今天关键基础设施景观构成了我们所居住的关联世界的基本构建块。从我们通过WiFi,互联网和电话到资源的基本沟通,我们可能需要理所当然,水,制造和运输系统。乐动体育 南安普顿合作伙伴即使是我们的国家安全,如国防部(国防部)和各种联邦机构,依靠类似的运营技术(OT)环境。这项关键基础设施为我们的社会提供了不变和可靠的资源,并且必须在所有费用中保护它。乐动体育 南安普顿合作伙伴
OT是网络安全威胁的新前沿
根据Gartner的说法ot安全最佳实践,“到2021年,25%的资产为中心企业将采用混合模型来保护运营技术(OT)环境,传统安全部署在专业的OT安全技术,2018年的10%。”
换句话说,现代OT和IT环境的融合及其提高运营效率、性能和服务质量的目标带来的安全挑战是一个日益增长的威胁。推动整个行业的组织重新评估他们的网络可见性,以应对这些挑战,是重要的第一步。
这种脆弱性最近在Oldsmar,佛罗里达水系统攻击在美国,一名黑客侵入了该设施的控制系统,并能够触发水中碱液的增加,使其达到危险水平。让我们认识到,传统的防火墙和虚拟专用网(VPN)访问有时会使系统暴露在外部入侵之下。
如何阻止访问到达这些关键系统
ICS环境面临着保护关键网络段免受来自网络基础设施的威胁的挑战。大多数OT和IT网络环境发送带外以太网包副本给安全监控工具,以分析和响应威胁。许多可见性架构或结构将这种带外流量从单独的设施流到一个集中的或企业的网络来进行分析。这些IT解决方案和集成系统将网络连接到internet,从而间接地将这个曾经封闭的基础设施暴露给外部的漏洞和威胁。
为了解决这些挑战,可能需要在区段或设施之间进行单向数据传输。除了现代的OT/IT安全工具,如防火墙、入侵检测系统(IDS)和安全信息和事件管理(SIEM),还有一种硬件正在迅速成为ICS关键基础设施的主要组成部分——数据二极管。
数据二极管中的单向或单向数据流旨在保护来自外部威胁的OT网络,消除入站数据流并最终对OT网络段的威胁,同时提供监视所需的带外数据流。
对于网络可见性而言,Data Diode TAP技术是一个比网络交换机跨端口更安全的选择,在网络交换机中,工程师通常会直接连接到入侵检测系统(IDS),或者在段设备之间连接到监控工具。跨端口不仅可以丢弃数据包,隐藏安全漏洞,而且跨端口具有双向流量,这打开了流量回流到网络,使交换机容易受到黑客攻击。
数据二极管最常出现在高安全环境中,如联邦国防和工业物联网,在这些环境中,它们充当两个或多个不同安全级别网络之间的连接。这种技术现在可以在工业控制水平上发现,如核电站、发电和安全关键系统,如铁路网。
数据二极管抽头如何工作?
数据二极管抽头是一种专门设计的网络硬件设备,它只允许原始数据在一个方向上传输。数据二极管水龙头可以用作交通强制执行者,保证信息安全或保护关键数字系统,如工业控制系统,免受来自网络的攻击。
一个网络TAP为流量流的两边创建一个精确的副本,连续365天、24小时、7小时,并且不丢弃数据包、引入延迟或改变数据。它们要么是被动的,要么是“故障安全”(failsafe),意思是如果电源丢失或监控工具被移除,网络设备之间的通信会继续流动,以确保它不是单点故障。
Data Diodes TAPs位于两个设备之间的网络段,如网络交换机和防火墙,支持关键链路。数据二极管TAP发送该流量的单向副本到带外监控目的地,两个设备之间的链路不受影响。在数据二极管监控端口和网络端口之间没有物理连接,消除了任何可能来自目标的入侵。
这些专门设计的抽头物理地不会将流量返回到网络提供“无注射”的可视性,以获得10/100 / 1000M网络。此基于硬件的单向数据传输,可确保无法将以太网数据包物理地发送到实时网络敲击端口或跨度端口。您是否知道数据二极管抽头:
- 提供单向流量,防止流量回流到网络中
- 提供100%全双工副本网络流量
- 确保没有丢弃数据包,传递物理错误和支持巨型帧
- 是安全的,没有IP地址或MAC地址,不能被黑客攻击
Data Diode tap的最终目标是为OT/IT安全监控解决方案提供“每个比特、字节和包”,以确保网络被正确分析和保护,而不会在过程中引入额外的漏洞。这就是为什么现代ICS安全策略将其与网络TAP和包代理可见性结构结合在一起。
寻找增加数据二极管TAP可见性,但不确定从哪里开始?加入我们的简短网络设计 - IT咨询或演示。没有义务,这是我们喜欢做的。
