在企业网络环境中,除了常见的个人电脑、服务器、储存系统之外,出现不同性质的联网设备,而形成了所谓的物联网(IoT),同时,许多公司正在建置工业物联网(IIoT),以及自身运用的工业控制系统(ICS)采用的维运科技(OT)网络,也有越来越多机会需要与 IT 网络互通,于是,这些都成为当前企业网络管理与安全防护的范围。
身为网络设备大厂,思科在 1 月底举行的 Cisco Live 2020 Barcelona 大会,发表了物联网安全架构,号称能够横跨 IT 与 IoT 环境,提供进阶的网络活动透视与资料分析能力、自动化处理的机制,并且保护当中进行的流程。而这套架构包含了两套产品:Cyber Vision、Edge Intelligence,会通过从 IoT 边缘端收集与选取的资料,提升网络运作的效率。
以 Cisco Cyber Vision 而言,主要的诉求是保护工业网络环境的安全,它源于思科 2019 年 6 月并购的法国信息安全公司 Sentryo,而该厂商先前所提供的产品,是针对工业控制系统的资产管理与网路安全解决方案,称为 ICS CyberVision 。思科表示,这是第一套经由该公司工业物联网网络产品线,所提供的资产探查解决方案,而且是基于软件而成。
基本上,企业可运用它来分析联网装置的资产资讯,横跨 OT 与 IT 环境提供通用的网络状态透视与分析,系统会自动识别产业设备的资产,防护作业流程,以便降低网络威胁的风险,而不需通过手动复制粘贴来登录资产。
除此之外,用户也能结合 Cisco Identity Services Engine (ISE),以及 DNA Center,建立网络分割的政策,来应对横跨运维科技环境而来的威胁,预防它们进行横向移动,而且背后依赖的是思科自家维护的 Talos 威胁情报服务,即时监控当前的网络安全威胁、工业设备的资产内容,以及作业流程,避免影响上线营运期间的生产力与安全性。
面对离散制造业、加工业与公用事业等多种产业的网络环境,Cyber Vision 会搭配深度的通讯协定认识,来执行网络流量的被动分析,在保证运维环境的生产力完整性时,也能确保 IT 与 OT 安全。
在处理的过程中,Cyber Vision 起初会运用深度封包检测技术,来执行资产探查与产业专属流程的解译,并结合 OT 环境特有的规则与思科 Talos 的威胁情报,提供即时的异常侦测与监控。
而这里所收集到的资讯,也将关乎 Cisco ISE 与 DNA Center 的网络分割政策内容,能让 Cyber Vision 借此杜绝横跨运维环境网络威胁繁殖的可能性。不过,如果要达到这样的需求,Cyber Vision 也提供了自动化机制来帮忙。如果没有这样的功能,部分处理的动作需要大量手动作业,而且无法配合持续变更的需求。
在 IT 安全产品线的整合上,Cyber Vision 可搭配 ISE 提供存取控管,像是装置的身份识别,以及政策的定义与强制实施,做到细部的网络分割,还可以结合思科的防火墙 Firepower,以及网络流量分析系统 Stealthwatch,分别得到 OT 资产的详细资讯、产业型信息安全威胁的侦测能力,以及必要的活动脉络,进而发现异常,而能对 IT 人员送出警示。
除此之外,这套产品还可以整合其他厂牌的安全事件资讯管理系统(SIEM),像是 IBM QRadar、Splunk,企业可以在自家的 IT 安全运维管理中心,将所有的 OT 事件收集起来,建构统一的 IT-OT 安全环境。
产品资讯
- Cisco Cyber Vision
- 原厂:Cisco
- 建议售价:厂商未提供
- 产品元件:感测器硬件设备 IC3000 Industrial Compute Gateway、管理中心硬件或虚拟应用设备
- 管理中心硬件设备系统需求:16核心 Xeon 2.3 GHz、64GB内存、800GB SSD RAID-1或RAID-10
- 虚拟应用设备系统需求:VMware ESXi 6.x、4核心 Xeon、8GB内存、50GB SSD
閱讀更多 AI智慧 的文章
