我们使用机器学习技术将英文博客翻译为简体中文。您可以点击导航栏中的“中文(简体)”切换到英文版本。
不断变化的网络威胁需要新的安全方法——统一的全球 IT/OT SOC 的好处
在这篇博客文章中,我们讨论了组织在考虑统一的全球信息技术和运营技术 (IT/OT) 安全运营中心 (SOC) 时应考虑的一些好处和注意事项。尽管这篇文章重点介绍了 SOC 内部的 IT/OT 融合,但在考虑混合云和多云环境、工业物联网 (IIoT) 等其他环境时,你可以使用这里讨论的概念和想法。
随着组织向远程办公过渡,以及通过物联网 (IoT) 和网络物理系统等来自全球各地的在线边缘设备(例如网络物理系统)提高互连性,资产范围已大大扩大。对于许多组织来说,IT 和 OT SoC 是分开的,但有充分的理由主张实现融合,这为能够应对意外活动的业务结果提供了更好的背景。在
传统 IT SOC
传统上,SOC 负责组织内整个 IT 环境的安全监控、分析和事件管理,无论是在本地还是混合架构中。这种传统方法多年来一直运作良好,可确保 SOC 能够有效保护 IT 环境免受不断变化的威胁。
注意: 组织应了解
传统的 OT SOC
传统上,如
当组织探索
如果无法全面了解和控制进出 OT 网络的流量,操作功能可能无法获得可用于识别意外事件的完整上下文或信息。如果控制系统或联网资产(例如可编程逻辑控制器 (PLC)、操作员工作站或安全系统)遭到入侵,威胁行为者可能会损坏关键基础设施和服务或危害 IT 系统中的数据。即使在 OT 系统没有受到直接影响的情况下,次要影响也可能导致 OT 网络因运行和监控 OT 网络的能力方面的安全问题而关闭。
SOC 通过将关键安全人员和事件数据整合到一个集中位置来帮助提高安全性和合规性。建立 SOC 意义重大,因为它需要对人员、流程和技术进行大量的前期和持续投资。但是,与成本相比,改善安全态势的价值值得高度考虑。
在许多 OT 组织中,运营商和工程团队可能不习惯关注安全性;在某些情况下,组织会建立独立于其 IT SOC 的 OT SOC。为企业和 IT SoC 开发的许多功能、策略和技术直接适用于 OT 环境,例如安全运营 (SecOps) 和标准操作程序 (SOP)。尽管显然有特定于 OT 的注意事项,但 SOC 模型是融合 IT/OT 网络安全方法的良好起点。此外,诸如 SIEM 之类的技术可以帮助 OT 组织以更少的工作量和时间监控其环境,从而实现最大的投资回报。例如,通过将 IT 和 OT 安全数据引入 SIEM,IT 和 OT 利益相关者共享对完成安全工作所需信息的访问权限。
统一 SOC 的好处
统一的 SOC 为组织提供了许多好处。它为整个 IT 和 OT 环境提供了广泛的可见性,从而实现了协调的威胁检测、更快的事件响应以及在环境之间即时共享危害指标 (IOC)。这样可以更好地了解威胁路径和来源。
将来自 IT 和 OT 环境的数据整合到统一的 SOC 中可以带来规模经济,并有机会以折扣价获取和保留数据。此外,管理统一的 SOC 可以通过集中数据保留要求、访问模型以及自动化和机器学习等技术能力来减少开销。
在一个环境中开发的运营关键绩效指标 (KPI) 可用于增强另一种环境,从而提高运营效率,例如缩短检测安全事件的平均时间 (MTTD)。统一的 SOC 可实现集成和统一的安全、运营和性能,从而支持跨技术、位置和部署的全面保护和可见性。在 IT 和 OT 环境之间共享经验教训可提高整体运营效率和安全状况。统一的 SOC 还可以帮助组织在一个地方遵守监管要求,简化合规工作和运营监督。
通过使用安全数据湖和人工智能/机器学习等高级技术,组织可以建立弹性的业务运营,增强对安全威胁的检测和响应。
创建由 IT 和 OT 主题专家 (SME) 组成的跨职能团队有助于弥合文化鸿沟和促进协作,从而制定统一的安全策略。实施集成和统一的 SOC 可以提高 IT 和 OT 网络安全计划的工业控制系统 (ICS) 的成熟度,弥合领域之间的差距并增强整体安全能力。
统一 SOC 的注意事项
统一的 SOC 有几个重要方面需要组织考虑。
首先,职责分离在统一的 SOC 环境中至关重要。必须验证是否根据个人的专业知识和工作职能为其分配了特定职责,从而使最合适的专家能够处理各自环境的安全事件。此外,必须谨慎管理数据的敏感性。为了限制对特定类型数据的访问,必须进行强大的访问和权限管理,同时坚持只有授权的分析师才能访问和处理敏感信息。您应
另一个关键考虑因素是 IT 和 OT 环境统一期间,运营可能会受到干扰。为了促进平稳过渡,需要仔细规划,以最大限度地减少数据丢失、可见性或标准操作中断。认识到 IT 和 OT 安全性之间的差异至关重要。OT 环境的独特性质及其与物理基础设施的紧密联系需要量身定制的网络安全策略和工具,以应对工业组织面临的不同使命、挑战和威胁。来自 IT 网络安全计划的复制粘贴方法是不够的。
此外,网络安全成熟度通常在 IT 和 OT 领域之间有所不同。对网络安全措施的投资可能有所不同,导致与 IT 网络安全相比,OT 网络安全相对不够成熟。在设计和实现统一 SOC 时,应考虑这种差异。确定每个环境的技术堆栈的基准、定义明确的目标和精心设计解决方案可以帮助确保将这种差异考虑在内。解决方案进入概念验证 (PoC) 阶段后,您可以开始测试将融合转化为生产的准备情况。
您还必须解决 IT 和 OT 团队之间的文化鸿沟。组织的网络安全政策和程序与 ICS 和 OT 安全目标不一致,可能会影响有效保护这两个环境的能力。通过协作和清晰的沟通弥合这种鸿沟至关重要。在
统一的 IT/OT SOC 部署:
图 1 显示了统一的 IT/OT SOC 中的预期部署。这是统一 SOC 的高级视图。在本文的第 2 部分中,我们将提供规范性指导,说明如何使用 亚马逊云科技 服务和 亚马逊云科技
图 1:统一的 IT/OT SOC 架构
IT/OT 统一 SOC 的组成部分如下:
环境: 有多种环境,包括传统的 IT 本地组织、OT 环境、云环境等。每个环境代表来自资产的安全事件和日志源的集合。
数据湖: 数据收集、标准化和充实的集中场所,用于验证来自不同环境的原始数据是否已标准化为通用方案。数据湖应支持数据保留和存档以进行长期存储。
可视化: SOC 包括基于组织和运营需求的多个仪表板。仪表板可以涵盖多个环境的场景,包括 IT 和 OT 环境之间的数据流。还有针对各个环境的特定仪表板,以满足每个利益相关者的需求。应该以允许人类和机器查询数据的方式对数据进行索引,以监控安全和性能问题。
安全分析: 安全分析用于汇总和分析安全信号,生成更高保真度的警报,并根据并发 IT 信号和来自信誉良好的来源的威胁情报将 OT 信号进行情境化。
检测、警报和响应: 可以根据个人和多个环境中的数据为感兴趣的事件设置 警报。应使用机器学习来帮助识别数据中的威胁路径和感兴趣的事件。
结论
在这篇博客文章中,我们从优化安全运营的角度讨论了 IT 和 OT 环境的融合。我们研究了设计和实现统一 SOC 的好处和注意事项。
随着IT和OT之间的日常运营变得更加紧密,了解从一个环境传播到另一个环境的完整威胁链对组织至关重要。统一的 SOC 是事件检测和响应的神经中枢,可以成为改善组织安全态势和网络弹性的最关键组成部分之一。
如果统一是贵组织的目标,则必须充分考虑这意味着什么,并针对统一的 SOC 在实践中的样子设计计划。进行少量概念验证并分步迁移通常有助于完成此过程。
在下一篇文章中,我们将就如何使用 亚马逊云科技 服务和 AW
了解更多:
-
在 OT、IIoT 和云端实施安全监控 -
通过 Claroty xDome 与 亚马逊云科技 Security Hub 的集成,改善您的安全状况 -
使用 亚马逊云科技 IoT Device Defender 与 亚马逊云科技 Security Hub 直接集成,改善您的安全状况 -
基于云的 SOC 有助于改善您的安全检测和响应 -
亚马逊云科技 安全监控博客
如果您对这篇文章有反馈,请在下面的 评论 部分提交评论。如果您对这篇文章有疑问,
想了解更多 亚马逊云科技 安全新闻?在
*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。
