Потрібен SOC для OT/ICS середовища, які особливості моніторингу?
Чому OT SOC відрізняється від класичного SOC? Операційні технології (OT) та промислові системи управління (ICS) мають інші ризики та обмеження, ніж корпоративні ІТ-мережі. Основна мета OT — безперервність виробництва та фізична безпека, а не лише конфіденційність даних. Типові OT-активи:● PLC;● RTU;● HMI;● SCADA;● DCS;● Historian-сервери;● промислові шлюзи. Основні особливості моніторингу Пасивний збір данихАктивне сканування часто заборонене.SOC використовує:● SPAN;● TAP;● мережеві сенсори. Аналіз промислових протоколівНеобхідно контролювати:● Modbus;● DNP3;● IEC 104;● OPC UA;● PROFINET;● BACnet. Контроль змінКритично важливо виявляти:● зміну логіки PLC;● перепрошивку контролерів;● зміни конфігурацій. Найважливіші OT Use Cases● Нова PLC у мережі.● Неавторизоване програмування контролерів.● Зміна firmware.● Порушення сегментації IT/OT.● Використання інженерних станцій поза графіком.● Віддалений доступ до SCADA.● Підключення USB до HMI.● Підозріла активність у Modbus.● Аномальні команди запису.● Втрата зв'язку з критичними вузлами. Архітектура OT SOCЗазвичай включає:● OT NDR;● SIEM;● Threat Intelligence;● Asset Discovery;● SOC-аналітиків з досвідом ICS. Популярні рішення:Nozomi NetworksClarotyMicrosoft Defender for IoTDragos Platform SOC для OT/ICS не є звичайним SOC із додатковими логами. Він вимагає спеціалізованих сенсорів, знання промислових протоколів, пасивного моніторингу та окремих сценаріїв детекції, орієнтованих на безпеку виробничих процесів і критичної інфраструктури.