在工业4.0革命时代,数据是国王。这是在我们一些最关键的行业中驱动IT/OT融合的动力。达拉斯这样的智慧城市正在合并基于IP子网的VLAN和公用事业基础架构以跟踪用水和泄漏,从而实现智能水域保护。
同样,制造业和工业部门正在部署物联网解决方案,以从机器和生产线中收集关键数据。有了这些数据的见解,公司正在缩短项目时间表,最大程度地减少计划外的停机时间,降低运营成本,并享受前所未有的增长。
但是,鉴于我国关键基础设施在平衡中的安全性,安全考虑必须降低提高效率和盈利能力的动力。
常规的IT细分在OT环境中不足。几十年来,我们一直依靠强大的外围安全性来跟踪网络级别的南北交通通信。然而,常规的IT细分使用复杂的VLAN和防火墙配置需要时间来构建。而且,在OT环境中,很少有耐天时间的容忍度,尤其是在管道,发电厂或呼叫港口方面。
防火墙也无法提供100%可见性到哪种数据包交换在OT环境中授权。
随着网络攻击技术的越来越复杂,微分段正在作为减少OT攻击表面的可行解决方案。目前,“与外部系统的连接一直是...事件的压倒性根本原因,这表明组织仍然无法遵循网络细分最佳实践。”
微分段可在工作量水平上提供颗粒状可见性。它提供了零信任的安全性,基于SDN的控制,必须满足监管要求的系统的颗粒状控制以及针对OT环境的卓越违反遏制。
普渡大学企业参考体系结构(PERA)模型及其在网络安全中的实际作用
传统上,“喷气”限制了OT和IT环境之间的互连。但是,大数据的时代使这个部门不切实际。如今,IT/OT融合已成为实现卓越运营并保持竞争优势的关键因素。
这就是Pera模型的出现。随着5G宽带和工业环境中的战略数据分析的采用越来越大,微分段正在成为成功IT/OT收敛的关键因素。
简而言之佩拉模型(用于细分OT网络的行业框架)促进工艺自动化,商业智能采用和有效的网络风险减轻。它有效地使OT和IT部门保持一致,并加强了整个组织的安全姿势。从本质上讲,PERA模型通过将资产分组为共享共同安全要求的区域来指导微分细分安全策略。
在Pera模型中工业网络分为4个区域和6个级别。第五区域安全区仅与核电站有关。95%的安装不包括该区域的Pera型号。
1)互联网区域
第5级:有时与4级相结合,这被认为是面向公共的级别,该级别包括公司级的网络和电子邮件服务器,这通常是攻击起源的地方。
2)企业区
4级:这是IT基础架构所在的地方,从运营管理到印刷和电话系统。从ICS环境中分割此级别是至关重要的,因为允许两者之间的访问暴露漏洞。
3)工业区
级别3.5(DMZ区域):此可选级别将ICS网络与公司环境区分开。这是我们通常找到RBAC(基于角色的访问控制)基础架构的地方,在该基础架构中,用户根据其角色获得访问权限。该级别通常与企业级别隔离,从而限制了对Internet的直接访问。
第3级:第3级负责管理ICS-SCADA环境,包括历史学家,工作站,DNS(域名服务器)和DHCP(动态主机配置协议)。它通过DMZ区域与OT级别以及公司级别进行通信。
4)OT/ICS区域
级别2:此级别包括HMI(人机接口)和控制远程终端单元(RTU),可编程逻辑控制器(PLC)和分布式控制系统(DCS)的工程工作站。再次通过DMZ区进行了与公司级别的沟通。
级别1:这是远程终端单元(RTU),可编程逻辑控制器(PLC)和分布式控制系统(DCS)居住的地方。这些基于控制的设备通常不连接到2级以上。
级别0:此级别包括现场设备,电磁阀,电动机,智能IIOT(工业Internet-Thins)传感器以及对工厂操作至关重要的智能电子设备(IEDS)。将该级别和与Internet连接的设备进行分割被认为至关重要,因为这些设备是通过攻击来操纵的设备。
5)安全关键区域
这是一个仅与核电站或非常关键的基础设施环境有关的可选pera区。
确保ICS网络免于未经授权的访问
为了适当分段IC网络,工业组织必须确定系统如何在其网络中进行通信。对资产配置和数据流的正确理解对于知道如何细分网络区域至关重要。
特别是,资产库存管理是确保OT网络完整性的重要第一步。为了保护自己拥有的东西,您必须知道自己拥有的东西。
但是,防火墙呢?尽管传统甚至Web应用程序防火墙(WAFS)在IT环境中很有用,但它们在OT空间内没有足够的安全性。需要更多的安全层,这包括以下措施:
- 需要使用多因素身份验证(MFA)和基于生物特征的安全令牌访问应用程序
- 监视特权升级漏洞和失败的登录尝试
- 使用与数据包过滤的防火墙一起使用加密VPN
- 增加使用数据二极管和数据二极管抽头的防火墙的使用
虽然防火墙长期以来一直是细分网络的基岩,但有一个数据二极管的用例以及防火墙以及数据二极管抽头变化。
数据二极管也是一个安全性障碍系统,但是使用单向数据传输协议在网络段之间强制进行物理分离的系统,旨在消除后门攻击或漏洞。数据二极管提供了一个物理和电气分离层,旨在通过细分市场之间的单向流量来消除攻击风险。
数据二极管水龙头通常将流量的单向“副本”发送到安全监视工具。数据二极管水龙头是专门构建的“不智能”硬件设备,其电路实际上没有将监视端口连接回网络,因此无法将双向流量连接到网络,并确保从网络段中隔离安全工具或目的地。
优越的OT网络细分解决方案,赋予您组织的能力
在OT环境中,网络漏洞是CISO和网络工程师的噩梦。拿Mirai Hack,那里有15万个支持互联网的安全摄像机变成了僵尸僵尸,这些僵尸破坏了美国大部分地区的Internet访问。
解决方案?微分段。
有效分割的关键是资产可见性,传统上,这是通过将跨度端口连接到入侵检测系统(IDS)来实现的。然而,跨度端口无法保证100%的数据包可见性。他们还可以引入双向流量,将安全风险带回到OT网络中。
因此,部署防火墙,数据二极管和数据二极管水龙头适当地分割网络是卓越的选择。防火墙过滤掉并阻止各个细分之间的异常和威胁。
同时,数据二极管促进了段之间的单向数据流,而数据二极管水龙头将网络流量的全双工副本发送到安全监视工具。数据二极管抽头确保可能的威胁不会流回网络。
希望将数据二极管TAP可视性添加到您的OT安全部署中,但不确定从哪里开始?加入我们进行简短的网络设计 - 评估或演示。没有义务 - 这就是我们喜欢做的。
