OT 事件响应:资产清单至关重要的 4 个原因
如果缺乏对 OT 环境中资产和漏洞的详细视图,那么信息安全领导者在处理事件响应工作时将面临更高的成本和延迟。
上周在 Twitter 上,围绕近期发生的供应链攻击以及扫描运营技术 (OT) 环境中存在漏洞的设备的可行性开展了几次讨论。
社区中我最尊敬的一些事件响应者指出,任何响应工作的首要步骤都是获得对环境的全面了解。在未能全面了解连接到网络的所有设备及其如何隔离的情况下,试图找出漏洞影响的完整范围,就好比试图在没有地图或 GPS 的情况下到达目的地。这些专业人士会说,缺乏预知的、随时更新的资产清单会大幅增加事件响应工作的成本。
我经常接到现有和潜在客户提问,他们试图了解其究竟应该投资于资产清单、设备管理和可见性解决方案,还是应该投资于威胁搜寻和事件响应解决方案。坦率地说,从长远来看,答案是两者兼而有之。但如果企业还没有建立记录系统来充分了解其所有资产的状况,特别是这些设备容易受到攻击的领域,那么很明显当务之急应该是第一类投资。
当今 CISO 更需要持续可见性
当董事会询问企业是否会受到近期供应链攻击(如 SolarWinds)的影响时,我想任何一位首席信息安全官 (CISO) 都不会愿意回答“我不知道”。但随着威胁形势的持续快速演变,回答这些问题说起来容易做起来难。聘请顾问每年一次对环境进行扫描,并对设备进行分类,早已不足以完成所谓的“尽职调查”。企业必须转向使用持续、实时的解决方案来监控融合 IT – OT 网络上每天来来往往的无数设备。
专门构建的工具让所有 OT 设备无所遁形
OT 环境中另一个值得关注的问题是以 IT 为中心的扫描工具的运用。众所周知,在这些系统中不当地使用这些工具会导致 IT 安全团队好心办坏事,造成故障和/或流程停摆。幸运的是,近年来专为这些敏感的 OT 环境打造的专用资产发现工具应运而生。
Tenable.ot 就是这样一种工具。我们的主动查询技术能够使用敏感的 OT 控制器和设备自带的本机协议与之进行通信,与供应商自身在日常系统操作中与设备进行通信的方式完全相同。这项技术提供了一种安全可靠的方法,只需询问设备的具体配置参数、固件版本和其他相关元数据。这使得我们能够对 OT 环境获得更准确、更详细的信息,而不再仅仅通过被动网络监控进行推断。
自适应评估功能专为 OT 环境中的 IT 设备而打造
众所周知,OT 环境并非简单地由可编程逻辑控制器或其他类似设备组成。这些环境如今包含了越来越多的商业现货 (COTS) 组件,例如运行 Microsoft Windows 等现代操作系统的服务器。Tenable 一直以来都被公认为此类平台上漏洞管理领域的行业标准。我们融合了 Nessus 的强大功能,并将其纳入 Tenable.ot 产品线,帮助企业最大限度发挥 OT 和 IT 两大领域的作用。企业可以使用安全可靠的协议与敏感的 OT 设备进行通信,同时还可以使用 Nessus 的专用版本安全扫描 OT 环境中的 IT 系统。
利用全面的仪表盘对修复措施进行优先级分析
显然,供应链攻击不会执着或局限于防火墙的某一侧。CISO 需要能够评估攻击对整个企业和 OT 部署的潜在影响。因此,Tenable.ot 从部署之日起就开始将些关于 OT 环境的详细信息传递到 Tenable 基于风险的漏洞管理 (RBVM) 解决方案中,从而利用我们的漏洞优先级评级 (VPR) 实现可视化和优先级分析,确定哪些系统和设备需要采取缓解措施。
为下次事件做好充分准备需要的远不仅仅是为事件响应公司预留准备金。而是意味着需要在系统方面进行提前投资,能够对企业的资产状况和最脆弱之处提供基本真相。
要了解详情,请访问我们的 Tenable.ot 解决方案页面,以获取更多白皮书、视频和案例分析,展示企业如何在其工业环境中提高可见性并降低风险。
相关文章
- Incident Response
- OT Security