SOC OT字母。为什么传统SOC无法保护过程控制系统

毫无疑问，俄罗斯（以及原则上在世界范围内）SOC的主要经验和专业知识主要集中在公司网络的控制和安全性问题上。从发布，会议报告，圆桌会议等可以看出这一点。但是随着威胁的发展（我们不会回想起Stuxnet所造成的酸痛，但是，我们不会通过Black / Gray Energy，Industroyer和Triton的通过）以及法律“关于俄罗斯联邦关键信息基础设施的安全性”的监管要求， SOC是所有SOC的关注点，也是所有工业公司的神圣所在。我们做了第一个谨慎的方法来这个壳大约一年半前（1，2）。从那以后，有了更多的经验和研究，我们感到有力量推出专门针对SOC OT问题的完整材料周期。让我们从我们长期以来习惯的公司SOC的技术和流程与工业SOC的差异开始（它将像往常一样涉及人事问题）。如果您对本主题无动于衷，请在目录下。







为了使分析更具实质性，首先我们将确定正在将SOC OT与在Solar JSOC中实现的监视中心的结构进行比较。







除其他事项外，它将使我们能够在GosSOPKA中心的任务范围内讨论这些差异，该中心还负责工业部门。



关于模型的每个级别的细节可以在前面的文章中找到基础架构清单，监控，威胁智能感知系统（1，2），安全控制，人员和流程。... 在当前的文章中，我们将重点介绍安全监视的中心模块（ICS中响应和调查过程的功能将在以后的文章中）。

剧院从衣架开始，SOC从监视开始

似乎在事件监视，关联和事件检测领域，一切都已经定义和已知。甚至弥合差距以收集安全事件也是一个相当久经考验的话题。但是，尽管如此，有一些细微差别绝对值得关注。



通用SOC架构...尽管看似简单且有气隙的解决方案，但具有分布式设施的大型联邦公司的情况（对于电力行业而言尤其如此）相当复杂。对象的数量以数千为单位进行度量，通常甚至不可能在其上放置事件收集服务器，每个对象都非常紧凑，但是可以生成大量的信息安全事件。在所描述的情况之上，通信信道的问题通常被叠加，如此狭窄以至于事件到“中心”的传输上的至少一些重要负载开始干扰主要应用程序的操作。



因此，如何按站点正确分解SIEM组件是一个非常严重的问题。我们将在进一步的材料之一中返回到它，因为该日记的字段太小而无法包含它，因为一篇信息会太多。



用例专业化和分析。即使没有涉及仅与ICS细分相关的完全专业化方案的主题，也值得注意的是，即使ICS中的标准事件也具有完全不同的含义和重要性。我们都已经习惯了长时间在公司网络上使用远程管理工具。但是很明显，这种事件的重要性以及从原理上来说，在封闭的技术网络中与Internet成功通信的重要性是巨大的。这同样适用于在技术工作站上安装新系统服务，检测需要强制调查的恶意软件等事实。



对用例的使用受到了严重限制，其中包括对信息安全系统实施的限制（通常，技术领域并不十分丰富）以及对过时的旧版操作系统的使用（技术人员不信任Sysmon的安装）。



但是，可以将大量企业环境用例成功地应用于ICS领域，并提供足够高水平的整体基础架构控制。



好吧，很难绕过圣物-SCADA系统... 如果在信息安全系统，操作系统和网络流的级别上，所有细分市场至少都略有不同，但相似，那么当深入研究时，就会出现关键差异。在公司网络和细分方面，每个人都梦想着业务监控和业务应用程序连接。而且，此过程虽然很复杂（日志会发生变化并且不想假装为CEF，但只能从数据库中获取常规信息，但是管理员发誓并抱怨速度变慢），但是通常可以实现。在技​​术领域中，当连接上层和中层系统时，这些问题与技术停机的空间紧迫性完全相关。为了采取第一步连接源，您需要：

1. 组装展台并检查接收事件是否成功
2. 绘制具有所有技术细节的通用体系结构解决方案
3. 在几个月内与供应商达成协议
4. 通过战斗负荷仿真在客户的展位再次检查
5. 非常谨慎地（如关于刺猬的笑话）将解决方案实施到生产中

悲伤，渴望，业务流程。尽管事实上，APCS的设备通常具有足够大，完整，可理解和高质量的日志记录的特点。



但是，幸运的是（或巧合的），通常可以在ICS段中实现不同的方法。它们中的大多数协议并不意味着对传输的信息进行加密或屏蔽。因此，监视和解析控制命令的最常见方法之一是实施工业入侵检测系统或工业防火墙，允许您使用副本或实际网络流量，并解析协议和控制命令并进行后续日志记录。其中的一些功能除其他外，内部具有内置的基本关联引擎（使我们免于事件的规范化，分类和概要分析的麻烦），但同时它们并不能完全替代SIEM系统。

, ,

继续。看起来ICS网络中的库存问题应该是最不痛苦的。网络非常静态，设备与公用网段隔离，对体系结构进行更改需要整个工作项目。关于公司网络的童话-“只需修复模型并将其输入到CMDB中即可。”但是，像往常一样，这是有细微差别的：对于ICS细分市场，任何新设备的出现都是事件或攻击的极其重要的迹象之一，因此必须进行准确识别。所有这些，经典的清单方法（漏洞扫描程序的简化操作模式）在技术人员甚至自动化过程控制系统的安全人员中引起了最严重的过敏。在企业网络中，即使在不成功的时间在不成功的模式下进行库存扫描也可以“放入”某些特定应用程序，这种情况并不少见。自然，没有人愿意在自动化过程控制系统中承担此类风险。



因此，APCS中的主要清单工具（除了手动控制外）是前面提到的网络流量分析系统和工业入侵检测系统。网络中出现的每个新节点都开始与其邻居进行通信。通信的方法和协议，数据包的特殊性和服务字段都不仅可以快速看到新的“邻居”，而且可以清晰地识别它。



相反，识别和管理漏洞的过程更为保守。通常，不经常以受控的方式对基础结构进行更新和打补丁；应用软件和技术设备的列表是固定的。因此，要确定ICS段中当前漏洞的列表和状态，通常只需确定关键软件的版本并检查制造商的公告即可。因此，我们正在从积极的扫描和软件验证模式转变为技术和手动版本审核以及行业专家分析的方法。



分析或识别威胁的过程以类似的方式构建。通常，一次性修复模型是根据基础架构的关键重建（添加新节点，更新关键设备的固件版本等）或发现与基础架构有关的新漏洞和/或新的攻击媒介而进行现代化的。但是，有了它们，一切也不是那么简单。

OT威胁情报还是孤立的网络梦想着威胁指标？

关于新威胁和攻击媒介的信息可能没有用吗？我想立即回答“否”，但让我们一起来尝试了解经典TI数据在成熟OT细分市场中的适用性。



TI通常是供稿（数据流）或IoC（标识特定恶意软件或黑客工具的危害指标）。它们包含以下特征：

• (IP-, URL, ), upload «» , . , , . , , «» .
• (MD5- , , / ..), / / . , . , , , , whitelisting, , . – «» . TI .

因此，对于针对ICS的攻击，有关TTP的信息，攻击者的攻击策略和方法（在TI市场上极为罕见）获得了更大的重视，这将允许适当地采用防御机制和方法来监视和识别网段中的威胁。



这些以及其他许多细微差别迫使我们对建立这样的SOC或选择承包商的过程采取非常认真和周到的方法，并认真考虑组成OT SOC的策略。如果它与SOC IT相交或独立于SOC IT，则有可能在流程，团队和任务中实现某种相互补充和协同作用。在下一篇文章中，我们将尝试强调国际团队针对此问题的不同方法。在基础设施和生活的各个方面都保持安全。