Tenable.ot
工業(yè)網(wǎng)絡(luò)安全解決方案概要
逼近的安全網(wǎng)絡(luò)風(fēng)暴
當(dāng)今的工業(yè)運營往往同時覆蓋復(fù)雜的IT(信息技術(shù))和OT(運營技術(shù))基礎(chǔ)設(shè)施�����。在一個標(biāo)準(zhǔn)的工業(yè)和重要基礎(chǔ)設(shè)施環(huán)境中��,通常共存著數(shù)以千計的設(shè)備�����,并且通過工業(yè)物聯(lián)網(wǎng)不斷接入��。這給工業(yè)環(huán)境安全工作帶來了嚴峻的考驗�,尤其是網(wǎng)絡(luò)安全威脅正在變得更加難以檢測、調(diào)查和修復(fù)�。
工業(yè)網(wǎng)絡(luò)安全的挑戰(zhàn)
當(dāng)今復(fù)雜的運營技術(shù)(OT)環(huán)境已經(jīng)成為新興攻擊的目標(biāo)。IT和OT的融合以及兩者環(huán)境中LoT的快速運用�����,不斷增加著整體攻擊面和攻擊媒介���。
如果達不到全面覆蓋�,那么攻擊的可能性就不再是“如果”的問題��,而是“何時”的問題����。
工業(yè)控制器已經(jīng)成為了針對工業(yè)運營和重要基礎(chǔ)設(shè)施的主要攻擊焦點。根據(jù)工業(yè)類型的不同��,這些控制器也可能稱為可編程邏輯控制器(PLC)�����、遠程終端單元(RTU)或分布式控制系統(tǒng)(DCS)�����。
這些控制器可靠性極高����,而且控制對象無所不包,�,從冷卻站到渦輪機、電網(wǎng)��、石油和天然氣等等�����。
事實上是工業(yè)控制系統(tǒng)(ICS)使得一切保持運轉(zhuǎn)�����。得益于其可靠性�����,這些設(shè)備大部分已經(jīng)投入使用多年���。它們是推動現(xiàn)代化社會的主力��,也因此成為攻擊的引爆點��。
全面的ICS網(wǎng)絡(luò)安全
Tenable.ot 能夠保護工業(yè)網(wǎng)絡(luò)免受網(wǎng)絡(luò)威脅����、惡意內(nèi)部人員和人為錯誤的侵害。從威脅檢測和防范��,到資產(chǎn)追蹤��、漏洞管理��、配置控制和設(shè)備完整性檢查���,Tenable的ICS安全功能最大限度提升了運營環(huán)境的可見性�、安全性和控制性����。
Tenable.ot為IT安全人員和OT工程師提供了全面的安全工具和報告。它還針對融合IT/OT領(lǐng)域和ICS活動提供了無與倫比的可見性�����,并且通過單一虛擬管理平臺跨所有站點及其各自的OT資產(chǎn)(從Windows服務(wù)器到PLC底板)帶來清晰的情景認知。
解決方案組件
360度可見性
攻擊容易在IT/OT基礎(chǔ)設(shè)施中傳播���。通過單一平臺管理并衡量所有OT和IT系統(tǒng)中的網(wǎng)絡(luò)風(fēng)險,從而實現(xiàn)對融合攻擊面的完整可見性�����。Tenable 還可原生集成業(yè)內(nèi)領(lǐng)先的IT全和運營工具�,例如安全信息和事件管理(SIEM)解決方案、日志管理工具�����、新一代防火墻和工單系統(tǒng)����。這些功能共同構(gòu)建出一個彼此信任的生態(tài)系統(tǒng),其中所有安全產(chǎn)品都能作為整體協(xié)同運作�,確保環(huán)境安全。
威脅檢測和防范
Tenable.ot 利用多元檢測引擎尋找可能影響OT運營的高高風(fēng)險事件和行為��。這些引擎包括:
基于策略的引擎:通過這項獨有的功能可以激活預(yù)定義的策略或創(chuàng)建自定義策略���,將表明可能存在網(wǎng)絡(luò)威脅或操作錯誤的特定精細活動列入白名單和/或黑名單��,以便觸發(fā)警報����。這些策略還可以觸發(fā)對預(yù)定義情景的主動檢查。這項功能對于發(fā)現(xiàn)并未引起注意的風(fēng)險事件(如惡意軟件����、偵查活動、從人機接口(HMI)查詢設(shè)備固體版本等)而言至關(guān)重要��。
行為異常引擎:系統(tǒng)根據(jù)流量模式檢測與網(wǎng)絡(luò)流量基準(zhǔn)間的偏差��。模式基準(zhǔn)包括時間范圍�、協(xié)議、設(shè)備等因素的結(jié)合�。此外,它還允許檢測網(wǎng)絡(luò)中表明有惡意軟件或流氓設(shè)備的可疑掃描��。隨后����,該引擎會向團隊發(fā)送上下文感知型的警報和相關(guān)詳細信息,可供快速做出響應(yīng)并對發(fā)生的情況啟動取證調(diào)查��。
特征碼更新引擎:Tenable.ot 與開放信息安全基金會(OISF)合作���,充分利用Suricata特征碼集以及Tenable的專有特征碼規(guī)則��。通過眾包數(shù)據(jù)��,可以在所有階段中檢測攻擊���,獲得與可疑流量有關(guān)的上下文警報,從而檢測出可能存在偵查����、漏洞利用、已安裝的惡意軟件����、橫向傳播等。威脅檢測引擎會接收新的特征碼更新����,隨著威脅的發(fā)展不斷解決新威脅。
資產(chǎn)清單和主動檢測
Tenable.ot 利用開創(chuàng)性的專利技術(shù)�����,為基礎(chǔ)設(shè)施提供了無與倫比的可見性�,不僅在網(wǎng)絡(luò)層面�����,更可深入設(shè)備層面����。它結(jié)合原生通信協(xié)議主動查詢ICS環(huán)境中的IT以及OT設(shè)備�����,從而識別出網(wǎng)絡(luò)中的所有活動和操作�。
基于風(fēng)險的漏洞管理
Tenable.ot利用全面且詳細的IT和OT資產(chǎn)追蹤能力,通過預(yù)測優(yōu)先級分析為ICS網(wǎng)絡(luò)中的每一個資產(chǎn)生成漏洞和風(fēng)險等級��。這些報告包含了風(fēng)險評分和詳細洞見以及防范建議���。
Tenable的漏洞評估涵蓋了固件版本���、相關(guān)CVE、專有研究�、默認密碼、開放端口�、已安裝的修補程序等多種參數(shù)。這使得擁有授權(quán)的人員能夠在攻擊者利用漏洞之前�����,快速識別需要優(yōu)先修復(fù)的最高風(fēng)險。
配置控制
Tenable.ot能夠追蹤惡意軟件和用戶對網(wǎng)絡(luò)或直接對設(shè)備執(zhí)行的變更���。
配置控制提供了設(shè)備配置隨時間變化的完整歷史記錄����,包括特定梯形邏輯段�����、診斷緩沖區(qū)�����、標(biāo)簽表等細分記錄����。這使得管理員能夠建立帶有“上一個經(jīng)過確認的良好狀態(tài)”的備份快照�,從而加快恢復(fù)并遵守業(yè)內(nèi)法規(guī)。
Tenable.ot組件
核心平臺
直接從網(wǎng)絡(luò)(通過連接到交換機的span端口或通過網(wǎng)絡(luò)分流器)和/或使用傳感器的數(shù)據(jù)饋送(來自捕獲到的網(wǎng)絡(luò)流量)采集和分析網(wǎng)絡(luò)流量���。
主動檢測插件:(可選)
包括設(shè)備查詢功能�����,可用于增強基于設(shè)備的安全性和可見性���。
傳感器
可以在包含待監(jiān)控設(shè)備的網(wǎng)段部署選配的小型輕量級傳感器�,設(shè)備可經(jīng)由托管交換機連接到一個傳感器���。
