诸子云｜话题：工控网络怎分区？siem/soc怎集成？IAST怎选择？

 ☝戳上方查看往期“诸子云话题”

话题一

工控网络分区有什么好的建议？

观点1：我知道有一家企业是分为5个区的，1-3是工控设备区，4和5是信息区。我们这里的分区方法是工控办公区，PLC控制区，设备一区，设备二区，设备三区，边界防护区，监控管理区。

观点2：工控网络分区建议大致分为三个区域管控足以：

1.研发测试区域：用于部署工控类开发、测试服务器；

2.生产工控区域：用于部署自动控制生产车间现场设备的生产类系统。其内部区域可以依据系统功能进行逻辑区分；

3.运维管理区域：用于部署特殊运维类、安全类旁路系统。其内部区域划分可依据系统功能进行逻辑区分，如运维安全区域、日志存储区域等。

工控网络分区应与工业企业自身的系统特点相结合，根据各子系统安全防护等级、物理位置分布、承载业务情况、网络连接情况等属性，对工业控制网络内部进行区域划分。且工控网络分区并不是越细越好，应以保障业务稳定可靠运行为前提。

——木链科技

传统网络的分区分域原则并不完全适用工控网。为保障生产安全、业务可用性和连续性，工控网络需要根据其行业生产流程的定义，严格按照国家/行业标准进行规划。因此在符合标准规范以及保障可用性的基础上，可依据各流程/工序段内设备的业务属性和功能属性进行逻辑划分以保障相对细化的网络分区控制，另外，如果生产网与办公网存在数据联通的情况，建议在两网之间部署数据隔离交换装置，尽量避免办公网与生产网直接交互数据。

——启明星辰

话题二

报告显示有42%的siem/soc产品可以实现SOAR自动化编排响应，他们是怎么跟其他安全产品集成的？

观点1：我认为现有的产品其实并没有完全实现SOAR自动化编排响应，因为很多产品都没有自动化API接口，而自动化的前提是人工实现，如果本身就需要人工实现了，那这些soc产品的SOAR功能，恐怕也只能对接下自己同一品牌的产品，不然就要开发自动化脚本。

观点2：SOAR的重点是场景，这一点是甲方需要提前想好的。SOAR的前提是明确已经在run的流程和责任，然后通过API和脚本对接。一般来说soc厂商都可以通过定制化的服务来帮助甲方进行实施，前提是你要考虑清楚自己需要什么。

观点3：其实很多乙方人员都对除自家以外的产品并不了解，最怕是提供了和甲方不匹配的，然后又出生产事件了。所以我建议是甲方先明确好自己的流程、业务规则，然后让乙方提供他们自己最熟悉的能力，比如日志接入、字段无法理解、自动化等技术问题把厂商叫来；场景、处理流程等问题，甲方自己解决。专业的人做专业的事。

观点4：主流的接入是没问题的，这是基准入市要求。但自动化运维的use case，你得起个咨询吧，至少不是单纯产品的问题。测试通过，都没问题上线了也要有不短的试运行期，少一点锅。还有前面的日志采集也是的，我自己用logstash去实现过一些产品的结构化，这不是有什么通用的方法的，每个都得写策略去解析。但国内有特例，就是甲方use case “转移”，所以案例丰富的乙方，有“优势”。

观点5：这个嘛，这么些年的实践，哪家都有积累了，日志解析模式和库都固化和快速累积了，除了内部不正规的应用日志格式和位置问题，只要标准产品都会有的，相信乙方的专业和对市场的敏感度。甚至一定程度上，开源也好，改造的也好，纯商业版权的也好，会帮助解决你架构部署的问题

观点6：我持保留观点，往平台只接特别品牌的特别版本，而且现在的siem 底层大多也是elk那套，SOAR厂商只会给些通用框架的自动化playbook，更多是poc性质，不能拿来就用，也不能厂商说什么你就信。

SOAR一个最核心的功能就是与各种安全产品和系统集成，SOAR通常都内置一个应用集成框架，采用产品原生的接口将各类产品的功能包装成一个个APP（应用），并封装成内部的指令集。SOAR的剧本中可以编排这些指令。剧本执行的时候，会将这些指令翻译为原生接口调用，实现产品功能的调用。剧本中调用产品的功能五花八门，取决于应用接口，不限于黑白名单策略下发。应用都要提前开发，通常提前开发好内置到SOAR产品中。对于SOAR不支持的产品，就需要进行应用开发。如果有应用开发框架，用户可以自行开发（利用java或者python）。

——奇安信

话题三

企业在选择IAST产品的时候应该注意什么？

观点1：国内像奇安信、开源网安、安全元素、悬镜安全、默安科技、灵芝这几家都有IAST的产品，可以参考一下。

观点2：openrasp也带IAST模块，但是基于实现原理，可能会产生脏数据，对测试和UAT环境有些影响，要求不高话可以忽略。当然商业的IAST产品基本都不会产生脏数据。

IAST作为一种适合敏捷开发模式的新型安全测试工具，柔和低侵入、低误报及多场景支持是基础，因此建议至少要从以下几个维度，综合评估IAST产品能力：1.需要同时支持应用插桩和多种流量追踪技术，应对多业务场景、多开发语言、复杂部署环境等场景；2.支持自动化安装，配合CI/CD完成批量部署；3.支持热加载、性能异常熔断机制；4.支持Jenkins 、Jira、CAS等第三方平台对接；5.支持全流程闭环漏洞管理，包括漏洞发现、问题沟通、修复整改、漏洞复查及趋势分析等维度。

——悬镜安全

木链科技

木链科技面向工业互联网，专注于工控安全产品开发、技术研究。

陈超

15868460136

宋华玉

18363996273

奇安信

新一代网络安全领军者，专注于网络空间安全市场，为向政府、企业用户提供新一代企业级网络安全产品和服务。

魏开元

17611340287

悬镜安全

悬镜安全，DevSecOps敏捷安全领导者。

小镜

13269936782

如果你是甲方业者，还未加入诸子云，别犹豫，赶紧联系，诸子云作为国内目前最大也最为活跃的网络安全甲方社群，一定是你最佳选择。

加入诸子云

请洽Tina

更多话题在诸子云知识星球有归档，想了解甲方日常所想？想理解甲方工作之痛？想掌握甲方真实需求？赶紧加入这个开放的“宝藏”。

另外，本星球已开通“分享有赏”，20%分享奖励，以当前价格计，您只需引荐5位付费新星友，您就完全赚回“门票”支出了。

如果你是厂商，想直接参与“话题”互动？想拥有更多传播和对接价值？赶紧加入安在企业服务计划，成为安在企业会员吧！

推荐阅读

安在会员福利计划启动，快来牵手！

齐心抗疫 与你同在 

点【在看】的人最好看