OT SIEM چیست و چه تفاوتی با IT SIEM دارد – بخش دوم

در قسمت اول این مطلب، در خصوص تعریف راهکار SIEM و مزایای آن صحبت کردیم، سپس به بررسی تفاوت‌های OT SIEM و ITSIEM پرداختیم. در ادامه و در این قسمت، به بررسی عواملی که نیاز به OT SIEM را در یک سازمان ایجاد می‌کنند پرداخته و بررسی می‌کنیم که کدامیک از این دو برای سازما شما مفیدتر خواهند بود.

چه عواملی نیاز به OT SIEM را ایجاد می‌کنند؟

معمولاً در یک محیط هم به IT SIEM نیاز است و هم OT SIEM. در حقیقت تقریباً در تمام حملات سایبری، عامل مخرب در ابتدا جای پای خود را در IT ایجاد کرده و سپس با عبور از حفاظت‌هایی که بین دو محیط وجود دارد، وارد OT شده است.  بنابراین به یک نمای واحد برای نظارت روی مدیریت منبع، گزارش‌گیری و SIEM مورد نیاز است که کاهش ریسک سایبری در IT و OT انجام گردد.

سؤالی که باقی می‌ماند این است که بهترین روش برای دست‌یابی به این نمای یکپارچه‌ چیست؟ چه زمانی داشتن یک OT SIEM که تجمیع داده‌هایی به‌خصوص، تجزیه‌و‌تحلیل، پاسخ به حادثه و گزارش‌گیری برای OT و سپس Forward هشدارها و اطلاعات حیاتی به SOC سازمانی را انجام می‌دهد منطقی است؟

این‌ها سؤالاتی هستند که داشتن رویکرد و استراتژی لازم برای هرکدام، مخصوص به سازمان است. برای برخی از سازمان‌ها، یک SIEM واحد بدون هیچ قابلیت OT به‌خصوصی منطقی است. برای دیگران داشتن یک OT SIEM قدرتمند حیاتی خواهد بود.

آشنایی با ۴ عامل ایجادکننده نیاز به OT SIEM

  • پیچیدگی فرایند OT: شرکت‌های بخش نیرو، پالایشگاه‌های نفت، تصفیه آب و غیره فرایندهای فیزیکی پیچیده‌ای را پیش می‌برند که نیازمند تجربه‌ای عمیق در عملیات سیستم‌های کنترلی صنعتی است. برای شناسایی و تجزیه‌وتحلیل ریسک و پاسخ، پرسنل OT نیاز به دسترسی به یک OT SIEM دارند تا اطلاعات پرجزئیاتی را فراهم نماید که فقط خودشان به طور کامل آن‌ها را درک می‌کنند. هرچقدر این فرایند پیچیده‌تر باشد، OT SIEM ارزش بیشتری پیدا می‌کند.
  • ضرورت فرایند OT: فرایندهای OT بسیاری از سازمان‌ها خون جاری در رگ‌های سازمان‌شان است. Downtimeچه ناشی از یک حمله‌ی مخرب باشد و چه از اختلال ناخواسته‌ی یک دستگاه، هزینه‌های زیادی دارد. در نتیجه مانیتورینگ برای متغیرهای فرایند، به دلیل احتمال خرابی، دستگاه‌های جدیدی که شاید اختلال ایجاد کنند و غیره، ناهنجاری‌های رفتار دستگاه را کنترل می‌کند و ارزش زیادی خواهد داشت. یک OT SIEM این اطلاعات ارزشمند را فراهم می‌نماید.
  • دسترسی یا بخش‌بندی زیرساخت OT شبکه:ه رچقدر شبکه‌ی OT بیشتر از IT جدا شود، ارزش OT SIEM افزایش پیدا می‌کند. با افزایش وابستگی به انجام کارها توسط پرسنل عملیات محلی، ارزش OT SIEM نیز افزایش پیدا می‌کند.
  • تطبیق‌پذیری و مقررات: در برخی از صنایع مثل صنعت برق آمریکای شمالی، مقررات امنیت سایبری مثل NERC CIP نیازمند داده‌های OT دقیق هستند. ممکن است منطقی نباشد که این داده‌ها در IT SIEM جای گیرند، زیرا بیشتر مبتنی بر تطبیق‌پذیری هستند تا اینکه تجزیه‌و‌تحلیل‌های امنیتی را فراهم کنند که شاید یک SOC از آن‌ها استفاده نماید.

چالش‌های مربوط به صدور دستور کار از IT SIEM سازمانی

شاید پاسخ به این چالش‌ها از آنچه به‌نظر می‌رسد دشوارتر باشد و پیچیدگی‌ آن‌ها از میزان تجهیزات قدیمی و میزان کنترل فرایند و مقررات در محیط ناشی می‌شوند.  به‌هرحال هیچکس نمی‌خواهد محیط سازمانی خود را به تطبیق‌پذیری و بوروکراسی و سربار X آلوده کند.

OT SIEM چیست

در این شکل مربوط به IT SIEM، به نظر می‌رسد که شاید راهکار جواب دهد. اما مشکل اینجاست که اکثر راهکارهای سازمانی به چندین منبع مهم دسترسی ندارند، بلکه هشداری را دریافت‌ می‌کنند، مشخص می‌کنند که باید آن را به کجا تخصیص دهند و آن را به بهترین تحلیلگر IT قدیمی ارسال می‌کنند.

با حداقل اطلاعات یا ساختار، همه‌ی مسئولیت‌ها به دوش OT می‌افتد. با فرض اینکه یک Ticket یا سیستم کاری این دو حوزه را به هم مرتبط می‌کند و نقش چسبی را بین IT و OT ایفا می‌کند، کار برای تیم یا افراد OT ارسال می‌شود و آن‌ها سعی می‌کنند پیامی که معمولاً یک خط است را اولویت‌بندی کنند، مثلاً:

<date> Cryptographic Certificate  Expired UseCase Triggered on Asset ABC – Remediate, HIGH priority.

اگر دریافت‌کننده‌ی OT خوش‌شانس باشد، راهنمایی‌هایی همراه با فرایندهای مناسب در محیط به او ارائه می‌گردد. متأسفانه این اطلاعات حتی برای بخش IT نیز کافی نیست و اولویت‌بندی و اصلاح به دلیل محدودیت‌های عملیاتی برای OT چالش‌برانگیز هستند.

به‌عبارت‌دیگر درصورتی‌که ساختار و اطلاعات لازم همراه با هشدار ارائه نشوند، این رویکرد استفاده از یک SIEM به تنهایی نیازمند قابلیت دید کاملی از منابع و تخصص کافی برای منبع یا محیط پیاده‌سازی است.

بیایید یکی از اتفاقات متداول در حوزه‌ی IT و سازمانی را مورد بررسی قرار دهیم: گواهی‌های SSL/TLS منقضی شده.  در حوزه‌ی سازمانی، هر هشدار، گزارش‌ و یا اخطاری که بیان کند سیستم دارای گواهی‌های منقضی است رخداد‌های زیادی را ایجاد می‌نماید، از جمله:

  • رخداد یا گزارش آسیب‌پذیری توسط IT SIEM دریافت‌ می‌شود
  • یک تحلیلگر در SOC گزارش را بررسی کرده و یک Ticket ایجاد می‌نماید
  • ممکن است بدون فکر بیشتر، Ticket تخصیص داده شود و Certificate جدیدی صادر شود

باز هم این مثال ساده‌ای است، اما در OT صادر کردن یک هشدار Certificate، یک تهدید امنیت سایبری مستقیم نیست. به‌علاوه پیش از صدور مجدد یک گواهی، شرایط زیر باید درک گردند:

  • آیا دستگاه و یا مرکز به دلیل انقضای گواهی با یک ریسک مستقیم و تأثیرگذار مواجه است؟ اگر اینطور نیست و کنترل‌های دیگری وجود دارد، ممکن است کارهای دیگر اولویت بالاتری داشته باشند.
  • آیا باطل کردن و نصب یک گواهی منجر می‌شود به Downtime یا قطع شدن اتصال؟ آیا این کار مجاز است؟ اگر تأثیر کمی دارد، می‌توان از کنار آن رد شد یا برای مقطعی از Downtime یا تأثیر با ریسک پایین برنامه‌ریزی کرد.
  • آیا هشدار روی دستگاهی رخ می‌دهد که دارای چند سطح از کنترل اصلاحی است؟ (مثلاً دستگاه ایزوله شده، بخش‌بندی شده و مانیتور شده است).
  • آیا دستگاه در موقعیتی است که یک گواهی منقضی شده در منبعی قرار دارد که پیامد‌های اضافی به همراه دارد، نیازمند دانش مخصوصی است یا شرایط خاص دیگری وجود دارد؟ (مثلاً احراز هویت متقابل که می‌تواند هر تغییری را تقویت کند؛ N دستگاه تحت تأثیر * N تغییر).
  • آیا انقضای گواهی واقعاً به معنای لغزش در امنیت است؟ اگر گواهی دچار نقض امنیتی یا باطل نشود، ممکن است در زمان کنونی مشکلی نداشته باشد (با فرض اینکه در راستای تطبیق‌پذیری سازمان و آستانه‌های ریسک باشد).

نگرانی‌های دیگری نیز وجود دارد اما مواردی که بیان شد دلایل اصلی اهمیت OT SIEM هستند. OT SIEM باید توسط افرادی مدیریت شود که محیط خود را می‌شناسند نه تیم‌هایی که در بخش‌های کاملاً متفاوتی قرار دارند (هرچند برای یک زیرساخت همگرا، داشتن چندین ناظر فکر بدی نیست). یک هشدار به‌طور خاص مساوی این نیست که مشکلی نیاز به تغییر فوری دارد و همچنین نیازمند قابلیت دید و حضور افراد مناسبی در محیط OT است.

معماری مرجع برای OT SIEM چیست

مثل هر مفهوم نظری دیگری، یک فرد چطور می‌تواند بیشترین ارزش را از OT SIEM دریافت کند یا مشخص کند که آیا در دنیای واقعی هم کار می‌کند یا خیر.  مسئله این است که

  • IT به خودش و تکنولوژی‌هایی واگذار شود که برایش سود دارند.
  • صف مشترکی بین این دنیاها وجود دارد، پس چندین چشم رخدادها و منافع مشترک را ردیابی می‌کنند.
  • یک ریسک و برد کنترلی مشترک وجود دارد (مشکلات دنیای واقعی مثل اینکه IT دارای یک روتر Edge است، تغییراتی را انجام می‌دهد و اتصال به OT از دست می‌رود).
  • OT رخدادهای مرتبط را با قابلیت دید کامل به اطلاعات منابع، Logها و غیره بررسی و ردیابی می‌کند اما به شکلی که برای تیم‌های OT ایمن باشد.
  • OT کنترل اعمال تغییرات را تحت کنترل دارد، اما همچنین هشدارهایی را به‌صورت دو طرفه (IT به OT و OT به IT) ارسال می‌کند.
  • OT در زمانی که ممکن باشد، برای امنیت سایبری از تکنولوژی‌ها یا حتی روش‌های IT بهره می‌برد اما ظرافت مخصوص خود را نیز به کار می‌گیرد.
  • OT علاوه بر موارد کاربردی که در زیرساخت عملیاتی قدیمی (مثلاً Historian یا HMIها) وجود دارد، موارد کاربرد مانیتورینگ خود را می‌سازد اما برای مواردی که به تشخیص، شبکه، منابع سیستم و غیره مربوط هستند.
  • OT به‌طور کارآمدی اصلاحات انجام می‌دهد و آسیب‌پذیری‌ها یا حوادث را رفع می‌کند
  • اطلاعات به‌سادگی به سوی IT و OT جریان دارد، در نتیجه ریسک‌ها به‌طور کارآمدی ردیابی شده و با ریسک‌ها یا انگیزه‌های کسب‌و‌کار همسو هستند.

otsiem 04

OT SIEM یا IT SIEM: کدام برای سازمان شما مفیدتر است

یک OT SIEM با تجمیع، تجزیه‌وتحلیل و تصویرسازی مجموعه‌ی متفاوتی از داده‌ها با لنزهای متفاوتی، خود را از IT متمایز می‌کند. نتیجه‌ی این امر مجموعه‌ای از بینش‌های امنیتی و قابلیت اطمینان است که از IT SIEMهای قدیمی قابل‌دسترسی نیستند.

هیچ پاسخ مطلقی وجود ندارد که برای همه‌ی شرکت‌های صنعتی کاربرد داشته باشد، اما چند عامل موجب دریافت ارزش بیشتری از OT SIEM می‌شوند. OT SIEM نقش یک شرکت تسویه وجوه را برای حیاتی‌ترین هشدارها و رخدادها بازی می‌کند که باید به IT SIEM ارسال شوند تا نمایی در سطح سازمانی ایجاد شود که برای امنیت همگرای IT OT حیاتی می‌باشد.

OT SIEM باید به ابزارهایی متصل باشد که در یک محیط OT مورد استفاده قرار می‌گیرند. اگر اینطور نباشد، در یک محیط متمرکز بر اقدامات، ممکن است اِعمال اصلاحات انجام نگردد یا بدتر از آن، ممکن است هشدارهای غیرمرتبط نتوانند تنظیم شوند و رخدادهای امنیتی حیاتی نادیده گرفته شوند.  هدف این است که سازمان‌ها بیشترین سود را از محیط خود ببرند و کاهش ریسک و بهره‌وری خود را چندبرابر کنند.

منبع:

https://verveindustrial.com/resources/blog/what-is-an-ot-siem-and-how-is-it-different-from-it-siem

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.