随着ICS/OT环境的升级和现代化,挑战在分布式网络中部署资产清单和威胁检测解决方案方面遇到了挑战。其中包括监视网络覆盖重要地理位置和监视位置,这些位置无法支持其他硬件,并且需要利用现有资产。
在我们的三部分中的第二部分ICS村博客和视频系列有关获得关键基础架构环境的可见性,我们将重点放在克服分布式网络挑战上。
关键基础架构组织以其独特和地理分散的网络环境而闻名。水,采矿,发电机和传输以及制造业等领域都可以面对网络体系结构,您可能需要在更广泛的网络中从不同点获得各个细分市场。
此外,由于空间,电源,环境或预算约束,物理位置有时无法支持这些网络中的其他硬件。那么,组织如何在位置和距离可能面临可见性挑战的分布式网络中添加安全解决方案?
将跨度流量汇总到中央安全传感器而不影响基础架构
对于无法物理上添加其他硬件(例如网络水龙头或多个安全传感器)到当前基础架构中的环境,利用跨度端口来反映托管交换机的流量将成为下一个最佳选择。
托管网络开关通常包括端口镜像,也称为SPAN(开关端口分析仪)。该功能通过编程方式指定开关上的端口,以将一个或多个端口上的网络数据包的重复副本发送到指定端口。在该指定的端口上,网络监视解决方案驻留在分析横穿网络的数据包。但是,由于空间,电源,环境或预算限制,在每个物理位置都可以在每个物理位置添加其他硬件或安全传感器的能力,下一个挑战是如何获取从各个区域到集中式传感器的跨度链接。
如下图所示,此用例说明了如何将各种跨度链接到集中式Dragos传感器。
利用Garland的高密度聚合器水龙头,组织可以将四个或更多分布式位置的流量汇总到一个特定的设备,将所有网络数据包的详细信息和内容馈送到Dragos传感器。
接收到数据包后,Dragos传感器执行一些初始的预分析工作。然后,它将适当的元数据发送到Dragos平台,该平台通常位于Purdue Model参考架构的第3或4级,其中主要报告和通知发生。
该用例包含现有的开关基础架构,通过聚合器点击汇总了各种链接,然后在不影响基础架构的情况下汇总到安全传感器。
从分布式位置汇总网络TAP流量到中央安全传感器
另一个用例是点击而不是依靠开关跨度。在旧环境中,利用跨度可能是一个普遍的挑战,也可能是在不受管理的开关上不可用的挑战。假设基础架构有几根光纤电缆,从各个站点返回一个集中位置。我们可以部署被动纤维网络水龙头,并最终将它们汇总到传感器上。
添加插件网络水龙头和流量聚合使旧式基础架构保留在原始配置中,以继续安全可靠的操作,同时在不进行设备修改的情况下提供管理和安全资产所需的数据包可见性。网络水龙头是专用的硬件设备,可让您通过复制数据包来分析网络流量,而不会影响网络完整性。
如下所示,在这种部署方案中,网络流量被馈送到Dragos平台。这样的部署提供了完整的资产清单列表和网络各个位置的地图视图,例如防火墙,PLC,网络交换机,HMIS或人机界面,IP地址,MAC地址等等,分布在广泛的网络上基础设施。
这是两个很好的用例,用于在分布式网络中提供数据包可见性和一个安全平台,以最大程度地减少对基础架构的影响。
在我们的博客和视频系列的第三次迭代中,我们将回顾如何快速部署概念验证以同时比较多个资产清单和威胁检测解决方案。
观看ICS村的示范“汇总分布式网络,以获取对关键基础设施的可见性”
![ICS村 + Dragos演示[2个分布式]](https://play.vidyard.com/DPpgjEW3sNPzXGYfddt8hv.jpg)
想要更多信息吗?
单击此处观看完整的ICS村演示“获得关键基础设施的可见性。”或探索Dragos和Garland Technology乐动体育菠菜解决方案简介在这里。