在日常生活中,我们在业务上下文中所做的许多关于信息技术(IT)的决定比乍看之下要简单得多。如果我们购买手机或平板电脑来帮助员工与办公室保持联系,我们可能会在各种品牌(三星、摩托罗拉、LG、苹果等)之间做出选择,但从更深层次上讲,我们只能在两个平台之间做出选择:Android或iOS。
同样,如果我们购买个人电脑(台式机或笔记本电脑)进行行政用途,我们可以选择各种制造商(戴尔,联想,惠普,苹果等)。但是,所提供的操作系统的数量通常限于仅限Windows和MacOS(或者也许是Linux,如果我们感到冒险)。同样,IT网络应用程序和工具供应商是为路由器,交换机和服务器的特定网络环境设计的。
当时的情况操作技术(OT)Realm则完全不同。
更多OT平台和系统,较少兼容性
差异有多种原因。
其中一个原因是OT系统倾向于使用更大范围的通信协议。作为一个创建尼斯斯漏洞扫描解决方乐动体育 足球快讯案的公司在最近解释的公司博客在美国,OT供应商并没有追随IT供应商,只坚持少数预定义平台。相反,各个供应商经常开发他们自己的软件和通信协议,其中许多是专有的、特定于供应商的,很少有真正相互兼容的。
即使不同的供应商正在努力满足相同的标准,这也是事实。正如Tenable所指出的,如果OT用户从多个供应商购买可编程逻辑控制器(PLC),他们可能会发现每个供应商都采取了不同的(和专有的)方法来维护IEC-61131标准。因此,如果这些供应商不提供足够的文档说明他们的方法,用户将很难监控关键活动。
在实践中,这意味着OT系统工程师经常必须学习使用、监视和故障排除尽可能多的软件和通信协议,因为他们有供应商。这已经是一个艰巨的任务,但复杂的事情并没有到此为止。所讨论的软件和通信协议不仅彼此不兼容,而且在许多情况下,也与OT系统连接到互联网时所必需的现代安全解决方案不兼容。
遗留问题和安全漏洞之间的联系
这种不和谐通常是年龄的作用。
OT系统的设计寿命要比IT系统长得多。上面提到的设备——手机和个人电脑——通常会使用几年,然后就会被替换,部分原因是它们的制造寿命不长,部分原因是市场活动强调新机器性能的提高,部分原因是随着时间的推移,这些设备的成本已经下降。这不是OT系统的情况。这些设备通常设计为满负荷运行数十年,很少有停机时间,并考虑到可靠性和安全性。
因此,OT系统更有可能包括20-30岁或甚至更老的组件。一些系统可能是如此陈述,它们预先预先约会关于网络图案的所有问题,以及其他系统可以简单地具有不充分的安全措施(例如通过部署连接的监视设备而有效地桥接的空气差距)。或者,他们可能仍然使用旧的软件这不太安全和/或不再支持。许多OT工作站仍然依赖于传统操作系统,例如Windows NT或Windows XP,支持不再可用。
结果,它们非常难以与现代安全解决方案集成。
当公司使用现代安全平台将其遗留网络集成时,无跨度(交换机端口分析仪或端口镜像)的非托管交换机或受管交换机缺少支持跨度功能的资源,即使是安全工具需要保护安全工具的基本网络可见性乐动体育 南安普顿合作伙伴网络。
nist工业控制系统(IC)安全指南注意事项,即ICS操作系统(OS)和应用程序甚至不容忍IT安全实践,而且通常以旧网络慢速运行的ICS系统可以很容易地由主动测试期间生成的流量量不堪重负。强调不幸的事实是,当您推动传统设备以在这些专有系统之外转移数据时,您将工业网络打开到安全漏洞。
网络停机时间已成为安全威胁
不幸的是,不和谐和年龄的挑战并不容易克服。OT用户有动机保持他们现有的资产,即使它们并不适合现代安全解决方案,因为他们的指导原则是避免停机。
作为这篇博客来自F-Secure工业控制系统(ICS)不能在操作员听到新补丁或更新消息时离线。如果这些系统被用于运行发电厂、污水处理系统、医院或关键基础设施系统的其他组件,停机时间可能会对公共健康和安全(甚至可能是国家安全)造成不可接受的风险。如果这些系统被用于生产设施的运行,停机时间可能会破坏业务连续性,并导致重大的经济损失。
因此,工业自动化工程师和其他使用OT系统的员工有充分的理由主张保留现有的ICS,并尽可能不使用它们,即使它们已知是脆弱的。与此同时,IT和网络安全专家有充分的理由主张应用必要的更新和补丁,以消除或减轻风险。
TAP可视性如何弥补遗留差距
这些挑战——不兼容、老化和需要避免停机——使得OT系统的安全性变得极其困难。
OT安全性也应与可见性架构中的基本最佳实践相结合。也就是说,OT用户应该在系统中消除盲点和漏洞,以便他们的安全工具可以优化威胁检测和响应,以及执行正确的资产发现。
通过网络可见性来克服这一困难要容易得多——也就是说,提供一个安全解决方案,为其运营商提供整个系统中每个组件和威胁的完整视觉表示,因为“你无法确保你无法看到的东西”。
许多工业公司转向专业网络水龙头通过将旧介质类型与100base-fx或100base-lx连接到铜千兆,以及易于连接10m,100m或1g速度段的速度转换,可以自动连接旧介质类型。
许多旧的OT环境面临非托管交换机,没有跨度(端口镜像)选项或缺少资源以支持跨度功能的托管交换机。乐动体育 南安普顿合作伙伴对于这些,网络利用为安全平台提供流量接入和数据包可见性。
对于可使用SPAN的OT网络,网络tap仍然是可见性架构的最佳实践,因为它们是被动地为安全工具复制流量,而不会丢失或复制数据包。由于SPAN也可以通过双向流量引入漏洞,数据二极管tap提供单向流量,确保威胁不会到达网络物理层。很多时候,AggregatorTAPs,将多条SPAN链路安全聚合到安全平台中。
希望为您的遗留网络添加点击可视性,但不确定在哪里开始?加入我们的简短网络设计 - IT评估或演示。没有义务 - 这是我们喜欢做的事情。
