適用於營運安全的 Splunk：邊界和漏洞的演進

營運技術 (Operational Technology, OT) 環境的所有者和營運商必須為 OT 環境提供越來越多資訊和安全的控制措施，無論這些需求是由董事會、行政命令還是新法規所要求的。當我們的客戶開始監控 OT 環境時，我們發現最大謬誤之一是認為 OT 系統是實體隔離的，與 IT 系統完全無關。其實在許多情況下，營運環境必須吸收資訊以提高效率、滿足業務需求 (例如合約) 或更有效地進行營運。來自 OT 系統的資料通常會直接饋入業務系統，並且可能是營運是否成功的關鍵。前陣子美國油管公司 (Colonial Pipeline) 的事件可直接證明，來自一部業務系統上的勒索軟體導致整個管道運作中斷，因為該業務系統會使用營運資訊。另一個常見的問題是雖然客戶會收集來自 OT 邊界的資料，但沒有將其用於分析或檢視安全威脅。然而日前發生的事件表明了在保護 OT 環境時邊界的重要性。  

此外，Splunk 還發現資安長 (CISO) 和安全長 (CSO) 不僅要監控 IT，還得負責監控 OT 環境。這意味著組織想要同時獲得兩種環境的可見性，瞭解它們的互連性，但也努力或試圖不讓來自 OT 環境的大量雜訊壓垮他們的安全營運中心 (SOC)。Splunk OT Security Add-on 附加元件中包含許多功能，如可以協助安全營運部門主動監控邊界、使用現有技術取得警報和防禦漏洞，以及善用 Splunk 的最新技術，例如以風險為基礎的警報 (Risk-Based Alerting, RBA) 和安全架構 (如 MITRE ATT&CK)。 


Splunk OT Security Add-on 2.1 更新
2021 年 3 月，Splunk 發布了 Splunk 的 OT Security Add-on 第二版，主要是提供與 Splunk 產品的額外整合功能、與合作夥伴的整合以及擴大對 NERC CIP 稽核的保護。今天我們很高興發表該解決方案的 2.1 版，其包括以下主要增強功能：

以邊界安全為重點的儀表板和報告：我們經常遇到一些公司告訴我們他們有從 OT 安全邊界收集資料，但是進一步詢問他們用這些資料做了什麼時，他們承認只是收集而已。以邊界為中心的儀表板和報告能夠專注於穿越邊界的流量 (包括被禁止的流量)、邊界裝置的變更、OT 環境的遠端存取，以及允許客戶以視覺效果查看跨越邊界或跨越 OT 基礎架構的流量。

雲端相容性：視客戶環境需要，Splunk 的 OT Security 可用於內部部署和 Splunk Cloud (在 AWS 或 GCP 上)。這些整合功能可讓合作夥伴的產品與 Splunk Cloud 相容，因為我們的許多合作夥伴都被要求提供雲端相容性整合功能。

RBA 和安全架構：在 Splunk Enterprise Security (ES) 6.6 中，RBA 和安全架構等功能成為 ES 和重點事件 (Notable) 的關鍵元素。這些功能現在可直接用於關聯性搜尋、安全對應和儀表板。

改進的合作夥伴整合功能：我們許多合作夥伴整合功能提供的關鍵欄位可能互不相同，導致客戶無法一致性處理。例如，某合作夥伴可能將一個工程工作站命名為“eng wkst”，而另一合作夥伴將其命名為 “ENG Station”。透過新的整合功能，資產類型等欄位現在可以對應到一組通用的名稱和圖示，或是允許客戶根據自己的要求修改這些對應。這一組新的標準化元件還可直接用於關聯規則、儀表板和其他視覺效果，為附加元件提供更統一的外觀。來自合作夥伴技術的漏洞資訊現在可以直接顯示在使用 Splunk 通用資訊模型的 Splunk 儀表板中。

可用於 ICS 對應的新關聯性搜尋、關鍵安全指標 (KSI) 和 MITRE ATT&CK：在這個版本中，會對現有關聯性搜尋和 KSI 進行徹底分析，包括新增額外的偵測，以使它們運作得更好。新增關聯性規則和 KSI 之後，可以幫助客戶偵測更多可疑行為，並能夠在需要時向管理階層提供報告。

設計和可用性改進：我們聽到了客戶希望如何在 Splunk 中觀看資料的聲音，因此在儀表板中新增了額外的篩選和深入探索連結。這項改變涵蓋與 OT 安全和 NERC CIP 相關的儀表板，為資產類型、特定端點和使用者活動提供額外的篩選器。現在，App 內的儀表板可以更動態地與 Enterprise Security 的現有儀表板連結並一起使用，只需單擊按鈕即可快速提供深入資訊。例如，想要評估資產中不安全通訊協定使用情況的分析人員，現在可以快速查看與特定資產相關的所有流量和通訊協定，並瞭解流量是如何轉送到該資產的。



 
更多雲端整合功能
儘管各組織都處於雲端移轉的不同階段，尤其是在 OT 環境方面，但我們確實看到一些行業和組織開始在雲端採用安全解決方案。我們在 OT 中也看到了這種趨勢，因此 Splunk 的 OT Security Add-on 可同時在內部部署和雲端環境中運作。許多我們的重要 OT 安全合作夥伴也共襄盛舉，致力於確保產品能與 Splunk Cloud 一起使用。事實上，我們的主要雲端 SaaS 合作夥伴之一 AWS 最近發布了更新指南，以在 AWS 中執行 NERC CIP。這些整合還包括了我們的一些技術合作夥伴，他們現在都可以自信地 splunkbase 的相容性列表中展示 Splunk Cloud。

改進的漏洞偵測和整合
OT Security Add-on 使用國家漏洞資料庫 (National Vulnverability Database, NVD) 來嘗試識別 OT 端點上的潛在漏洞。NVD 是一種對已知漏洞進行分類的標準方法，但 NVD 中的描述和指標並不總是一致的。此版本的 App 將提供額外的情報，可幫助您偵測潛在漏洞。

此版本的附加元件還新增了與 Splunk 漏洞資料模型的整合功能。許多 Splunk 客戶或許已經透過各種第三方整合 (例如 OT 安全產品和/或漏洞偵測產品) 引入漏洞資訊。在 2.1 版中，第三方整合完成的偵測可以直接顯示在 OT 漏洞中心儀表板中。這些偵測能提供更多漏洞的深入資訊，幫助您判斷優先性並瞭解它們可能對 OT 環境產生的影響。
 



以風險為基礎的警報和安全架構
Splunk Enterprise Security 6.6 版包含多項重要的增強功能，可幫助使用者利用 RBA 和網路安全架構。這些關鍵功能可以整合到 OT Security Add-on 2.1 版中。

Splunk 的風險分析架構可識別出會升高個人或資產風險狀況的行為。RBA 會透過這個架構提供警報分析和提高準確性來減少警報疲勞，以及隨時可用的「警報說明」。例如，在 OT 環境中使用廠商帳戶登入主機的活動並不常見，因此在某些情況下或許不會被注意到，但卻可能會增加與資產和身分識別相關的風險。此外，當我們看到其他會增加風險評分的事件，例如在同一台電腦上使用外部媒體、執行 powershell 指令碼、清除 Windows 安全日誌、出現額外的登入時，綜合上述高風險行為會產生一個值得注意的重點事件。深入研究這個重點事件之後，我們就可以看到所有導致風險升高的事件、身分和行為，包括每個事件的順序和對風險的影響。SOC 分析人員收到的不再是和風險升高有關的個別事件，而是獲得一個擁有所有必要細節的單一重點事件來進行調查。

我們可以利用獵殺鏈和 MITRE ATT&CK 等安全架構來識別這些有風險的行為，找出攻擊的策略、技術或方法的種類。

下一步
位居網路安全領導地位的用戶會想要獲得更多內容來幫忙引導他們的安全之旅，包括與第三方技術 (例如漏洞、驗證、憑證資訊、SOAR 整合) 的深入整合、OT 環境中更好的可見性、擴充劇本範本庫以及 SOAR 的工作流程，或如何在 OT 環境中使用使用者行為分析等產品。我們每年都會傾聽並回應客戶的意見，繼續對這個解決方案發布多個改進版本。請不吝與我們分享；我們歡迎您的意見。

若要瞭解在 OT 內容中應用 Splunk Security Operations Suite 的更多資訊，請由此處觀看最新說明或下載 Splunk 的 OT Security Add-on 附加元件。如有任何問題、意見或想法，請隨時直接與我們聯繫。

 
作者
Chris Duffey
Chris 是一名資深物聯網從業者，在工業控制系統 (ICS) 領域擁有十年以上的經驗，特別是在石油和天然氣行業。他之前負責過監控多個 SCADA 系統的健康狀況和安全，以及內部營運開發。他知道 Splunk 在改變團隊如何回應系統事件、提高正常執行時間和推動 SCADA 環境中的安全性方面所發揮的作用。他的主要職責是幫助工業領域的客戶瞭解 Splunk 能如何幫助他們解決問題，以及如何改變他們的日常營運和安全。