在过去的两年中,我们注意到人们对……的兴趣明显上升工业网络安全在自动化的世界读者。随着这种兴趣的增加,进入市场的供应商数量也相应增加,以满足行业对更高安全性的需求。
最近进入这个领域的是Claroty该公司的网络安全平台旨在确保和优化运营技术(OT),即工厂车间、网络。该公司大力宣传其OT的起源和重点,称:“我们不仅精通每一种协议,我们还是OT的母语使用者。我们在Modbus、Profibus和DeviceNet的世界中出生和长大。我们在S7中思考,在DNP3中梦想。我们超越以太网/IP进入最神秘的领域现场总线和串行协议。ICS网络中没有一个角落是黑暗的,没有一个事件是被误解的。”
据报道,Claroty的软件会创建一个终端用户工业网络资产的详细清单,监控这些资产之间的通信,并分析网络上最深层次的通信。将检测到的异常情况报告给工厂和安全人员,并提供可操作的见解,以帮助进行有效的调查、响应和恢复。
Claroty联合创始人兼首席执行官Amir Zilberstein表示:“Claroty平台可以在任何阶段探测到坏人的活动,无论他们是想在网络上立足、进行侦察还是造成破坏。它还可以检测人为错误和其他流程完整性问题,这些通常比来自不良行为者的威胁更常见。例如,软件监控关键资产的更改,如果操作不当,可能会导致意外停机。该系统还能识别网络配置问题,这些问题可能会使系统受到外部威胁。”
经过漫长的竞争性审查过程,罗克韦尔自动化选择clarity进行网络异常检测,很大程度上是因为它是专门为工业网络安全而设计的。两家公司现在正在合作,将它们的安全产品和服务组合成打包的安全产品,以备将来发布。Claroty还加入了罗克韦尔自动化合作伙伴网络Encompass计划。
在ARC论坛2017年活动上,我会见了Claroty的首席营销官Patrick McBride和罗克韦尔自动化咨询服务组合经理Umair Masud,讨论了两家公司的合作关系。
马苏德说,罗克韦尔自动化公司“在过去的5到10年里一直致力于通过硬件产品和软件功能缓解网络安全问题”。“我们采用了纵深防御的方法,因为我们知道不能只依赖一个安全控制系统。”他补充说,罗克韦尔选择与Claroty合作,是因为该公司想要一种更积极的防御,“以增加对操作环境的可见性——可以看到系统的组成,以及它如何相互作用,以确定哪些操作是正常的,哪些操作是不正常的。”
马苏德还指出,罗克韦尔自动化公司希望软件能够被动地在网络上工作。被动和主动网络监控的区别在于:主动监控在网络上测试流量来监控流量;被动监视只是监视网络上的流量,而不增加流量。无源监控是OT网络的首选方法,这样就不会破坏网络上控制器、执行器和其他设备之间的关键通信。
“我们还希望解决方案在本质上是不可知论的,无论供应商来源如何。这就是我们选择克拉洛蒂的原因,”马苏德说。
麦克布莱德谈到Claroty的被动监测能力时说:“我们的第一设计原则是不造成伤害。”他补充说:“我们在TCP/IP、串行和协议上提供的覆盖范围的长度和广度,使我们能够提供一个细粒度的模型来检测网络异常。”
麦克布莱德也强调了克拉洛蒂的报警方法。“大多数网络安全软件都提供事件流;我们的警报针对所发生的情况,并以通俗易懂的语言发送,以提高运营商的态势感知能力。”
麦克布莱德说,Claroty警报的起点是对正在发生的事情的描述。例如,它会告诉您某工作站的某个人是否试图更改该工作站的特定PLC。“我们专注于减少解决问题的平均时间;我们希望更快更好地发现异常,更快地解决问题。另外,Claroty提供的情景上下文有助于指导快速补救过程。”