横跨IT与OT，思科推出整合网路透视、自动化与防护的方案

思科去年并购Sentryo之后，今年基于该公司的产品，推出能同时管理与保护IT、IoT与OT网路的解决方案。

在企业网路环境中，除了常见的个人电脑、服务器、储存系统之外，出现不同性质的连网设备，而形成了所谓的物联网（IoT），同时，许多公司正在建置工业物联网（IIoT），以及自身运用的工业控制系统（ICS）采用的维运科技（OT）网路，也有越来越多机会需要与IT网路互通，于是，这些都成为当前企业网路管理与安全防护的范围。

身为网路设备大厂，思科在1月底举行的Cisco Live 2020 Barcelona大会，发表了物联网安全架构，号称能够横跨IT与IoT环境，提供进阶的网路活动透视与资料分析能力、自动化处理的机制，并且保护当中进行的流程。而这套架构包含了两套产品：Cyber Vision、Edge Intelligence，会透过从IoT边缘端收集与撷取的资料，提升网路运作的效率。

以Cisco Cyber Vision而言，主要的诉求是保护工业网路环境的安全，它源于思科2019年6月并购的法国资安公司Sentryo，而该厂商先前所提供的产品，是针对工业控制系统的资产管理与网路资安解决方案，称为ICS CyberVision 。思科表示，这是第一套经由该公司工业物联网网路产品线，所提供的资产探查解决方案，而且是基于软体而成。

基本上，企业可运用它来分析连网装置的资产资讯，横跨OT与IT环境提供通用的网路状态透视与分析，系统会自动辨识产业设备的资产，防护作业流程，以便降低网路威胁的风险，而不需透过手动复制、贴上这类人工动作来登录资产。

除此之外，用户也能结合Cisco Identity Services Engine （ISE），以及DNA Center，建立网路分割的政策，因应横跨维运科技环境而来的威胁，预防它们进行横向移动，而且背后仰赖的是思科自家维护的Talos威胁情报服务，即时监控当前的网路安全威胁、工业设备的资产内容，以及作业流程，避免影响上线营运期间、生产力与安全性。

面对离散制造业、加工业与公用事业等多种产业的网路环境，Cyber Vision会搭配深度的通讯协定认识，来执行网路流量的被动分析，在保有维运环境的生产力完整性时，也能确保IT与OT安全。

在处理的过程中，Cyber Vision起初会运用深度封包检测技术，来执行资产探查与产业专属流程的解译，并结合OT环境特有的规则与思科Talos的威胁情报，提供即时的异常侦测与监控。

而这里所收集到的资讯，也将关乎Cisco ISE与DNA Center的网路分割政策内容，能让Cyber Vision借此杜绝横跨维运环境网路威胁繁殖的可能性。不过，若要达到这样的需求，Cyber Vision也提供了自动化机制来帮忙。如果没有这样的功能，部分处理的动作需要大量手动作业，而且无法配合持续变更的需求。

在IT安全产品线的整合上，Cyber Vision可搭配ISE提供存取控管，像是装置的身分识别，以及政策的定义与强制实施，做到细部的网路分割，还可以结合思科的次世代防火墙Firepower，以及网路流量分析系统Stealthwatch，分别得到OT资产的详细资讯、产业型资安威胁的侦测能力，以及必要的活动脉络，进而发现异常，而能对IT人员送出警示。

除此之外，这套产品还可以整合其他厂牌的安全事件资讯管理系统（SIEM），像是IBM QRadar、Splunk，企业可以在自家的IT安全维运管理中心，将所有的OT事件收集起来，建构统一的IT-OT安全环境。