在企業網絡環境中,除了常見的個人電腦、服務器、儲存系統之外,出現不同性質的聯網設備,而形成了所謂的物聯網(IoT),同時,許多公司正在建置工業物聯網(IIoT),以及自身運用的工業控制系統(ICS)採用的維運科技(OT)網絡,也有越來越多機會需要與 IT 網絡互通,於是,這些都成為當前企業網絡管理與安全防護的範圍。
身為網絡設備大廠,思科在 1 月底舉行的 Cisco Live 2020 Barcelona 大會,發表了物聯網安全架構,號稱能夠橫跨 IT 與 IoT 環境,提供進階的網絡活動透視與資料分析能力、自動化處理的機制,並且保護當中進行的流程。而這套架構包含了兩套產品:Cyber Vision、Edge Intelligence,會通過從 IoT 邊緣端收集與選取的資料,提升網絡運作的效率。
以 Cisco Cyber Vision 而言,主要的訴求是保護工業網絡環境的安全,它源於思科 2019 年 6 月併購的法國信息安全公司 Sentryo,而該廠商先前所提供的產品,是針對工業控制系統的資產管理與網路安全解決方案,稱為 ICS CyberVision 。思科表示,這是第一套經由該公司工業物聯網網絡產品線,所提供的資產探查解決方案,而且是基於軟件而成。
基本上,企業可運用它來分析聯網裝置的資產資訊,橫跨 OT 與 IT 環境提供通用的網絡狀態透視與分析,系統會自動識別產業設備的資產,防護作業流程,以便降低網絡威脅的風險,而不需通過手動複製粘貼來登錄資產。
除此之外,用戶也能結合 Cisco Identity Services Engine (ISE),以及 DNA Center,建立網絡分割的政策,來應對橫跨運維科技環境而來的威脅,預防它們進行橫向移動,而且背後依賴的是思科自家維護的 Talos 威脅情報服務,即時監控當前的網絡安全威脅、工業設備的資產內容,以及作業流程,避免影響上線營運期間的生產力與安全性。
面對離散製造業、加工業與公用事業等多種產業的網絡環境,Cyber Vision 會搭配深度的通訊協定認識,來執行網絡流量的被動分析,在保證運維環境的生產力完整性時,也能確保 IT 與 OT 安全。
在處理的過程中,Cyber Vision 起初會運用深度封包檢測技術,來執行資產探查與產業專屬流程的解譯,並結合 OT 環境特有的規則與思科 Talos 的威脅情報,提供即時的異常偵測與監控。
而這裡所收集到的資訊,也將關乎 Cisco ISE 與 DNA Center 的網絡分割政策內容,能讓 Cyber Vision 藉此杜絕橫跨運維環境網絡威脅繁殖的可能性。不過,如果要達到這樣的需求,Cyber Vision 也提供了自動化機制來幫忙。如果沒有這樣的功能,部分處理的動作需要大量手動作業,而且無法配合持續變更的需求。
在 IT 安全產品線的整合上,Cyber Vision 可搭配 ISE 提供存取控管,像是裝置的身份識別,以及政策的定義與強制實施,做到細部的網絡分割,還可以結合思科的防火牆 Firepower,以及網絡流量分析系統 Stealthwatch,分別得到 OT 資產的詳細資訊、產業型信息安全威脅的偵測能力,以及必要的活動脈絡,進而發現異常,而能對 IT 人員送出警示。
除此之外,這套產品還可以整合其他廠牌的安全事件資訊管理系統(SIEM),像是 IBM QRadar、Splunk,企業可以在自家的 IT 安全運維管理中心,將所有的 OT 事件收集起來,建構統一的 IT-OT 安全環境。
產品資訊
- Cisco Cyber Vision
- 原廠:Cisco
- 建議售價:廠商未提供
- 產品元件:感測器硬件設備 IC3000 Industrial Compute Gateway、管理中心硬件或虛擬應用設備
- 管理中心硬件設備系統需求:16核心 Xeon 2.3 GHz、64GB內存、800GB SSD RAID-1或RAID-10
- 虛擬應用設備系統需求:VMware ESXi 6.x、4核心 Xeon、8GB內存、50GB SSD
閱讀更多 AI智慧 的文章
