参加PACK EXPO——今年不可错过的活动,10月23日至26日在芝加哥举行。
从2000多家参展商中发现解决方案,以推进您的业务,并与国际PACK EXPO的同事建立网络。
今天注册

在被动或主动资产发现之间选择

破译两种资产发现类型之间的差异对于您的工业控制系统操作以及IT和操作连接非常重要。

发现资产需要一种最小化对网络影响的策略。
发现资产需要一种最小化对网络影响的策略。

这两个词已经变得越来越普遍工业控制系统(ICS)面临的威胁越来越大是用于监视的资产发现的“被动”和“主动”方法。但网络安全并不是强调资产发现重要性的唯一因素;实践证明良好的网络卫生是现代工业网络生存的关键。毕竟,如果您不知道哪些设备需要打补丁或进行其他服务,又如何知道它们在哪里呢?

网络安全软件供应商Tripwire的迪安•费兰多(Dean Ferrando)指出,大多数企业一开始都是在共享文档(如Excel电子表格)中手动维护设备或资产列表,并在新设备被收购或贬值时进行更改。当组织规模相对较小且不那么复杂时,这个过程是可管理的。但当组织或网络开始发展时,这种方法就变得非常有缺陷。他说:“在某些情况下,随时更新这些清单可能成为一项全职工作。”

记住这一点,让我们更仔细地看看资产发现的两种方法。

主动方法,也被称为标准资产发现,通常使用软件在网络中轮询设备——经典的ping- response过程。但他们也可以使用发现设备,试图登录到设备,以拉回一个连接的应用程序的完整清单,费兰多说。

主动方法的问题是,当所有这些联系尝试都广播到设备时,它们会降低网络速度。对于像工业控制系统(ICS)这样对时间敏感的网络来说,这显然是一个问题,这就是为什么资产发现明显倾向于被动方法的原因。

被动资产发现方法,本质上是监听网络中广播的流量,消除了网络带宽消耗的问题,Fernando指出。但同时也要求所有设备都能发送syslog日志。“我更喜欢这个选项,因为它不仅减少了网络消耗,而且还需要防火墙配置,允许流量在一个方向上流动,而且通常只在一个专用端口上,”他补充道。

syslog方法可以与主动和被动方法一起使用。它需要日志管理系统捕获syslog消息,并根据syslog本身包含的数据自动创建资产。以这种“主动”方式使用时,该数据将被视为实时数据,因为日志管理解决方案必须在广播syslog时侦听以便创建资产。“如果日志管理解决方案由于任何原因遗漏了syslog,那么资产将永远不会被创建,”Fernando说。遗憾的是,这在大型组织中很常见。两个月后发现丢失的syslog资产可能意味着攻击者可能在此期间利用并破坏了业务资产。”

所有这些都为被动资产发现方法提供了额外的优势,因为它们可以使用历史网络数据。归档的syslog数据,用于发现资产。

关于资产发现ICS环境,Ferrando说,“想象能够收集syslog数据从你所有的操作设备甚至“不接触”的首选设备,如PLC,通常发现在0级或一级不能普渡的模型,并且让他们安全地进入这日志管理解决方案的IT组织然后被动扫描日志和创建的资产而不需要打开它和操作之间的连接。这是在不影响安全障碍的情况下连接IT和OT世界的一大步。”

费兰多表示,通过这种连接,IT可以利用其在资产管理和安全最佳实践方面的资源和专业知识,在意外发现任何新设备时向OT发出警报。IT还可以监视OT应该意识到的潜在感兴趣的模式,如果严重程度超过了组织的可接受程度,则再次向他们发出警报。

如果没有被动的资产发现功能,这种跨职能团队方法论将“很难实现”,Ferrando说。而且,由于可能有两个团队做同样的工作,最终可能会使组织花费更多的资金和资源。

整个行业在哪里相遇
在10月23日至26日的PACK EXPO International上,从2000多家参展商中发现解决方案,以推进您的业务并与同事建立网络。
今天注册
整个行业在哪里相遇
测试你的机器学习智能
参加自动化世界的机器学习测试来证明你的知识!
需要测试
测试你的机器学习智能