博客

利用威胁追踪技术捍卫运营安全

您拥有强有力的工业信息安全计划。您遵循良好的网络卫生习惯整顿网络环境，并部署侵入检测系统来预防未来风险。但在纷繁复杂的网络安全领域，您不能就此止步。

即使如此周密布置，潜在的高级持续性威胁 (APT) 仍然是隐忧。它们的潜伏期很长，企图在您的“铜墙铁壁”中找到疏漏之处，攫取数据，最终让生产运营陷入瘫痪。而入侵检测并不能捕获这种攻击行为。

是时候采用威胁追踪技术了

威胁追踪是您下一步需要在网络安全计划中采取的逻辑步骤之一。用最简单的话来讲，您需要检查网络中是否存在自动安全系统无法感知到的外部威胁或入侵行为。这是一项扩展性很强的策略，其适用于不同的自动化级别，甚至是自动化零起步厂商。

它不仅能进一步保护您的专有配方和信息，还有望显著提升运营效率。威胁追踪对于信息技术领域不再是新鲜事，如今正在逐步走进运营技术领域。而这是食品饮料行业从中获益最多的部分。

威胁追踪属于主动式安全策略，相对于现有的扫描工具、陷阱技术以及面向未来的网络基础设施另辟蹊径。在高科技时代，其采用灰质技术揭示隐匿在网络中数月乃至数年的恶意活动和渗透行为。此外，它还能找出网络活动与生产效率低下之间的相关性，这是其它方法难以做到的。

疯狂肆虐却难以预料的侵袭行为

您注意到您的搅拌机出现异常了吗？人机界面被无故锁定？标签打印机指示灯闪烁报错？

使用未采取安全保护措施的的 USB 端口充电。几个月后，您的烤箱开始出现异常，无法保留设定过的参数，但烤箱的机械装置并无问题。

仔细审查网络日志后，您发现每当烤箱出现异常时，就会有网络信标流向一个外部 IP 地址。这种相关性难以察觉，人为因素的严重性以及威胁追踪的巨大价值也就显露无疑。

在某个班次，我来到了一家反复出现网络延迟的工厂。借助主动式威胁追踪，我们发现一名员工的工作站上正在运行一种无法被检测到的 BT 客户端。因此，每天班次开始时都会登录到 BT 客户端，导致整个网络受到影响。

Learn about managing cybersecurity risks in the food and beverage industry with smart manufacturing. Download the eBook for more (PDF).

为什么入侵检测系统无法捕获所有恶意软件？

威胁追踪技术揭示的多数威胁看似无害，由于缺乏情境和相关性依据，它们会照常通过检测系统的审查。恶意软件与未知 IP 地址相通，却能伪装成正常网络通信。

此外，还有在外围设备上运行的 SYN 扫描工具，其超出了安全软件所能检测的范围。它们消无声息，耐心地查找网络中的安全漏洞。这些手段无法被封阻，也不会建立外部链接，因此我们很难检测到它们。

在威胁追踪技术的实际应用中，您会发现一个原本不应连接外网的进程正在建立出站连接。或者，您会发现某个系统在建立通信时未被使用，这表示它是感染源头。

事实是，这些高级持续性威胁 (APT) 在您部署网络安全系统时就已经存在。这是因为多数入侵检测和预防计划都基于已知的良好状态。如果其入手的网络基础环境存在通信不畅或恶意软件活动，它们也会成为整个体系的一部分。许多被公开的安全漏洞也归于此列。当某个安全漏洞出现后，往往几年后才能检测到它并认识到其危害范围。

着手起步

幸运的是，您很可能已经拥有着手起步所需的资源。只要选对合作伙伴，就能轻松地实施威胁追踪策略，它既可作为单独的一次性活动，也将其纳入正在实施的安全计划。您的人机界面和服务器可以创建活动日志，供您在线收集和分析，不会对网络产生压力或导致生产中断。

所以，想要检测您的工厂是否易受攻击，单凭端点保护技术和病毒扫描工具远远不够。主动出击追踪渗透行为，才能保障您的工厂运营不受影响。

发布时间 2018年11月7日

Pascal Ackerman

Senior Consultant of Industrial Cyber Security, Rockwell Automation

联系:

欢迎订阅Rockwell Automation资讯，我们会将热点新闻、领先理念、前沿信息发送至您的邮箱。

内容推荐