大多數(shù)工廠和公用事業(yè)公司運行的工業(yè)控制系統(tǒng) (ICS) 設備從未打算連入互聯(lián)網(wǎng)，其原始部署可能可以追溯到 20 世紀 70 年代或 80 年代。對于它們而言，運行的更現(xiàn)代化一點的系統(tǒng)——你猜的沒錯，就是 Windows XP!

[[269088]]

設計不安全且僅限本地訪問的這些控制系統(tǒng)雖然能夠提供更高的效率，但也帶來了潛在的災難性風險。像 NotPetya 這樣的勒索軟件就曾于 2017 年為全球經(jīng)濟造成了數(shù)億美元的損失，引發(fā)了全球制造業(yè)的恐慌。安全專家表示，NotPetya 極有可能會蔓延到商業(yè)和工業(yè)網(wǎng)絡中，而且作為一種副作用，該惡意軟件可能會跨越這些邊界并造成損害。面對這種日益嚴峻的網(wǎng)絡形勢，除非你徹底將工廠和公用設施從互聯(lián)網(wǎng)上撤下重回石器時代，否則就必須加快運營技術(shù) (OT) 環(huán)境的安全性。

這可能意味著你需要獲取 ICS/OT 監(jiān)控工具的幫助。這時候你將面臨 “商業(yè)” 和 “開源” 工具兩種選項。不過無論是選擇哪一種，你都需要在評估過程之前和期間慎重地思考下述幾個問題：

1. 該ICS監(jiān)控工具是否能夠提供您所需的功能?

頂級的 ICS 監(jiān)控供應商 Indegy、CyberX、Nozomi Networks 以及 Claroty 都會提供不同程度的資產(chǎn)發(fā)現(xiàn)、網(wǎng)絡監(jiān)控功能和 SOC 集成產(chǎn)品。他們更少關注任何給定的垂直方向，而更多地關注分析專業(yè)的——通常是古老的協(xié)議(如 modbus)以及識別特殊類型的設備(如可編程邏輯控制器 PLC)。工業(yè)控制系統(tǒng)網(wǎng)絡流量看起來與典型的企業(yè) IT 網(wǎng)絡流量非常不同，而且其監(jiān)控機器到機器的通信方式也是獨特的。

例如，所有供應商都提供資產(chǎn)發(fā)現(xiàn)功能;畢竟你無法捍衛(wèi)自己看不到的東西。但關于自己究竟擁有哪些資產(chǎn)的問題，是大多數(shù)組織都難以回答的。他們可能知道 15-20 年前工廠首次建成時安裝了什么設備，但是經(jīng)歷這些年網(wǎng)絡環(huán)境發(fā)生了怎樣的變化?我還擁有哪些設備?這些設備之間如何進行交互?都是組織難以回答的問題。

持續(xù)的威脅監(jiān)控也是您可以從供應商處獲得的基本功能。識別可疑流量，連接到 OT 網(wǎng)絡的未授權(quán)設備，以及使用機器學習來標記異?；顒邮潜貍涞墓δ?。除此之外，SOC 集成也正在迅速發(fā)展成為所有供應商提供或即將提供的另一個必備的基礎功能。

購買 ICS 監(jiān)控解決方案時需要考慮的一個區(qū)別因素是，該供應商解決方案標記了多少誤報或低優(yōu)先級的事件。因為您的 SOC 可能沒有足夠的資源來運行每一個事件，而且在大多數(shù)情況下可能會選擇忽略較低優(yōu)先級的問題，以確保全天候 (7X24) 的正常運行時間。大量的誤報或低優(yōu)先級事件不僅會消耗有限的員工資源，還有可能導致員工忽略真正會引發(fā)嚴重威脅的事件。

與其他 ICS 工具供應商不同，Dragos 專注于入侵檢測及其背后的溯因。近期，該公司還免費釋放了兩款免費的工業(yè)控制系統(tǒng) (ICS) 資產(chǎn)發(fā)現(xiàn)工具——Cyberlens 和 Integrity。這兩款工具功能強大，可提供工業(yè)資產(chǎn)識別、ICS 網(wǎng)絡及數(shù)據(jù)流虛擬化，以及對 ModbusTCP、DNP3、EthernetIP、BacNet 和 OPC UA 等ICS產(chǎn)品的基本深度包檢測功能。

市政公用事業(yè)部門注意到：Dragos 與其他競爭對手不同的一點是，它為資源貧乏的自來水廠和電力公司提供免費/廉價的社區(qū)工具。大多數(shù)其他供應商都專注于從全球財富 2000 強的大企業(yè)獲取合同——當然 Dragos 也不例外——但是為了幫助一些資源有限的組織保護其關鍵基礎設施安全，Dragos 還提供了一些價格低廉但同樣能夠執(zhí)行公共服務的替代方案。因為 Dragos 認為，大多數(shù)企業(yè)級軟件對小公司和市民而言太過昂貴，即便是基礎版也負擔不起，通過發(fā)布免費/廉價的工具可以為這部分用戶提供安全、持續(xù)的被動 ICS 網(wǎng)絡及資產(chǎn)發(fā)現(xiàn)功能。

2. ICS工具供應商是否提供免費試用服務?

究竟 Dragos 或任何其他解決方案是否適合您的企業(yè)，還需要進行一些其他的評估分析。在此之前，不能輕易地得出究竟哪個供應商適合您的工廠或公用事業(yè)公司。

這里就要思考這樣一個問題 “什么才是買家的商業(yè)需求?” 要知道，根本不存在什么 “最好的工具”，如今，各種工具正在迅速發(fā)展并互相競爭革新。

由于每個 ICS 部署都不同，因此沒有單一固定的解決方案，對于企業(yè) ICS 監(jiān)控需求也沒有一個通用的答案。因此，在購買解決方案之前，一定要考慮該供應商是否提供免費安裝試用的服務，因為這是判斷您所購買的解決方案是否真的適合您的企業(yè)的唯一方法。

3. ICS工具與SIEM和SOC的匹配程度如何?

安全管理人員還希望其供應商的解決方案能夠與其現(xiàn)有的安全信息和事件管理 (SIEM) 系統(tǒng)進行交互，并且可以從一個儀表板中同時了解 IT 和 OT 的情況。這些只是工廠和公用事業(yè)公司在評估其選擇時應該考慮的一些關鍵問題。

4. 開源的ICS監(jiān)控工具是一種選擇嗎?

此時你可能會問自己，為什么不動手搭建屬于自己的監(jiān)控工具呢?確實，大型企業(yè)有條件構(gòu)建與使用開源選項的商業(yè)供應商相同的內(nèi)部功能。他們可以利用的有安全洋蔥 (Onion)、ELK 堆棧，Suricata 甚至一些開源 Snort 規(guī)則。

但是，為許多企業(yè)用戶提供咨詢服務的 Caldwel 公司卻反對這種做法。在它看來，企業(yè)自己搭建安全工具的行為不僅存在實踐難度，而且造價非常高昂。

通過巨大的努力以及企業(yè)內(nèi)部的深層安全人才，企業(yè)確實有能力復制其中一個 ICS 安全供應商的產(chǎn)品，但是嚴重的安全人才短缺意味著獲取和保留這些人才可能十分困難，尤其是當風險投資 (VC) 資助的初創(chuàng)企業(yè)都在用高價 “挖墻腳” 的時候，這種人才更是成為了可遇不可求的稀缺資源。

除此之外，雖然，開源工具能支持有限的資產(chǎn)發(fā)現(xiàn)和網(wǎng)絡監(jiān)控功能，且自動具備可以集成到 SOC 中的開放 API，但是，尖端功能的開發(fā)仍然遠遠落后于商業(yè)產(chǎn)品。

5. 在購買ICS監(jiān)控工具之前，我能做些什么?

購買某個供應商的 ICS 監(jiān)控工具，并不意味著您就應該將 “通往企業(yè)的鑰匙” 交給該商業(yè)供應商。推卸責任并不是可取的安全策略，事實上，企業(yè)可以執(zhí)行很多安全基礎——也稱之為盡職調(diào)查或安全衛(wèi)生，以保護其 IT 和 OT 系統(tǒng)安全，并確保其與 ICS 監(jiān)控系統(tǒng)的成功集成。安全專家表示，現(xiàn)有系統(tǒng)的實施和配置同樣可以對這些系統(tǒng)的安全性產(chǎn)生重大影響，而不是單純地依靠這些高昂的工具。

除此之外，IT 安全人員和 ICS 工程師之間更深入地合作也可以產(chǎn)生效益。通過讓他們角色互換幾周或幾個月可以促進他們彼此對 IT/OT 文化鴻溝有個更好的理解。

6. ICS監(jiān)控工具未來幾年的發(fā)展形勢如何?

最近幾年我們可以看到，大量的風險投資資金開始投入到 ICS/OT 監(jiān)控解決方案中，少數(shù)幾家公司已經(jīng)成為這一關鍵利基領域的積極參與者。他們中的許多都提供一些類似的產(chǎn)品的服務，所以未來幾年，一定程度的市場整合可能是不可避免地——所以，如果您的供應商被收購或宣告破產(chǎn)了會怎樣?這是在評估供應商和簽訂合同時需要納入考慮的問題。

網(wǎng)絡安全解決方案的工廠部署壽命可能長達 20 年甚至更長時間。ICS/OT 監(jiān)控領域是一個至關重要但卻很小的垂直空間，而全球財富 2000 強只包含區(qū)區(qū) 2000 家企業(yè)，所以資源搶奪的力度可想而知。一般來說，如果你選擇的供應商已經(jīng)在全國或全球范圍內(nèi)的數(shù)百個企業(yè)部署了工具，那么該供應商遭遇業(yè)務危機的可能性會相對較低一些。

面對如此有限的市場規(guī)模，大多數(shù)此類供應商都面臨著這樣兩個選項——被收購，或是努力將其產(chǎn)品或服務范圍擴大到 ICS/OT 以外的更廣泛的網(wǎng)絡安全市場中。很明顯，未來我們將看到幾種不同的發(fā)展趨勢——一些企業(yè)將不得不被收購或退出資產(chǎn)競爭舞臺;還有一些目光長遠的公司會將 “利益之手” 伸到其他安全產(chǎn)品中，而不僅僅是 OT 安全產(chǎn)品。

這就意味著，這些頂級供應商中的任何一家都有可能會在明年宣布結(jié)業(yè)。所以，在正式簽訂合同之前，買家應該要求供應商對其財務狀況保持透明。正是由于這些供應商提供的產(chǎn)品和服務太過類似，所以未來極有可能出現(xiàn)一定程度的功能整合。如果發(fā)生資源整合，將隨時有供應商面臨被踢出市場的結(jié)局，對此企業(yè)應該謹慎對待小心選擇。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文