能力 5. 提供安全监控和事件响应

此功能支持 AWS SRA 物联网最佳实践中的最佳实践 9 和 10。

Capability 5 侧重于在物联网、T、O IIo T、边缘和云环境中实施全面的安全监控和事件响应机制。该功能包括部署日志和监控机制、集中管理安全警报，以及针对混合 OT 和 IT 架构的独特挑战量身定制的事件响应手册和业务连续性计划。

理由

OT、IoT 和 IIo T 技术与传统 IT 系统和云服务的集成引入了新的攻击载体，并扩大了整个网络攻击面。安全事件可以起源于 OT 环境并传播到 IT 系统，也可以起源于 IT 系统并传播到 OT 环境。因此，在整个攻击面上实施全面的安全监控至关重要。实施此功能使组织能够：

• 在 OT、IoT、 IIo T、边缘和云环境中建立统一的安全视图。

• 实时检测和响应安全异常和威胁。

• 面对网络事件，保持运营连续性。

• 增强整体网络安全弹性，减少安全漏洞的潜在影响。

此外，制定专为云连接的 OT 和 IIo T 工作负载量身定制的事件响应手册和业务连续性计划，可确保组织能够有效地管理安全事件并从中恢复。这种积极主动的方法可以最大限度地减少停机时间，帮助防止财务损失，并在发生安全漏洞或运营中断时保护组织的声誉。

安全性注意事项

此功能解决的主要考虑因素是，由于对 OT 和 IT 环境的监控相互孤立，安全事件的检测可能会延迟。无法关联这些不同技术堆栈中的安全事件，这可能会使情况更加复杂。这种碎片化通常会导致对工业网络流量和异常的可见性不足，并使关键系统面临未被发现的事件。此外，现代工业系统的相互关联性质有可能导致级联故障，即一个区域内的安全事件可以在互联的 OT 和 IT 系统中迅速传播，并可能放大事件的影响。

另一个重要问题是，在处理混合 OT/IT 安全事件时，传统的响应程序不兼容，这需要专业知识和跨多个领域的协调行动。鉴于针对工业流程的网络物理事件的威胁越来越大，这一点尤其重要。此外，互连的 O IIo T 和 T 系统的独特性通常意味着安全事件发生后的恢复机制可能不足，并可能导致长时间的停机时间和运营中断。

下图显示了 IT 和 OT 系统的统一系统和组织控制 (SOC) 架构。

补救措施

安全日志和监控

使用集中式 S AWS ecurity Hub CSPM 和 Amazon Security Lake 服务来捕获和处理与物联网、 IIo T 和云互联的 OT 解决方案以及组织其他部门相关的事件。 AWS 使用单独的问题、职责、IAM 权限集和身份中心分配来确定哪些团队可以更改专门用于 O IIo T、T 和 Industrial 隔离账户资源的配置。 AWS 账户 所有安全事件都可以发送到 Security Hub CSPM，以集中查看您的 OT、IoT、 IIo T、边缘和云环境中的安全发现。查看 AWS SRA 的 “日志存档帐户” 部分中的日志和监控建议。

通过在 Security Lake 中集成 IT 和 OT 安全数据来实施统一的 SOC，这可以在 IT 和 OT 环境中提供广泛的可见性，实现协调的威胁检测、更快的事件响应以及在环境之间即时共享危害指标 (IoCs)。这样可以更好地了解 OT、IoT、 IIo T、边缘和云环境中的威胁路径和来源。合作伙伴物联网、 IIo T 和 OT SaaS 解决方案部分展示了如何使用 AWS Partner Network (APN) 提供商和其他提供商的 O IIo T 和 T 安全监控解决方案来补充所 AWS提供的物联网边缘和云安全服务。

事件响应

首先确定特定于您的部署的潜在事件场景，例如物联网设备或边缘网关泄露、运营数据泄露或工业流程中断。对于每种情况，创建详细的响应程序（行动手册），其中概述了检测、遏制、根除和恢复的步骤。这些行动手册应明确界定角色和职责、沟通协议和上报程序。使用桌面练习来测试这些剧本。这些演习测试了程序，并教育了在实际持续发生的事件压力下必须执行这些程序的团队。

实施持续的运行状况检查和监控系统，以便在异常升级为重大事件之前对其进行检测。尽可能自动执行初始响应操作，以快速控制事件并将系统恢复到已知良好的状态。随着物联网环境的成熟，请定期查看和更新这些行动手册以应对新的威胁，并吸取从以前的事件或模拟中吸取的经验教训。

为了实现业务连续性和灾难恢复，请为故障或中断期间的系统行为定义明确的参数。确定系统应失效开启还是关闭，恢复是自动恢复还是需要人工干预，以及应在何种条件下启用或禁用手动控制。这些决策应基于系统的关键性以及对安全、运营和环境的潜在影响。测试您的连续性和恢复计划，确保它们在各种情况下都能按预期运行。