在过去的两年里,我们注意到人们对……的兴趣明显增加工业网络安全在自动化的世界读者。随着兴趣的增加,进入市场的供应商数量也相应增加,以满足行业对更大安全性的需求。
最近进入太空的是Claroty该公司的网络安全平台旨在保护和优化运营技术(OT),即车间、网络。该公司大力宣传其OT的起源和重点,称:“我们不仅对每一项协议都很流利,我们的母语是OT。我们在Modbus、Profibus和DeviceNet的世界中出生和成长。我们在S7思考,在DNP3做梦。我们超越了以太网/IP进入了最神秘的现场总线和串行协议的领域。对我们来说,ICS网络没有一个角落是黑暗的,没有任何事件是被误解的。”
据报道,Claroty的软件可以创建终端用户工业网络资产的详细清单,监控这些资产之间的通信,并分析网络中最深层的通信。检测到的异常情况将报告给工厂和安全人员,并提供可操作的见解,以帮助进行有效的调查、响应和恢复。
Claroty公司的联合创始人兼首席执行官Amir Zilberstein说:“Claroty平台可以在任何阶段探测到坏人的行为,无论他们试图在网络上获得立足点、进行侦察或造成破坏。”它还可以检测人为错误和其他流程完整性问题,这些问题通常比来自不良行为者的威胁更常见。例如,用于关键资产更改的软件监视器,如果操作不当,可能会导致意外停机。该系统还能识别可能将系统暴露于外部威胁的网络配置问题。”
经过漫长的竞争性审查过程,罗克韦尔自动化选择Claroty进行网络异常检测,很大程度上是因为它是专门为工业网络安全设计的。这两家公司现在正在合作,将他们的安全产品和服务组合成打包的安全产品,以供未来发布。Claroty还加入了罗克韦尔自动化合作伙伴网络Encompass计划。
在2017年ARC论坛上,我会见了Claroty的首席营销官Patrick McBride和罗克韦尔自动化的咨询服务组合经理Umair Masud,讨论两家公司之间的合作关系。
马苏德表示,罗克韦尔自动化“在过去的5到10年里,一直致力于通过硬件产品和软件功能来缓解网络安全问题”。“我们有一个深入防御的方法,因为我们知道你不能只依赖于一个安全控制。”他补充说,罗克韦尔选择与Claroty合作,是因为它想要一个更积极的防御,“以增加对操作环境的可见性——可以看到你的系统的组成以及它如何交互,以确定哪些操作是正常的,哪些操作不是。”
Masud还指出,罗克韦尔自动化公司想要的软件可以在网络上被动地工作。被动和主动网络监控的区别在于:主动监控在网络上测试流量,以监控流量;被动监控只是简单地监控网络上的流量,而不增加流量。无源监控是OT网络的首选方法,以避免干扰控制器、执行器和网络上其他设备之间的关键通信。
“我们也希望解决方案是不可知的,无论供应商来源。这就是我们选择克拉罗蒂的原因。”
“我们的设计原则第一是不造成伤害,”麦克布莱德说,指的是Claroty的被动监测能力。他补充说:“我们在TCP/IP、串行和协议上提供的覆盖长度和广度使我们能够提供一个细粒度的模型来检测网络异常。”
麦克布莱德也强调了克拉罗蒂的警报方法。“大多数网络安全软件都提供事件流;我们的警报专门针对发生的情况,并以通俗易懂的语言发送,以提高操作人员的态势感知能力。”
麦克布莱德说,克拉罗蒂警报的出发点是描述正在发生的事情。例如,它将告诉您在一个工作站中是否有人试图更改该工作站的特定PLC。“我们专注于减少平均解决问题的时间;我们希望更快更好地发现异常,更快地解决问题。此外,Claroty提供的情境上下文有助于指导快速补救过程。”
