思科去年并购Sentryo之后,今年基于该公司的产品,推出能同时管理与保护IT、IoT与OT网路的解决方案。
在企业网路环境中,除了常见的个人电脑、服务器、储存系统之外,出现不同性质的连网设备,而形成了所谓的物联网(IoT),同时,许多公司正在建置工业物联网(IIoT),以及自身运用的工业控制系统(ICS)采用的维运科技(OT)网路,也有越来越多机会需要与IT网路互通,于是,这些都成为当前企业网路管理与安全防护的范围。
身为网路设备大厂,思科在1月底举行的Cisco Live 2020 Barcelona大会,发表了物联网安全架构,号称能够横跨IT与IoT环境,提供进阶的网路活动透视与资料分析能力、自动化处理的机制,并且保护当中进行的流程。而这套架构包含了两套产品:Cyber Vision、Edge Intelligence,会透过从IoT边缘端收集与撷取的资料,提升网路运作的效率。
以Cisco Cyber Vision而言,主要的诉求是保护工业网路环境的安全,它源于思科2019年6月并购的法国资安公司Sentryo,而该厂商先前所提供的产品,是针对工业控制系统的资产管理与网路资安解决方案,称为ICS CyberVision 。思科表示,这是第一套经由该公司工业物联网网路产品线,所提供的资产探查解决方案,而且是基于软体而成。
基本上,企业可运用它来分析连网装置的资产资讯,横跨OT与IT环境提供通用的网路状态透视与分析,系统会自动辨识产业设备的资产,防护作业流程,以便降低网路威胁的风险,而不需透过手动复制、贴上这类人工动作来登录资产。
除此之外,用户也能结合Cisco Identity Services Engine (ISE),以及DNA Center,建立网路分割的政策,因应横跨维运科技环境而来的威胁,预防它们进行横向移动,而且背后仰赖的是思科自家维护的Talos威胁情报服务,即时监控当前的网路安全威胁、工业设备的资产内容,以及作业流程,避免影响上线营运期间、生产力与安全性。
面对离散制造业、加工业与公用事业等多种产业的网路环境,Cyber Vision会搭配深度的通讯协定认识,来执行网路流量的被动分析,在保有维运环境的生产力完整性时,也能确保IT与OT安全。
在处理的过程中,Cyber Vision起初会运用深度封包检测技术,来执行资产探查与产业专属流程的解译,并结合OT环境特有的规则与思科Talos的威胁情报,提供即时的异常侦测与监控。
而这里所收集到的资讯,也将关乎Cisco ISE与DNA Center的网路分割政策内容,能让Cyber Vision借此杜绝横跨维运环境网路威胁繁殖的可能性。不过,若要达到这样的需求,Cyber Vision也提供了自动化机制来帮忙。如果没有这样的功能,部分处理的动作需要大量手动作业,而且无法配合持续变更的需求。
在IT安全产品线的整合上,Cyber Vision可搭配ISE提供存取控管,像是装置的身分识别,以及政策的定义与强制实施,做到细部的网路分割,还可以结合思科的次世代防火墙Firepower,以及网路流量分析系统Stealthwatch,分别得到OT资产的详细资讯、产业型资安威胁的侦测能力,以及必要的活动脉络,进而发现异常,而能对IT人员送出警示。
除此之外,这套产品还可以整合其他厂牌的安全事件资讯管理系统(SIEM),像是IBM QRadar、Splunk,企业可以在自家的IT安全维运管理中心,将所有的OT事件收集起来,建构统一的IT-OT安全环境。
