沒有『完美工具』這種東西。」ICS暨OT諮詢顧問公司Manadiant資深經理人Robert Caldwell如此表示。「所有工具持續快速進化並彼此超越不斷進步。」
因為每種ICS部署各有不同,所以不會有標準化制式解決方案,也不會有一應俱全的解套方式能滿足企業ICS監控需求。因此,任何採購都應該納入要求廠商解決方案安裝在你環境裡免費試用這一項。這是知曉即將購入的解決方案是否適合的唯一方式。
3.該ICS工具與你的SIEM及SOC能否相輔相成?
資安管理人員也希望他們的廠商解決方案能夠與現有SIEM系統相互操作,而且從一個控制台上就能看到所有IT與OT。這些只是製造業關切的部份重要議題,但也是公用事業在評估選項時應有的考量。
4.開放源碼ICS監控工具會是個選項嗎?
這時你或許會自問:何不自己做一個?大型企業組織有能力利用開放源碼選項,自行建置出等同於某些商用廠商提供的內部使用功能。這些例子包括Security Onion、ELK stack、Suricata,還有一些開放源碼Snort規則。
為許多企業買家提供顧問諮詢的Caldwell反對這種策略。「我們已經發現許多公司企業真的覺得他們可以著手建置自有資安實作,」他表示。「這執行起來極度困難又昂貴。」
要投入相當的精力與功力深厚的資安人才在企業內部作業,才能讓企業得以複製某一ICS資安廠商的工作成果,然而資安人才的極度短缺意謂著得到並留住這些人才非常困難,特別是創投資助之新創公司正在搶奪最佳人才並支付最佳薪資時,情況更加艱難。
開放源碼工具可以做到有限的資產探勘與網路監控,它當然具備開放API可與SOC整合。然而,在尖端功能的開發上,仍然落後商用產品。
5.購入ICS監控工具前能做什麼?
不過,這不代表你該直接將問題全交給商用廠商解決。付錢了事絕對不是成功的資安策略,有相當多資安基礎作業(亦即所謂的盡職調查或資安保健工作),是企業組織保護IT與OT系統安全,並確保成功與ICS監控系統整合所能做的。「現有系統的實作與組態,就可能讓這些系統的資安全然不同,不只是這些高單價工具才會。」Caldwell如此解釋。
IT資安人員與ICS工程師間密切協同合作也能產生效益。彼此交換角色幾周甚至幾個月,更能大大促進整體IT/OT文化分歧的進一步瞭解。
6.不久將來ICS監控工具會走到哪一步?
近幾年已見到大量創投基金注入ICS/OT監控解決方案,也有許多公司嶄露頭角,積極參與這個關鍵而小眾的市場。提供類似產品與服務的很多,市場上的一些合併亦無可避免,這是在評估廠商與簽定合約時所必須考量的。如果你的廠商被收購或破產時,會發生什麼事呢?
網路安全解決方案不像工廠許多部署可以使用20年甚至20年以上那麼久。ICS/OT監控領域至關重要但偏向較小的垂直領域,亦即只有兩千間公司的全球2000大企業。一旦合約簽定,這些工具可能被部署至全國甚至世界各地的數百項安裝作業中,廠商似乎不太可能出現高流失率的狀況。
這意味著大部份廠商會面臨一個抉擇:不是被收購,就是將業務範圍擴大到超越ICS/OT並進入更廣大網路安全市場的程度。「我們看到一些不同的走向,」Caldwell說道。「有些公司終將不得不被收購或耗盡創投基金。部份公司則擁有長達長遠的眼光,會將更大的心力放在資安產品上,而不僅止於OT。」
這顯示了,這些頂尖供應商都有可能在明年就關門大吉。買家在簽下任何合約前,應要求廠商透明公開自家財務狀況。買家也可能墨水還沒乾透之前發現他的供應商已被競爭對手收購。「我想正因為這些廠商實在太過相似了,所以我不確定他們是否會因功能而進行合併,」Caldwell表示。「若真的發生任何合併,那肯定是為了將某家廠商趕出市場的策略性收購之舉。」