OT Security 技术
OT Security 综合解决方案包含两种核心收集技术:
-
网络检测:OT Security 网络检测技术是一种被动式深度数据包检查引擎,用于应对工业控制系统的独特特性和要求。网络检测可对通过运营网络执行的所有活动提供深入实时可见性,并且侧重于工程活动。相关活动包括通过供应商特定的专有通信协议执行的固件下载/上传、代码更新和配置更改。网络检测可针对可疑/未经授权的活动发出实时警报,并生成包含鉴定数据的综合事件日志。网络检测可以生成三种类型的警报:
-
基于策略:可以激活预定义策略或创建自定义策略,此类策略可将指示网络威胁或操作错误的具体精细活动列入允许列表和/或阻止列表,以便触发警报。此外,还可以设置策略来针对预定义情境触发主动查询检查。
-
行为异常:系统会检测偏离网络流量基线(基于规定时间范围内的流量模式建立)的情况。它还可以检测表示恶意软件和侦查行为的可疑扫描。
-
签名检测策略:这些策略使用基于签名的 OT 和 IT 威胁检测,来识别表示入侵威胁的网络流量。此类检测基于已在 Suricata 威胁引擎中编目的规则。
-
-
主动查询:OT Security 的专利查询技术可以通过定期调查 ICS 网络中控制设备的元数据,来监控网络上的设备。此功能强化了 OT Security 自动发现和分类所有 ICS 资产的能力,其中包括 PLC 和 RTU 等较低级别的设备,即使这些资产在网络中未处于活动状态亦是如此。该功能还可识别设备元数据中本地实施的变更(例如固件版本、配置详细信息和状态),以及设备逻辑的每个代码/功能块中的变更。该功能在本机控制器通信协议中使用只读查询,因此不仅安全而且对设备没有影响。可以根据预定义的计划定期运行查询,也可以由用户按需运行。