如何使用风险暴露管理平台确保 IT、OT 和 IoT 资产的安全: 通过资产清单和发现实现全面可见性
了解适用于 OT/IoT 的 Tenable One 如何通过端到端的可见性和跨 IT、OT 和 IoT 的网络风险优先级分析功能,帮助企业在当今不断演变的威胁环境中先发制敌。
可见性可作为安全的基石,为企业提供了有效监控、分析和保护数字基础设施的方法。通过维护全面的 IT、OT 和 IoT 设备清单,企业就可以获取其网络拓扑结构的深入见解,识别潜在的弱点,确保遵守安全策略。此外,实时可见性还能让安全团队在威胁升级为全面爆发的危机之前,主动减轻威胁。
不过,想在 IT 和 OT 领域实现可见性是一大挑战,而且由于设备的多样性和离散的系统,更让这一问题雪上加霜。专门针对 IT 环境所打造的传统安全措施在应用于 OT 和 IoT 生态系统的独特特征时并不能满足需求。这就需要根据企业的具体要求量身定制专门的解决方案。在此三篇博客文章的第一篇和第二篇中,我们将重点探讨会降低企业保护其 OT 与 IoT 资产能力的主要挑战。在此博客文章中,我们将深入讨论获取完整的 IT、OT 和 IoT 资产可见性的四大策略,以及 Tenable 的风险暴露管理平台如何改善您的安全态势。
1. 发现资产和监控风险
OT 和 IoT 环境包含各种设备,其管理方法和通信协议各不相同。为满足这些独特的要求,应采用被动和主动发现与监控相结合的方法,获得准确的最新清单,并识别与资产相关的风险,如错误配置和漏洞。
不过,OT 和 IoT 设备具备独一无二的特性,因此,如果您尝试使用专为 IT 资产打造的检测工具来发现它们,最终可能会导致错误、内存超载和意外停机。因此,您应使用专为发现 OT 和 IoT 资产所打造的工具,才能保持系统正常运行且可靠。
例如,侦听网络流量的被动发现技术可用于安全识别 OT 和 IoT 资产。这种方法可以侦听网络通信并分析通信模式,以确定设备是否存在。在新设备添加到网络时对其进行检测,同时还能检测到可能会定期来来去去而且也会带来风险的资产,这是被动发现带来的另一个好处。被动侦听还会识别资产的某些独特特征,这些特征可用于识别资产并生成资产详细信息的子集。
利用对网络中 IoT 和 OT 资产的基本了解及其识别的特征,我们就可以应用本机通信(专为与特定资产互动而设计的通信)来主动发现固件版本和配置等其他资产详细信息以及资产风险,包括漏洞、配置错误和配置更改。
通过被动监听和定期主动查询对网络进行持续监控,企业可以调整其安全措施,以适应网络环境中不断演变的威胁态势和变化。
2. 维护资产清单和风险详细信息
在支持企业的各种职能方面,资产详细信息发挥着关键作用,但对有效大规模对安全风险的进行优先级分析和修复工作也至关重要。我们将探讨以下一些关键属性及其与安全的相关性。
设备信息
- 设备类型:识别设备类型(如 PLC、SCADA 系统、传感器、IoT 设备)有助于深入了解其在网络中的功能和用途。
- 制造商和型号:了解设备的制造商和型号有助于了解其规格、功能和潜在漏洞。
- 固件/软件版本:对于识别已知漏洞和确保设备打上最新的安全补丁而言,跟踪固件或软件版本至关重要。
- 序列号:为设备分配唯一的标识符利于设备跟踪、资产所有者的识别和管理。
网络连接
- IP 地址:记录 IP 地址可以提供网络映射,并利于设备连接的监控和管理。
- MAC 地址: MAC 地址有助于唯一识别网络上的设备,而且可用于访问控制和安全用途。
- 端口配置:了解您的设备使用的是哪些端口,这对于评估潜在攻击向量和保护网络接入点很有用。
- 网络分段:确定设备所属的网段有助于实施适当的安全控制和隔离措施。
配置和设置
- 默认凭据:识别设备使用的是默认凭据还是弱凭据,有助于缓解未经授权的访问和基于凭据的攻击。
- 配置参数:记录设备配置(如通信协议、加密设置和访问控制),可确保一致性并方便安全审计工作。
- 访问控制:了解哪些人员有权配置设备或与设备交互,以及他们拥有的权限级别,对于实施安全策略和防止未经授权的更改至关重要。
运行数据
- 运行状态:监控设备的运行状态会深入了解其运行状况、性能和可用性。
- 传感器数据:对于 IoT 设备而言,采集传感器数据(如温度、湿度或压力读数)对于运行监控和决策至关重要。
- 数据流:了解设备如何收集、处理和传输数据流有助于评估数据安全风险和合规性要求。
物理位置
- 地理位置:了解设备的物理位置有助于资产跟踪、维护规划和应对物理安全事件。
- 环境状况: 记录温度、湿度和是否暴露于危险条件等环境因素有助于评估设备的可靠性和使用寿命。
生命周期信息
- 安装日期:跟踪设备的安装时间可以提供设备生命周期的深入见解,有助于规划维护和更换计划。
- 寿命结束/结束支持日期:识别设备是否接近寿命结束或结束支持日期,让您可采取主动措施缓解与过时技术有关的风险。
风险和活动监控:
- 漏洞: 识别资产中的已知漏洞对确定漏洞优先级评级 (VPR) 很有用。
- 网络活动:识别流量来源、类型、目的地和数量有助于识别异常通信,例如与外部目的地的通信。
- 对话:识别在网络中检测到的对话,以及对话发生时间和所涉及到的资产的详细信息,这在实施资产映射时很有用。
3. 将攻击路径可视化以对风险进行优先级分析
对于网络映射和风险优先级分析而言,资产详细信息、风险信息和通信也至关重要。OT 和 IoT 环境中的漏洞往往源于有漏洞的 IT 资产,这些资产一旦遭到入侵,黑客就会获得提升的特权,从而实施勒索软件等攻击。在映射和可视化存在高可利用性风险的攻击向量或路径时,深入了解资产关系十分重要。在识别最关键的攻击向量时,有必要考虑多个参数并使用基于风险的方法。在映射后,诸如资产风险级别、攻击路径长度、通信方法以及内外连接性等因素都可以对优先级分析和修复工作加以改善。这样,例如,您便可以最大限度降低对外部网络的访问权限,或者关闭和移除不重要但可能带来更多风险暴露的端口或服务。
尽管从技术而言,所有身份都是必须管理的资产,但必须指出的是,大多数特定领域的安全工具缺乏对身份及其相关风险的发现和可见性功能。例如,这些工具通常无法识别可能造成过度权限或可能使身份容易被利用的错误配置,如弱密码。
特别是在 OT 领域,身份和风险的可见性缺口会有很大影响,因为资产停机可能会造成很大的成本损失,有时还会造成工作条件不安全,甚至造成生命损失。OT/IoT 安全工具以及可能与全面的风险暴露管理平台集成的身份安全工具极具价值,因为这些工具可以提供跨领域攻击路径分析所需的全部相关资产信息。如要对此深入了解,请阅读本博客文章系列的第二篇“如何使用风险暴露管理平台保护所有资产:IT、OT 和 IoT:上下文优先级分析的重要性。”
4. 使用资产标记功能量化业务风险
正如我们在第二篇博客中介绍的那样,在适用于 OT/IoT 的 Tenable One 中对资产进行逻辑分组和标记的能力是定义资产重要性评级 (ACR) 的重要因素。设备类型、制造商和型号、物理位置和网段全都可用于对与关键任务型 OT 和 IoT 环境相关的资产进行分组和标记。例如,显示冷却系统属于制造车间而不属于自助餐厅的网段,则可用于提升 ACR。同样,生产车间的工作站与访客网络中的个人笔记本电脑相比,造成的破坏就更大。
适用于 OT/IoT 的 Tenable One 中的资产标记还可用于汇总多个资产组,以创建与关键业务职能保持一致的风险暴露卡,并为业务职能确定整体网络风险暴露评分 (CES)。同样,像 OT 和 IoT 资产一样访问相同网段的人员和机器身份也可与相同的风险暴露保持同步。这样,就可以评估总体风险,并用来对资源和投资进行优先级分析。
获取整个攻击面的完整可见性
适用于 OT/IoT 的 Tenable One 可帮助企业获取整个现代攻击面(IT、OT 和 IoT 资产)的可见性;集中精力预防可能发生的攻击;并准确传达网络安全风险,让企业发挥最佳绩效。该平台结合了涵盖 IT 资产、云资源、容器、Web 应用程序和身份系统以及 OT 和 IoT 资产的最广泛的漏洞覆盖范围,以 Tenable Research 的漏洞覆盖速度和广度为基础,并添加了全面的分析功能,以对操作进行优先级分析并传达网络安全风险。
适用于 OT/IoT 的 Tenable One 支持企业:
- 获取所有资产及其漏洞的全面可见性,无论资产位于本地还是云中,并了解资产在何处暴露于风险之中。
- 通过使用生成式 AI 和业界最大的漏洞和风险暴露上下文数据集,预测威胁并对工作进行优先级分析,以预防攻击。
- 通过明确的 KPI、基准和可操作的深入见解,向业务领导者和利益相关者传达风险暴露情况。
- 充分利用涵盖 IT 资产、云资源、容器、Web 应用程序和身份系统的最广泛的漏洞覆盖范围。
- 与第三方数据源和工具相集成,增强了风险暴露分析和修复功能。
适用于 OT/IoT 的 Tenable One 让企业摆脱过去的单点解决方案和企业孤岛效应的束缚,掌控整个现代攻击面(包括 OT 和 IoT 设备)上 IT 资产的全面可见性和准确清单。
预约免费咨询和演示
想了解适用于 OT/IoT 的 Tenable One 能为贵企业做些什么?预约免费咨询,观看简短的技术演示, 并讨论我们如何帮助改进您的安全计划和结果。
有关适用于 OT/IoT 的 Tenable One 的更多信息,请访问 tenable.com/products/tenable-one,并报名参加我们的网络研讨会“无形的桥:认识互联的 IT、OT 和 IoT 环境所带来的风险”,深入探讨本博客文章所涵盖的主题。
了解详情
相关文章
Frequently Asked Questions About CVE-2024-3094, A Backdoor in XZ Utils
March 29, 2024Frequently asked questions about CVE-2024-3094, a supply-chain attack responsible for a backdoor in XZ Utils, a widely used library found in multiple Linux distributions.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
Cybersecurity Snapshot: CISA Shines Light on Cloud Security and on Hybrid IAM Systems’ Integration
March 15, 2024Check out CISA’s latest best practices for protecting cloud environments, and for securely integrating on-prem and cloud IAM systems. Plus, catch up on the ongoing Midnight Blizzard attack against Microsoft. And don’t miss the latest CIS Benchmarks. And much more!
Cybersecurity Snapshot: CSRB Calls Exchange Online Hack “Preventable,” While CISA, Others Warn About XZ Utils Backdoor Vulnerability
April 5, 2024Check out why the Cyber Safety Review Board has concluded that the Microsoft Exchange Online breach “should never have occurred.” Plus, warnings about the supply chain attack against the XZ Utils open source utility are flying. In addition, a report says ransomware attacks surged in February. And the U.S. government issues a comprehensive AI usage policy for federal agencies. And much more!
Frequently Asked Questions About CVE-2024-3094, A Backdoor in XZ Utils
March 29, 2024Frequently asked questions about CVE-2024-3094, a supply-chain attack responsible for a backdoor in XZ Utils, a widely used library found in multiple Linux distributions.
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
- Exposure Management
- Industrial Control Systems Monitoring
- IT/OT
- Exposure Management
- OT Security
- SCADA