در قسمت اول این مطلب، در خصوص تعریف راهکار SIEM و مزایای آن صحبت کردیم، سپس به بررسی تفاوتهای OT SIEM و ITSIEM پرداختیم. در ادامه و در این قسمت، به بررسی عواملی که نیاز به OT SIEM را در یک سازمان ایجاد میکنند پرداخته و بررسی میکنیم که کدامیک از این دو برای سازما شما مفیدتر خواهند بود.
چه عواملی نیاز به OT SIEM را ایجاد میکنند؟
معمولاً در یک محیط هم به IT SIEM نیاز است و هم OT SIEM. در حقیقت تقریباً در تمام حملات سایبری، عامل مخرب در ابتدا جای پای خود را در IT ایجاد کرده و سپس با عبور از حفاظتهایی که بین دو محیط وجود دارد، وارد OT شده است. بنابراین به یک نمای واحد برای نظارت روی مدیریت منبع، گزارشگیری و SIEM مورد نیاز است که کاهش ریسک سایبری در IT و OT انجام گردد.
سؤالی که باقی میماند این است که بهترین روش برای دستیابی به این نمای یکپارچه چیست؟ چه زمانی داشتن یک OT SIEM که تجمیع دادههایی بهخصوص، تجزیهوتحلیل، پاسخ به حادثه و گزارشگیری برای OT و سپس Forward هشدارها و اطلاعات حیاتی به SOC سازمانی را انجام میدهد منطقی است؟
اینها سؤالاتی هستند که داشتن رویکرد و استراتژی لازم برای هرکدام، مخصوص به سازمان است. برای برخی از سازمانها، یک SIEM واحد بدون هیچ قابلیت OT بهخصوصی منطقی است. برای دیگران داشتن یک OT SIEM قدرتمند حیاتی خواهد بود.
آشنایی با ۴ عامل ایجادکننده نیاز به OT SIEM
- پیچیدگی فرایند OT: شرکتهای بخش نیرو، پالایشگاههای نفت، تصفیه آب و غیره فرایندهای فیزیکی پیچیدهای را پیش میبرند که نیازمند تجربهای عمیق در عملیات سیستمهای کنترلی صنعتی است. برای شناسایی و تجزیهوتحلیل ریسک و پاسخ، پرسنل OT نیاز به دسترسی به یک OT SIEM دارند تا اطلاعات پرجزئیاتی را فراهم نماید که فقط خودشان به طور کامل آنها را درک میکنند. هرچقدر این فرایند پیچیدهتر باشد، OT SIEM ارزش بیشتری پیدا میکند.
- ضرورت فرایند OT: فرایندهای OT بسیاری از سازمانها خون جاری در رگهای سازمانشان است. Downtimeچه ناشی از یک حملهی مخرب باشد و چه از اختلال ناخواستهی یک دستگاه، هزینههای زیادی دارد. در نتیجه مانیتورینگ برای متغیرهای فرایند، به دلیل احتمال خرابی، دستگاههای جدیدی که شاید اختلال ایجاد کنند و غیره، ناهنجاریهای رفتار دستگاه را کنترل میکند و ارزش زیادی خواهد داشت. یک OT SIEM این اطلاعات ارزشمند را فراهم مینماید.
- دسترسی یا بخشبندی زیرساخت OT شبکه:ه رچقدر شبکهی OT بیشتر از IT جدا شود، ارزش OT SIEM افزایش پیدا میکند. با افزایش وابستگی به انجام کارها توسط پرسنل عملیات محلی، ارزش OT SIEM نیز افزایش پیدا میکند.
- تطبیقپذیری و مقررات: در برخی از صنایع مثل صنعت برق آمریکای شمالی، مقررات امنیت سایبری مثل NERC CIP نیازمند دادههای OT دقیق هستند. ممکن است منطقی نباشد که این دادهها در IT SIEM جای گیرند، زیرا بیشتر مبتنی بر تطبیقپذیری هستند تا اینکه تجزیهوتحلیلهای امنیتی را فراهم کنند که شاید یک SOC از آنها استفاده نماید.
چالشهای مربوط به صدور دستور کار از IT SIEM سازمانی
شاید پاسخ به این چالشها از آنچه بهنظر میرسد دشوارتر باشد و پیچیدگی آنها از میزان تجهیزات قدیمی و میزان کنترل فرایند و مقررات در محیط ناشی میشوند. بههرحال هیچکس نمیخواهد محیط سازمانی خود را به تطبیقپذیری و بوروکراسی و سربار X آلوده کند.
در این شکل مربوط به IT SIEM، به نظر میرسد که شاید راهکار جواب دهد. اما مشکل اینجاست که اکثر راهکارهای سازمانی به چندین منبع مهم دسترسی ندارند، بلکه هشداری را دریافت میکنند، مشخص میکنند که باید آن را به کجا تخصیص دهند و آن را به بهترین تحلیلگر IT قدیمی ارسال میکنند.
با حداقل اطلاعات یا ساختار، همهی مسئولیتها به دوش OT میافتد. با فرض اینکه یک Ticket یا سیستم کاری این دو حوزه را به هم مرتبط میکند و نقش چسبی را بین IT و OT ایفا میکند، کار برای تیم یا افراد OT ارسال میشود و آنها سعی میکنند پیامی که معمولاً یک خط است را اولویتبندی کنند، مثلاً:
<date> Cryptographic Certificate Expired UseCase Triggered on Asset ABC – Remediate, HIGH priority.
اگر دریافتکنندهی OT خوششانس باشد، راهنماییهایی همراه با فرایندهای مناسب در محیط به او ارائه میگردد. متأسفانه این اطلاعات حتی برای بخش IT نیز کافی نیست و اولویتبندی و اصلاح به دلیل محدودیتهای عملیاتی برای OT چالشبرانگیز هستند.
بهعبارتدیگر درصورتیکه ساختار و اطلاعات لازم همراه با هشدار ارائه نشوند، این رویکرد استفاده از یک SIEM به تنهایی نیازمند قابلیت دید کاملی از منابع و تخصص کافی برای منبع یا محیط پیادهسازی است.
بیایید یکی از اتفاقات متداول در حوزهی IT و سازمانی را مورد بررسی قرار دهیم: گواهیهای SSL/TLS منقضی شده. در حوزهی سازمانی، هر هشدار، گزارش و یا اخطاری که بیان کند سیستم دارای گواهیهای منقضی است رخدادهای زیادی را ایجاد مینماید، از جمله:
- رخداد یا گزارش آسیبپذیری توسط IT SIEM دریافت میشود
- یک تحلیلگر در SOC گزارش را بررسی کرده و یک Ticket ایجاد مینماید
- ممکن است بدون فکر بیشتر، Ticket تخصیص داده شود و Certificate جدیدی صادر شود
باز هم این مثال سادهای است، اما در OT صادر کردن یک هشدار Certificate، یک تهدید امنیت سایبری مستقیم نیست. بهعلاوه پیش از صدور مجدد یک گواهی، شرایط زیر باید درک گردند:
- آیا دستگاه و یا مرکز به دلیل انقضای گواهی با یک ریسک مستقیم و تأثیرگذار مواجه است؟ اگر اینطور نیست و کنترلهای دیگری وجود دارد، ممکن است کارهای دیگر اولویت بالاتری داشته باشند.
- آیا باطل کردن و نصب یک گواهی منجر میشود به Downtime یا قطع شدن اتصال؟ آیا این کار مجاز است؟ اگر تأثیر کمی دارد، میتوان از کنار آن رد شد یا برای مقطعی از Downtime یا تأثیر با ریسک پایین برنامهریزی کرد.
- آیا هشدار روی دستگاهی رخ میدهد که دارای چند سطح از کنترل اصلاحی است؟ (مثلاً دستگاه ایزوله شده، بخشبندی شده و مانیتور شده است).
- آیا دستگاه در موقعیتی است که یک گواهی منقضی شده در منبعی قرار دارد که پیامدهای اضافی به همراه دارد، نیازمند دانش مخصوصی است یا شرایط خاص دیگری وجود دارد؟ (مثلاً احراز هویت متقابل که میتواند هر تغییری را تقویت کند؛ N دستگاه تحت تأثیر * N تغییر).
- آیا انقضای گواهی واقعاً به معنای لغزش در امنیت است؟ اگر گواهی دچار نقض امنیتی یا باطل نشود، ممکن است در زمان کنونی مشکلی نداشته باشد (با فرض اینکه در راستای تطبیقپذیری سازمان و آستانههای ریسک باشد).
نگرانیهای دیگری نیز وجود دارد اما مواردی که بیان شد دلایل اصلی اهمیت OT SIEM هستند. OT SIEM باید توسط افرادی مدیریت شود که محیط خود را میشناسند نه تیمهایی که در بخشهای کاملاً متفاوتی قرار دارند (هرچند برای یک زیرساخت همگرا، داشتن چندین ناظر فکر بدی نیست). یک هشدار بهطور خاص مساوی این نیست که مشکلی نیاز به تغییر فوری دارد و همچنین نیازمند قابلیت دید و حضور افراد مناسبی در محیط OT است.
معماری مرجع برای OT SIEM چیست
مثل هر مفهوم نظری دیگری، یک فرد چطور میتواند بیشترین ارزش را از OT SIEM دریافت کند یا مشخص کند که آیا در دنیای واقعی هم کار میکند یا خیر. مسئله این است که
- IT به خودش و تکنولوژیهایی واگذار شود که برایش سود دارند.
- صف مشترکی بین این دنیاها وجود دارد، پس چندین چشم رخدادها و منافع مشترک را ردیابی میکنند.
- یک ریسک و برد کنترلی مشترک وجود دارد (مشکلات دنیای واقعی مثل اینکه IT دارای یک روتر Edge است، تغییراتی را انجام میدهد و اتصال به OT از دست میرود).
- OT رخدادهای مرتبط را با قابلیت دید کامل به اطلاعات منابع، Logها و غیره بررسی و ردیابی میکند اما به شکلی که برای تیمهای OT ایمن باشد.
- OT کنترل اعمال تغییرات را تحت کنترل دارد، اما همچنین هشدارهایی را بهصورت دو طرفه (IT به OT و OT به IT) ارسال میکند.
- OT در زمانی که ممکن باشد، برای امنیت سایبری از تکنولوژیها یا حتی روشهای IT بهره میبرد اما ظرافت مخصوص خود را نیز به کار میگیرد.
- OT علاوه بر موارد کاربردی که در زیرساخت عملیاتی قدیمی (مثلاً Historian یا HMIها) وجود دارد، موارد کاربرد مانیتورینگ خود را میسازد اما برای مواردی که به تشخیص، شبکه، منابع سیستم و غیره مربوط هستند.
- OT بهطور کارآمدی اصلاحات انجام میدهد و آسیبپذیریها یا حوادث را رفع میکند
- اطلاعات بهسادگی به سوی IT و OT جریان دارد، در نتیجه ریسکها بهطور کارآمدی ردیابی شده و با ریسکها یا انگیزههای کسبوکار همسو هستند.
OT SIEM یا IT SIEM: کدام برای سازمان شما مفیدتر است
یک OT SIEM با تجمیع، تجزیهوتحلیل و تصویرسازی مجموعهی متفاوتی از دادهها با لنزهای متفاوتی، خود را از IT متمایز میکند. نتیجهی این امر مجموعهای از بینشهای امنیتی و قابلیت اطمینان است که از IT SIEMهای قدیمی قابلدسترسی نیستند.
هیچ پاسخ مطلقی وجود ندارد که برای همهی شرکتهای صنعتی کاربرد داشته باشد، اما چند عامل موجب دریافت ارزش بیشتری از OT SIEM میشوند. OT SIEM نقش یک شرکت تسویه وجوه را برای حیاتیترین هشدارها و رخدادها بازی میکند که باید به IT SIEM ارسال شوند تا نمایی در سطح سازمانی ایجاد شود که برای امنیت همگرای IT OT حیاتی میباشد.
OT SIEM باید به ابزارهایی متصل باشد که در یک محیط OT مورد استفاده قرار میگیرند. اگر اینطور نباشد، در یک محیط متمرکز بر اقدامات، ممکن است اِعمال اصلاحات انجام نگردد یا بدتر از آن، ممکن است هشدارهای غیرمرتبط نتوانند تنظیم شوند و رخدادهای امنیتی حیاتی نادیده گرفته شوند. هدف این است که سازمانها بیشترین سود را از محیط خود ببرند و کاهش ریسک و بهرهوری خود را چندبرابر کنند.
منبع:
https://verveindustrial.com/resources/blog/what-is-an-ot-siem-and-how-is-it-different-from-it-siem