橫跨IT與OT，思科推出整合網路透視、自動化與防禦的方案

橫跨IT與OT，思科推出整合網路透視、自動化與防禦的方案

思科去年併購Sentryo以後，今年基於該公司的產品，推出能同時管理與保護IT、IoT與OT網路的解決方案。

在企業網路環境中，除了常見的我的電腦、服務器、儲存系統以外，出現不一樣性質的連網設備，而造成了所謂的物聯網（IoT），同時，許多公司正在建置工業物聯網（IIoT），以及自身運用的工業控制系統（ICS）採用的維運科技（OT）網路，也有愈來愈多機會須要與IT網路互通，因而，這些都成爲當前企業網路管理與安全防禦的範圍。

身爲網路設備大廠，思科在1月底舉行的Cisco Live 2020 Barcelona大會，發表了物聯網安全架構，號稱可以橫跨IT與IoT環境，提供進階的網路活動透視與資料分析能力、自動化處理的機制，而且保護當中進行的流程。而這套架構包含了兩套產品：Cyber Vision、Edge Intelligence，會透過從IoT邊緣端收集與擷取的資料，提高網路運做的效率。

以Cisco Cyber Vision而言，主要的訴求是保護工業網路環境的安全，它源於思科2019年6月併購的法國資安公司Sentryo，而該廠商先前所提供的產品，是針對工業控制系統的資產管理與網路資安解決方案，稱爲ICS CyberVision 。思科表示，這是第一套經由該公司工業物聯網網路產品線，所提供的資產探查解決方案，並且是基於軟體而成。

基本上，企業可運用它來分析連網裝置的資產資訊，橫跨OT與IT環境提供通用的網路狀態透視與分析，系統會自動辨識產業設備的資產，防禦做業流程，以便下降網路威脅的風險，而不需透過手動複製、貼上這類人工動做來登陸資產。

除此以外，用戶也能結合Cisco Identity Services Engine （ISE），以及DNA Center，創建網路分割的政策，因應橫跨維運科技環境而來的威脅，預防它們進行橫向移動，並且背後仰賴的是思科自家維護的Talos威脅情報服務，即時監控當前的網路安全威脅、工業設備的資產內容，以及做業流程，避免影響上線營運期間、生產力與安全性。

面對離散製造業、加工業與公用事業等多種產業的網路環境，Cyber Vision會搭配深度的通信協定認識，來執行網路流量的被動分析，在保有維運環境的生產力完整性時，也能確保IT與OT安全。

在處理的過程當中，Cyber Vision起初會運用深度封包檢測技術，來執行資產探查與產業專屬流程的解譯，並結合OT環境特有的規則與思科Talos的威脅情報，提供即時的異常偵測與監控。

而這裏所收集到的資訊，也將關乎Cisco ISE與DNA Center的網路分割政策內容，能讓Cyber Vision藉此杜絕橫跨維運環境網路威脅繁殖的可能性。不過，若要達到這樣的需求，Cyber Vision也提供了自動化機制來幫忙。若是沒有這樣的功能，部分處理的動做須要大量手動做業，並且沒法配合持續變動的需求。

在IT安全產品線的整合上，Cyber Vision可搭配ISE提供存取控管，像是裝置的身分識別，以及政策的定義與強制實施，作到細部的網路分割，還能夠結合思科的次世代防火牆Firepower，以及網路流量分析系統Stealthwatch，分別獲得OT資產的詳細資訊、產業型資安威脅的偵測能力，以及必要的活動脈絡，進而發現異常，而能對IT人員送出警示。

除此以外，這套產品還能夠整合其餘廠牌的安全事件資訊管理系統（SIEM），像是IBM QRadar、Splunk，企業能夠在自家的IT安全維運管理中心，將全部的OT事件收集起來，建構統一的IT-OT安全環境。