Видимость является краеугольным камнем безопасности и предоставляет организациям средства для мониторинга, анализа и эффективной защиты цифровой инфраструктуры. Ведение всестороннего учета ИТ-, ОТ- и IoT-устройств позволяет организациям получить представление о топологии сети, выявить потенциально слабые места и обеспечить соблюдение политик безопасности. Кроме того, обзор в режиме реального времени позволяет командам безопасности проактивно устранять угрозы до того, как они перерастут в полномасштабный кризис.
Однако достижение видимости доменов ИТ и ОТ представляет собой сложную задачу, усугубляемую разнообразием этих устройств и их разрозненных систем. Традиционные меры безопасности, разработанные для ИТ-среды, оказываются неэффективными, если их применить к уникальным характеристикам экосистем OT и IoT. В связи с этим возникает необходимость в специализированных решениях, которые отвечают конкретным требованиям предприятия. В предыдущих частях этой серии блогов рассказывалось о ключевых проблемах, которые ограничивают возможности современного предприятия по защите своих активов OT и IoT. В этой статье подробно рассматриваются четыре стратегии для обеспечения полной видимости ИТ-, ОТ- и IoT-активов, а также то, как платформа управления рисками Tenable может улучшить вашу систему безопасности.
1. Обнаружение активов и мониторинг рисков
Среды OT и IoT включают в себя разнообразные устройства с различными методами управления и протоколами связи. Для удовлетворения этих уникальных требований необходимо использовать сочетание пассивных и активных подходов к обнаружению и мониторингу, чтобы получить точную и актуальную инвентаризацию и выявить риски, связанные с активами, такие как неправильная конфигурация и уязвимости.
Однако устройства OT и IoT обладают уникальными характеристиками, поэтому если вы попытаетесь обнаружить их с помощью средств обнаружения, предназначенных для ИТ-активов, то можете столкнуться с ошибками, перегрузкой памяти и непредвиденными простоями. Поэтому для поддержания работоспособности и надежности следует использовать инструменты, предназначенные для обнаружения OT- и IoT-устройств.
Например, для безопасной идентификации OT- и IoT-активов можно использовать методы пассивного обнаружения, прослушивающие сетевой трафик. Этот метод прослушивает сетевые коммуникации и анализирует шаблоны для определения присутствия устройств. Пассивное обнаружение имеет дополнительное преимущество: оно позволяет обнаруживать новые устройства по мере их добавления в сеть, а также периодически появляющиеся и исчезающие активы, которые также представляют опасность.
В этом представлении инвентаризации активов Tenable OT можно видеть все активы IT, OT и IoT, их детали и связанные с ними события, что позволяет вам осуществлять комплексное управление активами.
2. Ведение инвентаризации активов и сведений о рисках
Данные об активах играют ключевую роль в поддержке различных функций в организации, они также жизненно важны для эффективного определения приоритетов и устранения рисков безопасности. Ниже рассматриваются некоторые из ключевых атрибутов и их значение для безопасности.
Информация об устройстве
- Тип устройства: Определение типа устройства (например, PLC, система SCADA, датчик, устройство IoT) дает представление о его функциональности и назначении в сети.
- Марка и модель: Знание марки и модели устройства помогает понять его технические характеристики, возможности и потенциальные уязвимости.
- Версия прошивки/программного обеспечения: Отслеживание версий прошивки или программного обеспечения необходимо для выявления известных уязвимостей и обеспечения актуальности исправлений безопасности для устройств.
- Серийный номер: Присвоение уникальных идентификаторов устройствам облегчает отслеживание активов, определение их владельца и управление.
Возможность подключения к сети
- IP-адрес: Запись IP-адресов позволяет сопоставлять сети и облегчает мониторинг и управление подключением устройств.
- MAC-адрес: MAC-адреса помогают однозначно идентифицировать устройства в сети и могут использоваться для контроля доступа и обеспечения безопасности.
- Конфигурация портов: Понимание того, какие порты используют ваши устройства, помогает оценить потенциальные векторы атак и защитить точки доступа к сети.
- Сегментация сети: Определение сегментов сети, к которым относятся ваши устройства, помогает внедрить соответствующие средства контроля безопасности и меры изоляции.
Конфигурация и настройки
- Учетные данные по умолчанию: Идентификация устройств с учетными данными по умолчанию или слабыми учетными данными помогает снизить риск несанкционированного доступа и атак на основе учетных данных.
- Параметры конфигурации: Документирование конфигураций устройств, таких как протоколы связи, параметры шифрования и элементы управления доступом, обеспечивает согласованность и облегчает аудит безопасности.
- Контроль доступа: Понимание того, кто имеет доступ к настройке или взаимодействию с устройствами, а также уровня разрешений, которыми они обладают, имеет решающее значение для обеспечения соблюдения политик безопасности и предотвращения несанкционированных изменений.
Оперативные данные
- Оперативное состояние: Мониторинг рабочего состояния устройств дает представление об их здоровье, производительности и доступности.
- Данные датчиков: Для устройств IoT сбор данных датчиков, таких как температура, влажность или показания давления, может быть критически важен для оперативного мониторинга и принятия решений.
- Поток данных: Понимание того, как данные собираются, обрабатываются и передаются устройствами, помогает оценить риски безопасности данных и требования к соответствию.
Физическое местоположение
- Географическое расположение: Знание физического местоположения устройств помогает отслеживать активы, планировать техническое обслуживание и реагировать на инциденты, связанные с физической безопасностью.
- Условия окружающей среды: Документирование факторов окружающей среды, таких как температура, влажность и воздействие опасных условий, помогает оценить надежность и срок службы устройства.
Информация о жизненном цикле
- Дата установки: отслеживание времени установки устройств дает представление об их жизненном цикле и помогает планировать графики обслуживания и замены.
- Дата окончания срока службы/поддержки: выявление устройств, срок службы которых подходит к концу, позволяет принять упреждающие меры по снижению рисков, связанных с устаревшими технологиями.
Мониторинг рисков и активности:
- Уязвимости: Выявление известных уязвимостей в активах полезно для определения рейтинга приоритетности уязвимостей (VPR).
- Сетевая активность: Определение источника, типа, назначения и объема трафика полезно для выявления аномальных коммуникаций, например тех, которые имеют внешнее назначение.
- Разговоры: Идентификация разговоров, обнаруженных в сети, с подробной информацией о времени их возникновения и задействованных активах полезна при составлении карты активов.
3. Визуализация путей атак для определения приоритетности рисков
Данные об активах, информация о рисках и коммуникациях также важны для составления карты сети и определения приоритетности рисков. Слишком часто нарушения в средах OT и IoT происходят из-за уязвимых ИТ-активов, которые при компрометации дают хакерам повышенные привилегии и позволяют им осуществлять атаки, например, с помощью программ-вымогателей.
Понимание взаимосвязей между активами крайне важно для составления карты и визуализации векторов атак или путей, подверженных высокому риску эксплуатации. Чтобы определить наиболее критичный вектор атаки, необходимо учесть множество параметров и использовать подход, основанный на оценке риска. После нанесения на карту такие факторы, как уровень риска активов, длина пути атаки, способы связи и внешнее и внутреннее подключение, позволяют более точно определить приоритеты и принять меры по их устранению. Таким образом, можно, например, минимизировать или сократить доступ к внешним сетям, закрыть порты и удалить службы, которые не являются жизненно важными и способствуют повышению риска.
В этом представлении вектора атаки от Tenable OT видно связь между активами, включая внешнюю связь, которая может привести к боковому перемещению и компрометации OT-активов.
Хотя технически все идентификационные данные являются активами, которыми необходимо управлять, важно отметить, что большинство инструментов безопасности, предназначенных для конкретных доменов, не позволяют обнаружить и увидеть идентификационные данные и связанные с ними риски. Например, эти инструменты обычно не выявляют неправильные конфигурации, которые могут привести к избыточным разрешениям или сделать идентификаторы уязвимыми для эксплуатации, например, слабые пароли.
4. Количественная оценка риска для бизнеса с помощью маркировки активов
Возможность логической группировки и маркировки активов в Tenable One for OT/IoT является важным элементом для определения рейтинга критичности активов (ACR). Тип устройства, марка и модель, физическое местоположение и сегмент сети – все это можно использовать для группировки и маркировки активов, связанных с критически важными средами OT и IoT. Например, сегментация сети, указывающая на то, что система охлаждения является частью производственного цеха, а не частью кафетерия, может быть использована для повышения ACR. Аналогично, рабочая станция на производственном предприятии может нанести больший ущерб, чем персональный ноутбук в гостевой сети.
Теги активов в Tenable One for OT/IoT также можно использовать для объединения нескольких групп активов, чтобы создать карты воздействия, соответствующие критическим бизнес-функциям, и определить общий балл кибервоздействия (CES) для бизнес-функции. Аналогичным образом, человеческие и машинные идентификаторы, имеющие доступ к тем же сегментам сети, что и активы OT и IoT, могут быть привязаны к одной и той же карте воздействия. Таким образом, можно учитывать общий риск и использовать его для определения приоритетности ресурсов и инвестиций.
Tenable One for OT/IoT использует данные Tenable OT Security и Tenable Identity Exposure для количественной оценки общего уровня киберриска на производственном предприятии.
Получите полную видимость всей поверхности атаки
Tenable One for OT/IoT помогает организациям получить видимость всей современной поверхности атаки – ИТ-, ОТ- и IoT-активов; сосредоточить усилия на предотвращении вероятных атак; и точно передать информацию о киберрисках для поддержки оптимальной производительности бизнеса. Платформа сочетает в себе самое широкое покрытие уязвимостей, охватывающее ИТ-активы, облачные ресурсы, контейнеры, веб-приложения, системы идентификации, а также OT- и IoT-активы, опирается на скорость и широту покрытия уязвимостей от Tenable Research и добавляет комплексную аналитику для определения приоритетности действий и информирования о киберрисках.
Tenable One for OT/IoT позволяет организациям:
- Получить полную картину всех активов и их уязвимостей, как локальных, так и облачных, и понять, где активы подвергаются риску.
- Предвидеть угрозы и определять приоритетность усилий по предотвращению атак с помощью генеративного искусственного интеллекта и самого большого в отрасли набора данных об уязвимостях и контексте воздействия.
- Доведение информации о рисках воздействия до сведения руководителей предприятий и заинтересованных сторон с помощью четких КПЭ, контрольных показателей и практических рекомендаций.
- Используйте самый широкий охват уязвимостей, охватывающий ИТ-активы, облачные ресурсы, контейнеры, веб-приложения и системы идентификации.
- Интеграция со сторонними источниками данных и инструментами для более эффективного анализа и устранения уязвимостей.
Детальнее о Tenable One.
