工控体系还在行使XP 购置ICS器材之前必要相识的6个题目

大大都工场和公用奇迹公司运行的家产节制体系 (ICS) 装备从未规划连入互联网，其原始陈设也许可以追溯到 20 世纪 70 年月或 80 年月。对付它们而言，运行的更当代化一点的体系——你猜的没错，就是 Windows XP!

计划不安详且仅限当地会见的这些节制体系固然可以或许提供更高的服从，但也带来了隐藏的劫难性风险。像 NotPetya 这样的打单软件就曾于 2017 年为环球经济造成了数亿美元的丧失，激发了环球制造业的惊愕。安详专家暗示，NotPetya 极有也许会伸张到贸易和家产收集中，并且作为一种副浸染，该恶意软件也许会超过这些界线并造成侵害。面临这种日益严厉的收集形势，除非你彻底将工场和公用办法从互联网上撤下重回石器期间，不然就必需加速运营技能 (OT) 情形的安详性。

这也许意味着你必要获取 ICS/OT 监控器材的辅佐。这时辰你将面对 “贸易” 和 “开源” 器材两种选项。不外无论是选择哪一种，你都必要在评估进程之前和时代稳重地思索下述几个题目：

1. 该ICS监控器材是否可以或许提供您所需的成果?

顶级的 ICS 监控供给商 Indegy、CyberX、Nozomi Networks 以及 Claroty 城市提供差异水平的资产发明、收集监控成果和 SOC 集成产物。他们更少存眷任何给定的垂直偏向，而更多地存眷说明专业的——凡是是迂腐的协议(如 modbus)以及辨认非凡范例的装备(如可编程逻辑节制器 PLC)。家产节制体系收集流量看起来与典范的企业 IT 收集流量很是差异，并且其监控呆板到呆板的通讯方法也是奇异的。

譬喻，全部供给商都提供资产发明成果;事实你无法守护本身看不到的对象。但关于本身毕竟拥有哪些资产的题目，是大大都组织都难以答复的。他们也许知道 15-20 年前工场初次建成时安装了什么装备，可是经验这些年收集情形产生了奈何的变革?我还拥有哪些装备?这些装备之间怎样举办交互?都是组织难以答复的题目。

一连的威胁监控也是您可以从供给商处得到的根基成果。辨认可疑流量，毗连到 OT 收集的未授权装备，以及行使呆板进修来标志非常勾当是必备的成果。除此之外，SOC 集成也正在敏捷成长成为全部供给商提供或即将提供的另一个必备的基本成果。

购置 ICS 监控办理方案时必要思量的一个区别身分是，该供给商办理方案标志了几多误报或低优先级的变乱。由于您的 SOC 也许没有足够的资源来运行每一个变乱，并且在大大都环境下也许会选择忽略较低优先级的题目，以确保全天候 (7X24) 的正常运行时刻。大量的误报或低优先级变乱不只会耗损有限的员人为源，尚有也许导致员工忽略真正会激发严峻威胁的变乱。

与其他 ICS 器材供给商差异，Dragos 专注于入侵检测及其背后的溯因。近期，该公司还免费开释了两款免费的家产节制体系 (ICS) 资产发明器材——Cyberlens 和 Integrity。这两款器材成果强盛，可提供家产资产辨认、ICS 收集及数据流假造化，以及对 ModbusTCP、DNP3、EthernetIP、BacNet 和 OPC UA 等ICS产物的根基深度包检测成果。

市政公用奇迹部分留意到：Dragos 与其他竞争敌手差异的一点是，它为资源缺少的自来水厂和电力公司提供免费/便宜的社区器材。大大都其他供给商都专注于从环球财产 2000 强的大企业获取条约——虽然 Dragos 也不破例——可是为了辅佐一些资源有限的组织掩护其要害基本办法安详，Dragos 还提供了一些价值低廉但同样可以或许执行民众处事的更换方案。由于 Dragos 以为，大大都企业级软件对小公司和市民而言过分昂贵，即即是基本版也承担不起，通过宣布免费/便宜的器材可觉得这部门用户提供安详、一连的被动 ICS 收集及资产发明成果。

2. ICS器材供给商是否提供免费试用处事?

毕竟 Dragos 或任何其他办理方案是否得当您的企业，还必要举办一些其他的评估说明。在此之前，不能等闲地得出毕竟哪个供给商得当您的工场或公用奇迹公司。

这里就要思索这样一个题目 “什么才是买家的贸易需求?” 要知道，基础不存在什么 “最好的器材”，现在，各类器材正在敏捷成长并相互竞争刷新。

因为每个 ICS 陈设都差异，因此没有单一牢靠的办理方案，对付企业 ICS 监控需求也没有一个通用的谜底。因此，在购置办理方案之前，必然要思量该供给商是否提供免费安装试用的处事，由于这是判定您所购置的办理方案是否真的得当您的企业的独一要领。

3. ICS器材与SIEM和SOC的匹配水平怎样?

安详打点职员还但愿其供给商的办理方案可以或许与其现有的安详信息和变乱打点 (SIEM) 体系举办交互，而且可以从一个仪表板中同时相识 IT 和 OT 的环境。这些只是工场和公用奇迹公司在评估其选择时应该思量的一些要害题目。

4. 开源的ICS监控器材是一种选择吗?

此时你也许会问本身，为什么不下手搭建属于本身的监控器材呢?确实，大型企业有前提构建与行使开源选项的贸易供给商沟通的内部成果。他们可以操作的有安详洋葱 (Onion)、ELK 仓库，Suricata 乃至一些开源 Snort 法则。

可是，为很多企业用户提供咨询处事的 Caldwel 公司却阻挡这种做法。在它看来，企业本身搭建安详器材的举动不只存在实践难度，并且造价很是奋发。

通过庞大的全力以及企业内部的深层安详人才，企业确实有手段复制个中一个 ICS 安详供给商的产物，可是严峻的安详人才欠缺意味着获取和保存这些人才也许异常坚苦，尤其是当风险投资 (VC) 扶助的初创企业都在用高价 “挖墙脚” 的时辰，这种人才更是成为了可遇不行求的稀缺资源。

除此之外，固然，开源器材能支持有限的资产发明和收集监控成果，且自动具备可以集成到 SOC 中的开放 API，可是，尖端成果的开拓如故远远落伍于贸易产物。

5. 在购置ICS监控器材之前，我能做些什么?

购置某个供给商的 ICS 监控器材，并不料味着您就应该将 “通往企业的钥匙” 交给该贸易供给商。推卸责任并不是可取的安详计策，究竟上，企业可以执行许多安详基本——也称之为尽职观测或安详卫生，以掩护其 IT 和 OT 体系安详，并确保其与 ICS 监控体系的乐成集成。安详专家暗示，现有体系的实验和设置同样可以对这些体系的安详性发生重大影响，而不是纯真地依赖这些奋发的器材。

除此之外，IT 安详职员和 ICS 工程师之间更深入地相助也可以发见效益。通过让他们脚色交流几周或几个月可以促进他们互相对 IT/OT 文化鸿沟有个更好的领略。

6. ICS监控器材将来几年的成长形势怎样?

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!