大多數(shù)工廠和公用事業(yè)公司運(yùn)行的工業(yè)控制系統(tǒng) (ICS) 設(shè)備從未打算連入互聯(lián)網(wǎng)，其原始部署可能可以追溯到 20 世紀(jì) 70 年代或 80 年代。對(duì)于它們而言，運(yùn)行的更現(xiàn)代化一點(diǎn)的系統(tǒng)——你猜的沒錯(cuò)，就是 Windows XP!

[[269088]]

設(shè)計(jì)不安全且僅限本地訪問的這些控制系統(tǒng)雖然能夠提供更高的效率，但也帶來(lái)了潛在的災(zāi)難性風(fēng)險(xiǎn)。像 NotPetya 這樣的勒索軟件就曾于 2017 年為全球經(jīng)濟(jì)造成了數(shù)億美元的損失，引發(fā)了全球制造業(yè)的恐慌。安全專家表示，NotPetya 極有可能會(huì)蔓延到商業(yè)和工業(yè)網(wǎng)絡(luò)中，而且作為一種副作用，該惡意軟件可能會(huì)跨越這些邊界并造成損害。面對(duì)這種日益嚴(yán)峻的網(wǎng)絡(luò)形勢(shì)，除非你徹底將工廠和公用設(shè)施從互聯(lián)網(wǎng)上撤下重回石器時(shí)代，否則就必須加快運(yùn)營(yíng)技術(shù) (OT) 環(huán)境的安全性。

這可能意味著你需要獲取 ICS/OT 監(jiān)控工具的幫助。這時(shí)候你將面臨 “商業(yè)” 和 “開源” 工具兩種選項(xiàng)。不過無(wú)論是選擇哪一種，你都需要在評(píng)估過程之前和期間慎重地思考下述幾個(gè)問題：

1. 該ICS監(jiān)控工具是否能夠提供您所需的功能?

頂級(jí)的 ICS 監(jiān)控供應(yīng)商 Indegy、CyberX、Nozomi Networks 以及 Claroty 都會(huì)提供不同程度的資產(chǎn)發(fā)現(xiàn)、網(wǎng)絡(luò)監(jiān)控功能和 SOC 集成產(chǎn)品。他們更少關(guān)注任何給定的垂直方向，而更多地關(guān)注分析專業(yè)的——通常是古老的協(xié)議(如 modbus)以及識(shí)別特殊類型的設(shè)備(如可編程邏輯控制器 PLC)。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)流量看起來(lái)與典型的企業(yè) IT 網(wǎng)絡(luò)流量非常不同，而且其監(jiān)控機(jī)器到機(jī)器的通信方式也是獨(dú)特的。

例如，所有供應(yīng)商都提供資產(chǎn)發(fā)現(xiàn)功能;畢竟你無(wú)法捍衛(wèi)自己看不到的東西。但關(guān)于自己究竟擁有哪些資產(chǎn)的問題，是大多數(shù)組織都難以回答的。他們可能知道 15-20 年前工廠首次建成時(shí)安裝了什么設(shè)備，但是經(jīng)歷這些年網(wǎng)絡(luò)環(huán)境發(fā)生了怎樣的變化?我還擁有哪些設(shè)備?這些設(shè)備之間如何進(jìn)行交互?都是組織難以回答的問題。

持續(xù)的威脅監(jiān)控也是您可以從供應(yīng)商處獲得的基本功能。識(shí)別可疑流量，連接到 OT 網(wǎng)絡(luò)的未授權(quán)設(shè)備，以及使用機(jī)器學(xué)習(xí)來(lái)標(biāo)記異?；顒?dòng)是必備的功能。除此之外，SOC 集成也正在迅速發(fā)展成為所有供應(yīng)商提供或即將提供的另一個(gè)必備的基礎(chǔ)功能。

購(gòu)買 ICS 監(jiān)控解決方案時(shí)需要考慮的一個(gè)區(qū)別因素是，該供應(yīng)商解決方案標(biāo)記了多少誤報(bào)或低優(yōu)先級(jí)的事件。因?yàn)槟?SOC 可能沒有足夠的資源來(lái)運(yùn)行每一個(gè)事件，而且在大多數(shù)情況下可能會(huì)選擇忽略較低優(yōu)先級(jí)的問題，以確保全天候 (7X24) 的正常運(yùn)行時(shí)間。大量的誤報(bào)或低優(yōu)先級(jí)事件不僅會(huì)消耗有限的員工資源，還有可能導(dǎo)致員工忽略真正會(huì)引發(fā)嚴(yán)重威脅的事件。

與其他 ICS 工具供應(yīng)商不同，Dragos 專注于入侵檢測(cè)及其背后的溯因。近期，該公司還免費(fèi)釋放了兩款免費(fèi)的工業(yè)控制系統(tǒng) (ICS) 資產(chǎn)發(fā)現(xiàn)工具——Cyberlens 和 Integrity。這兩款工具功能強(qiáng)大，可提供工業(yè)資產(chǎn)識(shí)別、ICS 網(wǎng)絡(luò)及數(shù)據(jù)流虛擬化，以及對(duì) ModbusTCP、DNP3、EthernetIP、BacNet 和 OPC UA 等ICS產(chǎn)品的基本深度包檢測(cè)功能。

市政公用事業(yè)部門注意到：Dragos 與其他競(jìng)爭(zhēng)對(duì)手不同的一點(diǎn)是，它為資源貧乏的自來(lái)水廠和電力公司提供免費(fèi)/廉價(jià)的社區(qū)工具。大多數(shù)其他供應(yīng)商都專注于從全球財(cái)富 2000 強(qiáng)的大企業(yè)獲取合同——當(dāng)然 Dragos 也不例外——但是為了幫助一些資源有限的組織保護(hù)其關(guān)鍵基礎(chǔ)設(shè)施安全，Dragos 還提供了一些價(jià)格低廉但同樣能夠執(zhí)行公共服務(wù)的替代方案。因?yàn)? Dragos 認(rèn)為，大多數(shù)企業(yè)級(jí)軟件對(duì)小公司和市民而言太過昂貴，即便是基礎(chǔ)版也負(fù)擔(dān)不起，通過發(fā)布免費(fèi)/廉價(jià)的工具可以為這部分用戶提供安全、持續(xù)的被動(dòng) ICS 網(wǎng)絡(luò)及資產(chǎn)發(fā)現(xiàn)功能。

2. ICS工具供應(yīng)商是否提供免費(fèi)試用服務(wù)?

究竟 Dragos 或任何其他解決方案是否適合您的企業(yè)，還需要進(jìn)行一些其他的評(píng)估分析。在此之前，不能輕易地得出究竟哪個(gè)供應(yīng)商適合您的工廠或公用事業(yè)公司。

這里就要思考這樣一個(gè)問題 “什么才是買家的商業(yè)需求?” 要知道，根本不存在什么 “最好的工具”，如今，各種工具正在迅速發(fā)展并互相競(jìng)爭(zhēng)革新。

由于每個(gè) ICS 部署都不同，因此沒有單一固定的解決方案，對(duì)于企業(yè) ICS 監(jiān)控需求也沒有一個(gè)通用的答案。因此，在購(gòu)買解決方案之前，一定要考慮該供應(yīng)商是否提供免費(fèi)安裝試用的服務(wù)，因?yàn)檫@是判斷您所購(gòu)買的解決方案是否真的適合您的企業(yè)的唯一方法。

3. ICS工具與SIEM和SOC的匹配程度如何?

安全管理人員還希望其供應(yīng)商的解決方案能夠與其現(xiàn)有的安全信息和事件管理 (SIEM) 系統(tǒng)進(jìn)行交互，并且可以從一個(gè)儀表板中同時(shí)了解 IT 和 OT 的情況。這些只是工廠和公用事業(yè)公司在評(píng)估其選擇時(shí)應(yīng)該考慮的一些關(guān)鍵問題。

4. 開源的ICS監(jiān)控工具是一種選擇嗎?

此時(shí)你可能會(huì)問自己，為什么不動(dòng)手搭建屬于自己的監(jiān)控工具呢?確實(shí)，大型企業(yè)有條件構(gòu)建與使用開源選項(xiàng)的商業(yè)供應(yīng)商相同的內(nèi)部功能。他們可以利用的有安全洋蔥 (Onion)、ELK 堆棧，Suricata 甚至一些開源 Snort 規(guī)則。

但是，為許多企業(yè)用戶提供咨詢服務(wù)的 Caldwel 公司卻反對(duì)這種做法。在它看來(lái)，企業(yè)自己搭建安全工具的行為不僅存在實(shí)踐難度，而且造價(jià)非常高昂。

通過巨大的努力以及企業(yè)內(nèi)部的深層安全人才，企業(yè)確實(shí)有能力復(fù)制其中一個(gè) ICS 安全供應(yīng)商的產(chǎn)品，但是嚴(yán)重的安全人才短缺意味著獲取和保留這些人才可能十分困難，尤其是當(dāng)風(fēng)險(xiǎn)投資 (VC) 資助的初創(chuàng)企業(yè)都在用高價(jià) “挖墻腳” 的時(shí)候，這種人才更是成為了可遇不可求的稀缺資源。

除此之外，雖然，開源工具能支持有限的資產(chǎn)發(fā)現(xiàn)和網(wǎng)絡(luò)監(jiān)控功能，且自動(dòng)具備可以集成到 SOC 中的開放 API，但是，尖端功能的開發(fā)仍然遠(yuǎn)遠(yuǎn)落后于商業(yè)產(chǎn)品。

5. 在購(gòu)買ICS監(jiān)控工具之前，我能做些什么?

購(gòu)買某個(gè)供應(yīng)商的 ICS 監(jiān)控工具，并不意味著您就應(yīng)該將 “通往企業(yè)的鑰匙” 交給該商業(yè)供應(yīng)商。推卸責(zé)任并不是可取的安全策略，事實(shí)上，企業(yè)可以執(zhí)行很多安全基礎(chǔ)——也稱之為盡職調(diào)查或安全衛(wèi)生，以保護(hù)其 IT 和 OT 系統(tǒng)安全，并確保其與 ICS 監(jiān)控系統(tǒng)的成功集成。安全專家表示，現(xiàn)有系統(tǒng)的實(shí)施和配置同樣可以對(duì)這些系統(tǒng)的安全性產(chǎn)生重大影響，而不是單純地依靠這些高昂的工具。

除此之外，IT 安全人員和 ICS 工程師之間更深入地合作也可以產(chǎn)生效益。通過讓他們角色互換幾周或幾個(gè)月可以促進(jìn)他們彼此對(duì) IT/OT 文化鴻溝有個(gè)更好的理解。

6. ICS監(jiān)控工具未來(lái)幾年的發(fā)展形勢(shì)如何?

最近幾年我們可以看到，大量的風(fēng)險(xiǎn)投資資金開始投入到 ICS/OT 監(jiān)控解決方案中，少數(shù)幾家公司已經(jīng)成為這一關(guān)鍵利基領(lǐng)域的積極參與者。他們中的許多都提供一些類似的產(chǎn)品的服務(wù)，所以未來(lái)幾年，一定程度的市場(chǎng)整合可能是不可避免地——所以，如果您的供應(yīng)商被收購(gòu)或宣告破產(chǎn)了會(huì)怎樣?這是在評(píng)估供應(yīng)商和簽訂合同時(shí)需要納入考慮的問題。

網(wǎng)絡(luò)安全解決方案的工廠部署壽命可能長(zhǎng)達(dá) 20 年甚至更長(zhǎng)時(shí)間。ICS/OT 監(jiān)控領(lǐng)域是一個(gè)至關(guān)重要但卻很小的垂直空間，而全球財(cái)富 2000 強(qiáng)只包含區(qū)區(qū) 2000 家企業(yè)，所以資源搶奪的力度可想而知。一般來(lái)說(shuō)，如果你選擇的供應(yīng)商已經(jīng)在全國(guó)或全球范圍內(nèi)的數(shù)百個(gè)企業(yè)部署了工具，那么該供應(yīng)商遭遇業(yè)務(wù)危機(jī)的可能性會(huì)相對(duì)較低一些。

面對(duì)如此有限的市場(chǎng)規(guī)模，大多數(shù)此類供應(yīng)商都面臨著這樣兩個(gè)選項(xiàng)——被收購(gòu)，或是努力將其產(chǎn)品或服務(wù)范圍擴(kuò)大到 ICS/OT 以外的更廣泛的網(wǎng)絡(luò)安全市場(chǎng)中。很明顯，未來(lái)我們將看到幾種不同的發(fā)展趨勢(shì)——一些企業(yè)將不得不被收購(gòu)或退出資產(chǎn)競(jìng)爭(zhēng)舞臺(tái);還有一些目光長(zhǎng)遠(yuǎn)的公司會(huì)將 “利益之手” 伸到其他安全產(chǎn)品中，而不僅僅是 OT 安全產(chǎn)品。

這就意味著，這些頂級(jí)供應(yīng)商中的任何一家都有可能會(huì)在明年宣布結(jié)業(yè)。所以，在正式簽訂合同之前，買家應(yīng)該要求供應(yīng)商對(duì)其財(cái)務(wù)狀況保持透明。正是由于這些供應(yīng)商提供的產(chǎn)品和服務(wù)太過類似，所以未來(lái)極有可能出現(xiàn)一定程度的功能整合。如果發(fā)生資源整合，將隨時(shí)有供應(yīng)商面臨被踢出市場(chǎng)的結(jié)局，對(duì)此企業(yè)應(yīng)該謹(jǐn)慎對(duì)待小心選擇。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文