Claroty 持續(xù)威脅檢測(CTD) 

工業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)與Claroty CTD

工業(yè)安全與挑戰(zhàn)

數(shù)字化轉(zhuǎn)型和遠程勞動力的擴張改變了企業(yè)的運營模式，曾經(jīng)孤立的 OT 與 IT 環(huán)境，現(xiàn)已相互關(guān)聯(lián)。 IT 與 OT 網(wǎng)絡(luò)融合的興起提供了在工業(yè)環(huán)境中加強創(chuàng)新和效率的絕佳機會。雖然網(wǎng)絡(luò)化物理連接存在顯著優(yōu)勢，但它會在許多獨特和陌生的設(shè)備上生成一個擴展的攻擊面。傳統(tǒng)的 IT 安全解決方案已不適用于保護專有協(xié)議通信。

為了實現(xiàn)網(wǎng)絡(luò)和運營彈性，Claroty 持續(xù)威脅檢測 (CTD) 旨在戰(zhàn)勝工業(yè)環(huán)境中網(wǎng)絡(luò)化物理連接的挑戰(zhàn)。實現(xiàn)網(wǎng)絡(luò)和運營彈性絕非不可能，但需要一系列強有力的條件，傳統(tǒng)的解決方案或通用的方法已無法滿足這些條件。

CTD 具有無與倫比的工業(yè)協(xié)議庫、資產(chǎn)發(fā)現(xiàn)方法和專有 DPI 技術(shù)支持，這是在工業(yè)環(huán)境中實現(xiàn)獨一無二可視化的必要條件。 這能夠進一步實施涵蓋整個網(wǎng)絡(luò)化物理安全進程的核心網(wǎng)絡(luò)安全控制，包括：

· 資產(chǎn)發(fā)現(xiàn)

· 漏洞和風險管理

· 網(wǎng)絡(luò)保護

· 威脅檢測

· 資產(chǎn)與變更管理

· 遠程事件管理

CTD優(yōu)勢一覽

· 通過多種發(fā)現(xiàn)方法和部署機制，提供對工業(yè)環(huán)境的完整可視化。

· 支持完整的網(wǎng)絡(luò)化物理系統(tǒng)（CPS）的網(wǎng)絡(luò)安全之旅，從資產(chǎn)發(fā)現(xiàn)到網(wǎng)絡(luò)集成和優(yōu)化。

· 為所有警報提供情景化根本原因分析和風險評分。

· 與Claroty安全遠程訪問（SRA）集成，增強遠程會話事件響應(yīng)和調(diào)查。

· 與現(xiàn)有IT基礎(chǔ)設(shè)施（如SIEM、防火墻、SOAR、CMDB工具等）集成，將核心網(wǎng)絡(luò)安全功能擴展到工業(yè)環(huán)境中。

資產(chǎn)發(fā)現(xiàn)

有效的工業(yè)網(wǎng)絡(luò)安全始于了解需要保護的內(nèi)容。CTD涵蓋了業(yè)界最全面的工業(yè)協(xié)議，采用多種發(fā)現(xiàn)方法，確保生成最完整的網(wǎng)絡(luò)拓撲圖。CTD大范圍覆蓋的發(fā)現(xiàn)方法比其他的單一發(fā)現(xiàn)方法更容易查出部分網(wǎng)絡(luò)信息，可以在CPS環(huán)境中實現(xiàn)獨一無二的可視化。這種發(fā)現(xiàn)的深度體現(xiàn)在可視化的三個方面：

· 資產(chǎn)可視化：包括工業(yè)網(wǎng)絡(luò)上的所有CPS資產(chǎn)，其中的串行網(wǎng)絡(luò)，以及每個資產(chǎn)的廣泛屬性。

· 會話可視化：包括所有工業(yè)網(wǎng)絡(luò)會話及其寬帶、采取的操作、所做的更改、連接路徑和其他相關(guān)詳細信息。

· 過程可視化：包括跟蹤所有工業(yè)操作，涉及CPS資產(chǎn)的所有流程代碼部分和標簽值，以及資產(chǎn)流程值的所有異常變化，這些變化能預示流程完整性是否受到威脅。

漏洞和風險管理

Claroty大型數(shù)據(jù)庫包含了屢獲殊榮的Team82研究人員跟蹤的不安全協(xié)議、常見漏洞與披露（CVE）、配置、不合標準的安全實踐和其他漏洞，CTD能自動將OT環(huán)境中的每項資產(chǎn)與Claroty大型數(shù)據(jù)庫進行對比匹配，用戶可以更有效地識別、優(yōu)先處理和修復工業(yè)網(wǎng)絡(luò)中的漏洞。

· 漏洞庫匹配：根據(jù)供應(yīng)商、型號和固件版本將確切資產(chǎn)與已知CVE準確匹配，高效地確定修復網(wǎng)絡(luò)漏洞優(yōu)先級。

· 攻擊向量映射：通過識別和分析已知風險，計算出最有可能被攻擊者破壞的網(wǎng)絡(luò)場景，更好地了解風險狀況。

· 風險評分：基于漏洞帶來的網(wǎng)絡(luò)風險，自動對其進行評估與評分，從而實現(xiàn)更高效的優(yōu)先級排序與修復。

網(wǎng)絡(luò)保護

在Claroty深厚的、專業(yè)的領(lǐng)域知識支持下，CTD用其深入的可視化功能，自動對工業(yè)網(wǎng)絡(luò)進行虛擬分段，虛擬區(qū)則是在基線情況下相互通信的邏輯資產(chǎn)組。為了適應(yīng)您環(huán)境中獨有的通信路徑，CTD可以定制虛擬區(qū)域，并提供網(wǎng)絡(luò)行為可視化拓撲圖。作為一種網(wǎng)絡(luò)分段方法，虛擬區(qū)域有助于：

· 通過異常通信警報來驅(qū)動威脅檢測。

· 為高成本的物理分段程序提供經(jīng)濟高效的替代方案。

· 將現(xiàn)有網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施擴展到工業(yè)環(huán)境中。

威脅檢測

工業(yè)網(wǎng)絡(luò)威脅往往是不斷變化的�？此坪唵�，其實是利用對工作流程的守規(guī)性引入風險。CTD利用多個檢測引擎自動分析工業(yè)網(wǎng)絡(luò)中的所有資產(chǎn)、通信和流程，生成行為基線，描述合法流量的特征，消除誤報，并實時提醒用戶注意異常，以及已知、未知和新出現(xiàn)的威脅。

· 檢測已知與未知威脅：通過描述合法流量的特征來檢測異常通信，識別威脅，剔除誤報，并實時提醒用戶注意已知、未知和新出現(xiàn)的威脅。

· 操作事件警報：持續(xù)監(jiān)察行業(yè)環(huán)境中關(guān)鍵變更操作、工作流程完整性和正常運行時間，接收相關(guān)配置下載的操作的警報，從而深入了解文件中的確切代碼更改。

· 將警報映射到MITRE ATT & CK框架：傳入的警報會映射到針對工業(yè)控制系統(tǒng)的MITRE ATT & CK框架，能更加了解事件發(fā)生的背景，確定需要采取的補救措施。

· 根本原因分析：把相關(guān)的警報和指標關(guān)聯(lián)到同一事件中，減少網(wǎng)絡(luò)噪音、誤報和整體警報疲勞，并提供警告活動的綜合視圖。

資產(chǎn)與變更管理

在強大且深入的網(wǎng)絡(luò)可視化支持下，Claroty CTD簡化了企業(yè)的資產(chǎn)與變更管理。操作員能使用CTD自定義屬性，如關(guān)注EoL指標、識別運營流程價值以及持續(xù)監(jiān)察新增資產(chǎn)、更新資產(chǎn)或已停用資產(chǎn)等，致使簡化資產(chǎn)管理的工作流程，節(jié)省時間和減少操作人員的維護窗口。CTD為用戶提供的方法如下：

· 監(jiān)察資產(chǎn)更新：CTD持續(xù)監(jiān)察漏洞、舊版軟件、EoL指標和其他需要更新的變更，保持資產(chǎn)可用性。

· 簡化SLA合規(guī)性：CTD的可行性和自定義屬性，可以輕松識別、報告特定資產(chǎn)的SLA合規(guī)狀態(tài)。

· 識別資產(chǎn)變動：網(wǎng)絡(luò)添加、配置更改和異常是CTD監(jiān)察的眾多變量中的一部分，支持變更管理程序。

遠程事件管理

作為CPS網(wǎng)絡(luò)安全解決方案的一部分，CTD和Claroty安全遠程訪問（SRA）聯(lián)合推動增強兩種解決方案的警報響應(yīng)能力。用戶能使用這些解決方案從任何位置檢測、調(diào)查和響應(yīng)事件。因此，企業(yè)可以通過以下方法，為遠程、分布式或混合工作環(huán)境調(diào)整其整體安全態(tài)勢和工作流程：

· 直接在CTD的遠程會話期間接收事件警報和相關(guān)指標。

· 通過訪問遠程日志、實時監(jiān)察和記錄的會話來調(diào)查遠程用戶活動。

· 響應(yīng)遠程事件警報能夠立即斷開遠程會話。

關(guān)于Claroty

Claroty使工業(yè)、醫(yī)療保健和商業(yè)機構(gòu)能夠保護其環(huán)境中的所有網(wǎng)絡(luò)化物理系統(tǒng)，擴展物聯(lián)網(wǎng)（XIoT）。Claroty統(tǒng)一平臺可以與客戶現(xiàn)有的基礎(chǔ)設(shè)施集成，為可視化、漏洞和風險管理、威脅檢測和安全遠程訪問提供全方位的控制。Claroty得到了全球領(lǐng)先的工業(yè)自動化供應(yīng)商的支持和采用，擁有廣泛的合作生態(tài)系統(tǒng)以及屢獲殊榮的Team82研究團隊。