Claroty 持續(xù)威脅檢測(CTD) 

工業(yè)網絡安全挑戰(zhàn)與Claroty CTD

工業(yè)安全與挑戰(zhàn)

數字化轉型和遠程勞動力的擴張改變了企業(yè)的運營模式，曾經孤立的 OT 與 IT 環(huán)境，現已相互關聯(lián)。 IT 與 OT 網絡融合的興起提供了在工業(yè)環(huán)境中加強創(chuàng)新和效率的絕佳機會。雖然網絡化物理連接存在顯著優(yōu)勢，但它會在許多獨特和陌生的設備上生成一個擴展的攻擊面。傳統(tǒng)的 IT 安全解決方案已不適用于保護專有協(xié)議通信。

為了實現網絡和運營彈性，Claroty 持續(xù)威脅檢測 (CTD) 旨在戰(zhàn)勝工業(yè)環(huán)境中網絡化物理連接的挑戰(zhàn)。實現網絡和運營彈性絕非不可能，但需要一系列強有力的條件，傳統(tǒng)的解決方案或通用的方法已無法滿足這些條件。

CTD 具有無與倫比的工業(yè)協(xié)議庫、資產發(fā)現方法和專有 DPI 技術支持，這是在工業(yè)環(huán)境中實現獨一無二可視化的必要條件。 這能夠進一步實施涵蓋整個網絡化物理安全進程的核心網絡安全控制，包括：

· 資產發(fā)現

· 漏洞和風險管理

· 網絡保護

· 威脅檢測

· 資產與變更管理

· 遠程事件管理

CTD優(yōu)勢一覽

· 通過多種發(fā)現方法和部署機制，提供對工業(yè)環(huán)境的完整可視化。

· 支持完整的網絡化物理系統(tǒng)（CPS）的網絡安全之旅，從資產發(fā)現到網絡集成和優(yōu)化。

· 為所有警報提供情景化根本原因分析和風險評分。

· 與Claroty安全遠程訪問（SRA）集成，增強遠程會話事件響應和調查。

· 與現有IT基礎設施（如SIEM、防火墻、SOAR、CMDB工具等）集成，將核心網絡安全功能擴展到工業(yè)環(huán)境中。

資產發(fā)現

有效的工業(yè)網絡安全始于了解需要保護的內容。CTD涵蓋了業(yè)界最全面的工業(yè)協(xié)議，采用多種發(fā)現方法，確保生成最完整的網絡拓撲圖。CTD大范圍覆蓋的發(fā)現方法比其他的單一發(fā)現方法更容易查出部分網絡信息，可以在CPS環(huán)境中實現獨一無二的可視化。這種發(fā)現的深度體現在可視化的三個方面：

· 資產可視化：包括工業(yè)網絡上的所有CPS資產，其中的串行網絡，以及每個資產的廣泛屬性。

· 會話可視化：包括所有工業(yè)網絡會話及其寬帶、采取的操作、所做的更改、連接路徑和其他相關詳細信息。

· 過程可視化：包括跟蹤所有工業(yè)操作，涉及CPS資產的所有流程代碼部分和標簽值，以及資產流程值的所有異常變化，這些變化能預示流程完整性是否受到威脅。

漏洞和風險管理

Claroty大型數據庫包含了屢獲殊榮的Team82研究人員跟蹤的不安全協(xié)議、常見漏洞與披露（CVE）、配置、不合標準的安全實踐和其他漏洞，CTD能自動將OT環(huán)境中的每項資產與Claroty大型數據庫進行對比匹配，用戶可以更有效地識別、優(yōu)先處理和修復工業(yè)網絡中的漏洞。

· 漏洞庫匹配：根據供應商、型號和固件版本將確切資產與已知CVE準確匹配，高效地確定修復網絡漏洞優(yōu)先級。

· 攻擊向量映射：通過識別和分析已知風險，計算出最有可能被攻擊者破壞的網絡場景，更好地了解風險狀況。

· 風險評分：基于漏洞帶來的網絡風險，自動對其進行評估與評分，從而實現更高效的優(yōu)先級排序與修復。

網絡保護

在Claroty深厚的、專業(yè)的領域知識支持下，CTD用其深入的可視化功能，自動對工業(yè)網絡進行虛擬分段，虛擬區(qū)則是在基線情況下相互通信的邏輯資產組。為了適應您環(huán)境中獨有的通信路徑，CTD可以定制虛擬區(qū)域，并提供網絡行為可視化拓撲圖。作為一種網絡分段方法，虛擬區(qū)域有助于：

· 通過異常通信警報來驅動威脅檢測。

· 為高成本的物理分段程序提供經濟高效的替代方案。

· 將現有網絡通信基礎設施擴展到工業(yè)環(huán)境中。

威脅檢測

工業(yè)網絡威脅往往是不斷變化的。看似簡單，其實是利用對工作流程的守規(guī)性引入風險。CTD利用多個檢測引擎自動分析工業(yè)網絡中的所有資產、通信和流程，生成行為基線，描述合法流量的特征，消除誤報，并實時提醒用戶注意異常，以及已知、未知和新出現的威脅。

· 檢測已知與未知威脅：通過描述合法流量的特征來檢測異常通信，識別威脅，剔除誤報，并實時提醒用戶注意已知、未知和新出現的威脅。

· 操作事件警報：持續(xù)監(jiān)察行業(yè)環(huán)境中關鍵變更操作、工作流程完整性和正常運行時間，接收相關配置下載的操作的警報，從而深入了解文件中的確切代碼更改。

· 將警報映射到MITRE ATT & CK框架：傳入的警報會映射到針對工業(yè)控制系統(tǒng)的MITRE ATT & CK框架，能更加了解事件發(fā)生的背景，確定需要采取的補救措施。

· 根本原因分析：把相關的警報和指標關聯(lián)到同一事件中，減少網絡噪音、誤報和整體警報疲勞，并提供警告活動的綜合視圖。

資產與變更管理

在強大且深入的網絡可視化支持下，Claroty CTD簡化了企業(yè)的資產與變更管理。操作員能使用CTD自定義屬性，如關注EoL指標、識別運營流程價值以及持續(xù)監(jiān)察新增資產、更新資產或已停用資產等，致使簡化資產管理的工作流程，節(jié)省時間和減少操作人員的維護窗口。CTD為用戶提供的方法如下：

· 監(jiān)察資產更新：CTD持續(xù)監(jiān)察漏洞、舊版軟件、EoL指標和其他需要更新的變更，保持資產可用性。

· 簡化SLA合規(guī)性：CTD的可行性和自定義屬性，可以輕松識別、報告特定資產的SLA合規(guī)狀態(tài)。

· 識別資產變動：網絡添加、配置更改和異常是CTD監(jiān)察的眾多變量中的一部分，支持變更管理程序。

遠程事件管理

作為CPS網絡安全解決方案的一部分，CTD和Claroty安全遠程訪問（SRA）聯(lián)合推動增強兩種解決方案的警報響應能力。用戶能使用這些解決方案從任何位置檢測、調查和響應事件。因此，企業(yè)可以通過以下方法，為遠程、分布式或混合工作環(huán)境調整其整體安全態(tài)勢和工作流程：

· 直接在CTD的遠程會話期間接收事件警報和相關指標。

· 通過訪問遠程日志、實時監(jiān)察和記錄的會話來調查遠程用戶活動。

· 響應遠程事件警報能夠立即斷開遠程會話。

關于Claroty

Claroty使工業(yè)、醫(yī)療保健和商業(yè)機構能夠保護其環(huán)境中的所有網絡化物理系統(tǒng)，擴展物聯(lián)網（XIoT）。Claroty統(tǒng)一平臺可以與客戶現有的基礎設施集成，為可視化、漏洞和風險管理、威脅檢測和安全遠程訪問提供全方位的控制。Claroty得到了全球領先的工業(yè)自動化供應商的支持和采用，擁有廣泛的合作生態(tài)系統(tǒng)以及屢獲殊榮的Team82研究團隊。