运营技术(OT)与信息技术(IT)的融合,给工业领域带来了许多挑战,包括网络攻击和网络盲点增加的脆弱性。不幸的是,当许多公司发现他们不能像他们的IT基础设施那样对OT系统进行适当的可见性时,他们就站在了黑客的错误一边。
同样,在IT环境中,大多数工业安全和网络监控工具是基于包的。工程师往往会遇到一些固有的挑战在这个基础设施如何访问这些数据包——跨越在OT交换机端口可用但容易下降包,复制,也许已经在使用,甚至一些旧的开关可能没有跨越端口选项。他们可能还会质疑如何将熄灯号纳入基础设施。
一旦确定了安全策略以及环境需要的网络监控和安全工具,就需要确定所需的正确的电缆、连接器、安装和包捕获设备。在这里,我们将回顾工业环境中最常见的7个可见性挑战,以及如何克服它们。
1)这不是你传统的社交网络
从不同的系统和法规的拓扑和DIN轨道安装,很明显,这个环境是非常不同的。平衡多个系统和设备,从监控和数据采集(SCADA)、分布式控制系统(DCS)到工业自动化和控制系统(IACS),然后添加许多不同的拓扑概念,如点对点、总线、星型、环型、网格、树型、混合和雏菊链,您可以看到为什么构建可见性层可能会变得棘手或容易被忽视。
在网络框架内,我们知道你没有使用19英寸机架,也没有使用交流电源。这种环境的目标是尽可能少的移动部件,以最大限度地降低电缆断开或中断网络的风险。许多工业网络使用工业控制面板喧嚣Rails坐骑,是一种安装系统,用于将电气设备固定或安装到网络上,并运行直流电源。
2)遵守标准和规定
标准、认证和法规确保了工业流程的标准化和无缝化,导致了熟练和安全的环境。工业领域有很多,包括标准开发组织(SDO),如IEEE,它为实现跨几个频段的无线局域网设置规范,IEC(国际电工委员会),它使变电站自动化系统中的智能电子设备能够通信,和PROFIBUS用户组织(PNO),负责监督与PROFINET、PROFIBUS和FDI相关的认证和标准。
底线是,在可伸缩性、收敛性、安全性、性能、灵活的拓扑结构和低延迟方面存在许多网络需求,这些仍然是工业应用程序中的关键挑战。一些欧盟和美国的安全法规要求现在甚至标准化了使用哪些安全工具或监控工具。当然,这些工具是基于包的。
3)克服距离
您的网络是否覆盖了一个制造工厂、炼油厂、公用事业系统或多个地点?我们知道这些不是传统的商业场所,在传统的商业场所,每层楼都有配线柜,还有漂亮的数据中心。这些设施可能非常庞大。这就是在考虑可见性架构时需要考虑距离的地方。
我们发现,公司必须应对的最大争议之一是电缆长度的限制。虽然铜和光纤都支持,但铜设备到设备的连接不能超过100米。虽然铜以太网已经迅速成为标准并被广泛使用,但距离限制很容易成为扩展网络中的一个问题。光纤连接更适合更远的距离,有2000米的限制,但光纤并不总是一个选择,取决于环境。
>>免费下载:工业网络中的全双工捕获[白皮书]
4)面对身体挑战
身体上的挑战不仅仅是距离。许多工程师遇到环境问题,不得不考虑各种电缆问题。你运行的环境是极冷或极热,有紫外线暴露,或可能压碎?您的电缆是否暴露在油,水,中度振动,或化学品在工厂地板上?你的电缆在特定的控制室会被保护吗?在规划可见性体系结构和确定如何访问数据时,这些因素是重要的考虑因素。
5)如何获取数据?
选择归结为网络TAP或SPAN端口。您是要从交换机上镜像一个端口,还是部署一个专门为流量访问而设计的设备?如果OT交换机上有SPAN端口,那么它们很容易丢包、重复,而且很可能已经在使用。甚至一些较旧的遗留交换机甚至可能没有SPAN端口选项。除了众所周知的SPAN端口提出的问题外,还有一些特别针对工业环境的考虑。
首先,许多工业路由器和交换机是不受管理的,您是否需要到您的网络和安全工具的链接是不受管理的?SPAN端口被管理并且经常需要重新配置,而大多数的网络水龙头,在另一方面,是“设置它然后忘记它”。
第二,您是否使用单向网关?我们看到人们试图在这些情况下使用SPAN端口,但没有意识到SPAN端口是双向的,这为黑客创造了一个意外的机会。在这种情况下,是专门设计的数据二极管水龙头提供单向连接,提供所需的额外安全性。
SPAN会增加网络设备的开销,如果设备太忙,SPAN端口经常会丢弃镜像数据包。因此,点击是一个更好的选择。-EMA(企业管理协会)
6)网损恢复时间
基于您必须遵循的系统、基础设施、标准和规则的可见性策略,这将影响到您需要如何被动地或使用基于有源中继的设备收集数据包。
这两个主要问题是,您的环境中需要的故障保护技术级别是多少,您是否在使用Copper gigabyte?如果在关键任务环境中遇到功率损失,网络恢复时间是至关重要的。在这种情况下,最好的选择是使用无源光纤或10/100M铜接头。这些设备是完全无源的,这意味着它们可能会断电,而链路仍将保持正常。如果您使用的是铜以太网,一个活跃的TAP解决方案,100/1000M可以用于环境中,如果有电源丢失,连接将下降,然后在30-300毫秒之间重新建立。
7)混淆视听
有了这么多的连接选项、操作系统,以及许多工程师会遇到的带有安全和性能监视工具的桥接遗留设备,如何连接各种连接器或媒体类型呢?如果您的网络分析仪运行铜千兆,您需要连接100Base-FX连接怎么办?您的安全或性能监控设备没有100Base-FX网卡。
在构建可见性结构时,专门的网络tap,如Garland Technology提供的那些提供媒体转换,轻松解决这些问题,同时提供流量的全双工副本乐动体育菠菜100BASE-FX/LX, LC, ST光纤连接。
解决能见度挑战
我们理解,您将在与传统网络不同的环境中面临许多挑战,例如必须考虑标准和法规,并覆盖包含许多物理挑战的大型扩展网络。但是对网络可见性的需求是真实的。当涉及到关键基础设施时,公司无法承受盲点、数据包丢失、流量瓶颈或网络宕机。
据SANS 2019报道OT/ICS网络安全调查状况可见性对于管理OT/ICS系统至关重要。根据调查受访者,增加控制系统网络资产和配置的可视性是组织在未来18个月的首要计划。”
在整个工业以太网框架中部署网络tap可确保正常运行时间,并消除SPAN/Mirror端口不可避免地引入的包传递问题。乐动体育菠菜Garland Technology也有各种各样的工业用TAP及配件,包括DIN轨道网络水龙头,DC-DC电源转换器,螺丝电源锁连接器,媒体转换水龙头和数据二极管水龙头-所有这些都提供额外的保证,以克服连接和您可能面临的环境挑战。
希望为您的工业部署添加可见性解决方案,但不确定从哪里开始?加入我们的简短网络设计- it咨询或演示.没有义务——这是我们喜欢做的事。
