背景

兩千多年前，古代軍事家孫子有句名言:“知己知彼，百戰(zhàn)不殆?！北M管今天的世界看起來截然不同，但這一原則仍適用于網(wǎng)絡(luò)安全資產(chǎn)意識。事實上，確保工業(yè)控制系統(tǒng)安全是從準(zhǔn)確的自我認(rèn)識和自我控制開始，也就是所謂的資產(chǎn)可見性和資產(chǎn)管理的雙重原則，而且在加固OT系統(tǒng)安全的過程中，應(yīng)該被視為不同階段的不同目標(biāo)。

通常情況下，資產(chǎn)可見性的目標(biāo)是為安全操作員提供關(guān)于ICS資產(chǎn)的可操作信息。資產(chǎn)管理的目標(biāo)是利用這些信息更好地保護操作環(huán)境。從這個意義上說，管理和可見性是一枚硬幣的兩面。你不能保護看不見的東西，你的可見性只有在它是可管理的時候才有用。本文的目的是更詳細(xì)地解釋每個概念，并提供關(guān)于每個概念的角色、注意事項和重要性。最近的事件，如Colonial Pipeline和JBS肉類包裝事件，很大程度上是由于其中一個或兩個過程的弱點造成的。只有理解資產(chǎn)可見性和資產(chǎn)管理的功能和重要性，才能防范和預(yù)防未來的安全風(fēng)險。

資產(chǎn)可見性

資產(chǎn)可見性指的是幫助繪制組織內(nèi)數(shù)字和物理設(shè)備全景的過程。在過去，資產(chǎn)可見性經(jīng)常依賴于人工收集與總結(jié)。有必要去現(xiàn)場觀察設(shè)備，并手工記錄。通過使用Microsoft Excel等工具將記錄數(shù)字化，這一過程得到了些許改進。然而，這兩種方法都遠(yuǎn)遠(yuǎn)落后于今天的標(biāo)準(zhǔn)，不能滿足現(xiàn)代工業(yè)環(huán)境的要求。人工時間和動態(tài)更新的需求均使得這種人工行為不再適用。相反，現(xiàn)代資產(chǎn)可見性通常是通過自動化流程實現(xiàn)的，這些流程分為兩大類:主動可見性或被動可見性。

主動可見

主動可見是通過在各種工業(yè)協(xié)議中發(fā)送數(shù)據(jù)包來實現(xiàn)的，目的是發(fā)現(xiàn)和記錄網(wǎng)絡(luò)路徑和其中的設(shè)備。然而，許多OT系統(tǒng)運行在各自的系統(tǒng)上，并且使用不同的協(xié)議，這為該方法的自動化制造了障礙。因此，主動可見性解決方案必須能夠與完全不同的OT軟件協(xié)議進行順暢的交互才能獲得成功。主動可見性最大的優(yōu)點是能夠控制數(shù)據(jù)刷新和內(nèi)容的頻率，而且通常是獲得特定數(shù)據(jù)值的唯一方法，比如HMI上使用的軟件情況和補丁信息等。

被動可見

與此同時，被動可見性依賴于讀取整個OT網(wǎng)絡(luò)的網(wǎng)絡(luò)流量和戰(zhàn)略部署信息。這種方法是不生成網(wǎng)絡(luò)流量的，而是偵聽OT網(wǎng)絡(luò)來推斷網(wǎng)絡(luò)路徑和設(shè)備。雖然在特定環(huán)境下效果較差，但被動解決方案的優(yōu)點是將風(fēng)險限制在正常操作范圍內(nèi)。除非為OT定制構(gòu)建了獨有的主動可見解決方案，否則方案反而會通過探測流量帶來操作風(fēng)險——這種風(fēng)險在被動可見解決方案中是不存在的。另一個優(yōu)點是對網(wǎng)絡(luò)中發(fā)生的事件進行近乎實時的監(jiān)控。雖然主動的方式允許操作員控制數(shù)據(jù)收集的頻率，但它會在事件發(fā)生和操作員看到事件之間造成時間上的延遲。除此之外，并不是所有的更新都是通過網(wǎng)絡(luò)進行的，被動可見系統(tǒng)在這種情況下就十分受限制。

在兩種模式中，都有重要的特定數(shù)據(jù)需要查看。例如IP地址、物理位置、硬件/軟件供應(yīng)商、生命周期階段、漏洞和補丁狀態(tài)。了解OT系統(tǒng)的情況是保衛(wèi)它的第一步也是必要的一步。

資產(chǎn)管理

資產(chǎn)管理是指對資產(chǎn)可見性數(shù)據(jù)進行操作以更新和保護數(shù)字和物理設(shè)備的過程。早在2016年，在美國有一項對200名公用事業(yè)高管的調(diào)查，他們都將資產(chǎn)管理列為運營技術(shù)安全的一個關(guān)鍵考量。隨著工業(yè)物聯(lián)網(wǎng)(IIoT)的快速崛起和更大的工業(yè)4.0運動，資產(chǎn)管理變得越來越重要。將IP連接納入OT系統(tǒng)增加了與OT資產(chǎn)相關(guān)的風(fēng)險，對于管理能力是極大的挑戰(zhàn)。管理的關(guān)鍵領(lǐng)域包括修補漏洞、生命周期管理、安全事件日志記錄和恢復(fù)能力等。

管理解決方案可以使用可見性工具接收到的數(shù)據(jù)來檢查軟件和硬件設(shè)備，以對抗公開的已知漏洞。資產(chǎn)管理解決方案還可以識別關(guān)鍵的補丁缺失，從而降低安全風(fēng)險。同時，還需要具備識別運行舊操作系統(tǒng)的設(shè)備的能力，因為這些系統(tǒng)通常不再得到制造商的支持。資產(chǎn)管理解決方案可以幫助確定如何最好地將這些設(shè)備與其他網(wǎng)絡(luò)活動隔離。除此之外，資產(chǎn)管理還可以檢測和標(biāo)記從可見性解決方案接收到的異?；顒樱⒈M可能提供恢復(fù)服務(wù)，以減輕惡性攻擊的損害。

總結(jié)

綜上所述，OT資產(chǎn)可見性和資產(chǎn)管理是工業(yè)網(wǎng)絡(luò)安全中截然不同但同樣不可或缺的兩個方面。確保可見性和管理解決方案能夠并行工作，使所接收的數(shù)據(jù)具有可操作性是至關(guān)重要的。OT的形勢正變得越來越復(fù)雜。通過資產(chǎn)可見性獲得態(tài)勢感知，通過資產(chǎn)管理進行自我控制，可以確保OT系統(tǒng)在面對各種各樣的潛在攻擊時做好了萬全的準(zhǔn)備。

參考鏈接：

1.https://new.abb.com/news/detail/45824/abb-survey-shows-majority-of-utilities-see-iot-as-key-to-asset-management

2.https://www.industrialdefender.com/defending-the-industrial-internet-of-things/

3.https://www.industrialdefender.com/asset-visibility-vs-asset-management/

4.https://www.industrialdefender.com/ot-asset-management/

作者 | 綠盟科技格物實驗室 田澤夏@nsfocus.com

來源：關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心