Гибридный мониторинг повысит безопасность ICS/SCADA-систем

Гибридный мониторинг повысит безопасность ICS/SCADA-систем

Гибридная система, включающая пассивный и активный мониторинг, поможет составить полную картину трафика в сети.

image

В последнее время все больше внимания уделяется кибербезопасности промышленных предприятий и систем. На сегодняшний день более десятка компаний предлагают решения для мониторинга и обнаружения аномалий в сети, использующие систему DPI (Deep Packet Inspection). Deep Packet Inspection - технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому. DPI может принимать решение не только по содержимому пакетов, но и по косвенным признакам, присущим каким-то определенным сетевым программам и протоколам.

Один из существенных вопросов заключается в том, должен ли мониторинг быть полностью пассивным или иметь активный компонент, отмечает эксперт компании Digital Bond Дэйл Питерсон (Dale Peterson). По его словам, пассивная система мониторинга больше привлечет менеджеров промышленных предприятий и инженеров SCADA-систем, обеспокоенных риском сбоя в работе промышленных систем, вызванным средствами обеспечения безопасности. Такой сценарий был распространенным явлением более пяти лет назад, когда негативное тестирование стеков протоколов практически не проводилось.

Активный компонент, использующий промышленный протокол для сбора информации о компьютерах, приложениях и компонентах, представляет большую ценность для систем обнаружения аномалий в сети, считает Питерсон.

По его словам, гибридная система, включающая пассивный и активный мониторинг, будет периодически проверять компоненты, используя легитимные команды протокола. Таким образом станет возможно сформировать исходную базу данных, определяющую авторизованные системы промышленного контроля. Активный мониторинг будет полезен для составления полной картины трафика в сети.

Как отметил Питерсон, реализация возможности активного мониторинга во всех решениях для обнаружения аномалий в сети - всего лишь вопрос времени. Предприятия смогут использовать данную возможность либо только один раз при инсталляции решения, либо в случае сбоя в работе промышленных систем управления, либо вообще никогда.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle