超越安全事件和 Splunk 合规性

安全事件和遵从性与Splunk 超越安全事件和对 Splunk |的合规性斯普伦克2Splunk® 平台旨在调查、监控、分析和处理任何时间段内任何规模、任何来源的数据。我们称之为数据到一切™平台，它消除了数据和行动之间的障碍，因此组织（无论规模或业务如何）都可以自由地在整个组织中交付有意义的成果。Splunk 独特的数据方法使公司能够提高服务水平、降低运营成本、降低风险、增强 DevOps 协作并创建新的产品和服务产品。数据是我们不断变化的世界的中心，它带来了挑战和机遇。随着我们进入数字时代，云迁移的复杂性，网络从从4G到5G，连接设备的数量接近800亿，自动化变得更加融入我们的生活。组织可以用来解决这些挑战的最重要（也是经常被忽视的）资源之一是数据。能够利用这些转型的力量和他们创造的数据的公司将更加高效、盈利、创新，最终更加安全。特别是对于电力公司，Splunk以安全事件而闻名，因为在2016年开始实施该标准之前的几年中，随着CIP版本5的扩展要求，Splunk引起了业界的关注。本文介绍了 Splunk 如何提高安全计划的有效性，如何在 CIP-005 和 CIP-007 的狭隘应用之外实现合规性计划和流程，并且是 IT、OT 和业务运营团队的强大工具。 表的内容安全合规之外,提高安全性和能见度4.......................................................................................6cip - 005 - 8cip - 006 - 8cip - 007 - 9cip - 008 - 9cip - 009 - 10cip - 010 - 10cip - 011 - 11所示cip - 013 - 11所示 超越安全事件和对 Splunk |的合规性斯普伦克4超越合规性的安全性，增强安全性和可见性北美电网的所有者和运营商正面临着来自行业目标网络攻击的更多挑战。他们还在应对更广泛的威胁，如勒索软件和数据盗窃，这些威胁正在打击各种规模的全球组织。这一切都发生在电力行业趋向于提高计算机自动化趋势的同时，两者都有更大的车队。输配电互联发电、储能、潮流优化设备和更精细的能源市场服务。世界各地的控制室正在提高电网的可见性，以获得更好、更及时的态势感知，但“看不见的基础设施”——使现代控制系统成为可能的机器、人员和流程——可能仍然使用上个千年的范式进行管理。这带来了许多挑战，例如：•长期以来，缺乏可见性一直被认为是决策不善的关键因素•像臭名昭著的2014年电影制片厂黑客攻击这样的备受瞩目的安全故障产生了数百万个警报，安全分析师从未见过这些警报，但为时已晚。•2015年乌克兰停电攻击将营利性攻击者嵌入控制系统网络数月，然后将访问权限交给国家行为者•2017年的WannaCry恐慌发现许多实用程序询问他们有多少易受攻击的系统以及它们可能在哪里，关于易受攻击的Windows软件嵌入在哪里的答案非常有限。•资源充足的APT有时间和耐心将次要安全漏洞转化为广泛的妥协，并了解关键基础设施的价值扩大提供对大型输电变电站实时访问的控制 - 即使它们已根据关键基础设施保护（CIP）标准进行保护，并且由于其在大容量电力系统（BES）运行中的焦点作用而受到工程和技术资源的关注 - 可能会导致更大的攻击面需要防御， 即使单个系统不会构成很大的风险，因为它们是与高级配电管理系统（ADMS）或分布式能源管理系统（DERMS）相关联。 超越安全事件和对 Splunk |的合规性斯普伦克5业务合规之外Splunk 平台可用于支持运营和共享业务问题，包括重复记录流程的劳动力，而不是从工作流中构建所需的文档，从而获得这项工作。通信路径很少会在没有通知的情况下出现故障，并且在无法使用之前很久就会表现出退化。维护流程和自动化可能会在设备或数据发生可预防的损坏之前数月失效。可见性不仅是为了阻止攻击者;它还用于向内看并改善日常运营和业务流程。现有的行业战略通常将监视和管理整合到范围狭窄的解决方案中，例如供应商专有的管理软件，或者尝试扩展SCADA系统，以涵盖传统电力运营和工程要求之外的遥测数据。虽然实时 SCADA、历史数据归档和整体式供应商工具功能强大且在其领域内经过充分测试，但也存在过度扩展关键软件、流程和员工以满足与其核心功能不匹配的需求的风险。Splunk不仅对大规模机器数据分析具有更强的适应性，而且还提供了更清晰地整合来自不同部门的数据的机会，而且由于许多所有者和运营商正在寻找可再生能源领域，分散在多个独立公司中经常有不同的负责任的利益相关者。 超越安全事件和对 Splunk |的合规性斯普伦克6国际马铃薯中心的基础上NERC,总之北美电力可靠性委员会最初由美国FERC于1968年成立（作为国家电力可靠性委员会），并于2006年进行了改革，是美国大陆，加拿大和墨西哥下加利福尼亚州部分地区的电力可靠性组织。作为公认的国际监管机构，NERC有权创建和执行为超过4亿人提供服务的电力系统所有者和运营商的法规。NERC制定的标准涵盖了从发电调度到控制树木和其他植被的责任，并包括关键基础设施保护（CIP）。CIP要求主体实体保护并说明维持大容量电力系统（BES）运行的电子设备，发电机和高压输电网，提供现代城市和工业所依赖的电力。CIP 于 2007 年首次实施，并进行了重大修订，以满足对有效安全流程和 BES 面临的威胁不断变化的理解，CIP 包括：cip - 002 - 5.1 - a网络安全- BES网络系统分类12/27/2016cip - 003 - 8网络安全——安全管理控制4/1/2020cip - 004 - 6网络安全人员与培训7/1/2016cip - 005 - 5网络安全,电子安全周长(s)7/1/2016cip - 006 - 6网络安全 — BES 网络系统的物理安全7/1/2016cip - 007 - 6网络安全,系统安全管理7/1/2016cip - 008 - 5网络安全 — 事件报告和响应计划7/1/2016cip - 009 - 6网络安全 — BES 网络系统的恢复计划7/1/2016cip - 010 - 2网络安全 — 配置更改管理和漏洞评估7/1/2016cip - 011 - 2网络安全信息的保护7/1/2016cip - 014 - 2物理安全10/2/2015（供应链管理的其他标准将于2020年10月1日开始实施。 超越安全事件和对 Splunk |的合规性斯普伦克7...人员风险评估、培训和安全意识，以支持保护 BES 网络系统cip - 004 - 6人员和培训有远见的组织明白，CIP 为安全提供了必要的底线，但这只是创建安全态势以保护其资产、设施和整个电网的开始。对严重违规行为的罚款威胁使违规行为付出了高昂的代价，但未能保持可靠和安全的运营会导致更大的收入损失、恢复成本，并减损生命安全设备和关键基础设施。cip - 002和cip - 003cip - 002 - 5.1 - aBES网络系统分类识别和分类BES网络系统及其相关的BES网络资产...cip - 003 - 8安全管理控制指定一致和可持续的安全管理控制...Splunk 可能没有用于执行 CIP-002 的一键式解决方案，但生成的分类和 BES 网络系统名称、影响和相关电子安全边界 （ESP） 可以从这些过程的各种外部结果。这不仅可以清楚地显示报告和仪表板的合规性信息，还可以与人员和自动化的深入分析相关联。对于可能在数十个变电站或发电关系中拥有BES网络系统的大型公用事业公司，这种清晰度可以帮助将可能较小的低影响设备警报与具有所需响应时间的关键中等影响警报区分开来。cip - 004CIP-004程序受到人力资源和其他业务管理团队的严重影响，与大多数计算机安全标准相比，它以独特的方式与许多人的问题进行了交互。斯普伦克的数据-to-Everything 平台使组织能够将纯人员流程、人力资源数据库和学习管理系统的结果汇集在一起，以全面跟踪和呈现合规性目标。Splunk 旨在摄取不同的数据集并回答诸如“在 ESP 中记录交互式登录的人是否像当时一样不在授权个人列表中？CIP-004-6 R4 季度访问审查通常是 CIP 计划中负责人的最大时间成本和人为错误的常见来源之一促进此类访问审查的相同自动化也可以填充经理和合规人员的合规性指标，包括那些通常无法访问 BES 网络系统信息存储库的人员，甚至可以完全在 CIP 之外用于报告目的。 cip - 005cip - 006超越安全事件和对 Splunk |的合规性斯普伦克8聚合防火墙和 IDS/IPS 馈送只是 Splunk 为公用事业数据网络运营提供的开始。CIP-005 的最新版本增加了检测潜在恶意流量的额外要求。虽然入侵检测/防御系统仅执行流量检查，但 Splunk 可以从更广泛的角度分析事件，以强调新威胁，并将来自 MITRE 或 ES-ISAC 的漏洞警报与全球威胁感知相关联，从而为网络运营提供更好的见解并自动编目数据以进行合规性报告。集成高级查询功能可以提供有关潜在 ESP 流量问题的报告，验证远程访问是否符合 CIP-005 R2 加密和中间系统要求，并以计划或按需证据的形式提供所有这些。与许多实施 CIP-004 控制的目的驱动型流程和系统一样，Splunk 提供了丰富的查询和报告机会，这是访问控制市场中常见的许多供应商专有解决方案所没有的。除了跟踪在何处使用哪个徽章外，Splunk 还可以集成多个访问控制供应商的日志记录，以结合 PSP 和访客管理报告、CIP 和非 CIP 设施的警报，或使用编排将链接与视频监控应用程序或区域紧急服务或执法部门的外部联系信息联系起来。通过指定受控的电子安全边界来管理对BES网络系统的电子访问cip - 005 - 5电子安全周长通过指定物理安全计划来管理对批量电气系统 （BES） 网络系统的物理访问......cip - 006 - 6BES Cyber-Systems的物理安全 cip - 007cip - 008超越安全事件和对 Splunk |的合规性斯普伦克9虽然围绕访问日志和恶意软件警报的检测控制可能是推动电力行业采用 Splunk 的原因，但这些只是可用于感知和分析的事件数据的一小部分。现代计算机甚至简单的专用变电站自动化设备可以产生的大量机器数据通常对于管理员和管理人员来说过于庞大，并且其中大部分被必要地忽略了。Phantom playbook 等高级数据分析和编排为有限的员工提供了应对日益计算机化世界的能力，并有助于减轻与 CIP-007 R2 补丁管理、变更管理相关的安全控制测试以及与网络系统基线相关的端口和服务偏差相关的劳动密集型证据创建。凭借符合 CIP-005 和 CIP-007 的事件数据，Splunk 最初是 CIP 事件响应的领先侦探控制、调查工具和数据保存机制。Splunk 可以包含 CVE 或 ES-ISAC 警报，以与潜在的相关事件相关联，并且将 Splunk 集成到具有 BESCI 混淆功能的企业或云实例可以为任何调查带来更多资源和可见性。Phantom 可以启动自动证据收集或常见调查操作，为分析师提供更多的态势感知能力，并在事件响应方面领先一步。通过指定选定的技术、操作和程序要求来管理系统安全性...cip - 007 - 6系统安全管理通过指定事件响应要求来降低网络安全事件对 BES 可靠运行的风险。cip - 008 - 5事故报告和响应计划 cip - 009cip - 010超越安全事件和对 Splunk |的合规性斯普伦克10自动备份失败通知和完整性检查似乎是 1990 年代的一个问题，但缺乏 IT 基础架构自动化（如备份或数据存档）的可见性是数据丢失事件中反复出现的主题。在 ICS 和 SCADA 环境中，系统可能在没有直接人工交互的情况下运行多年，因此仪器更加重要。Splunk 不仅提供其丰富的分析和归档功能，而且实