今天的关键基础设施景观构成了我们生活的这个互联世界的基本构件。从我们通过WiFi、互联网和电话享受的基本交流,到能源、水、制造和交通系统等我们认为理所当然的资源。乐动体育 南安普顿合作伙伴甚至我们的国家安全,如国防部(DoD)和各种联邦机构,也依赖于类似的操作技术(OT)环境。这一关键的基础设施为我们的社会提供了持续和可靠的资源,必须不惜一切代价保护它。乐动体育 南安普顿合作伙伴
OT是网络安全威胁的新前沿
根据Gartner的OT安全最佳实践“到2021年,25%的以资产为中心的企业将采用一种混合模式来保护运营技术(OT)环境,同时部署传统安全技术和专业OT安全技术,这一比例在2018年为10%。”
换句话说,来自现代OT和IT环境的融合以及提高运营效率,业绩和服务质量的目标,安全挑战是一种不断增长的威胁。推动整个工业频谱的组织来重新评估他们的网络了解解决这些挑战,这是一个重要的第一步。
最近说明了这种漏洞Oldsmar,佛罗里达州供水系统受到攻击在美国,一名黑客侵入了该设施的控制系统,并能够触发水中碱液的增加,使其达到危险水平。让我们认识到,传统的防火墙和虚拟专用网(VPN)访问有时会使系统暴露在外部入侵之下。
如何阻止访问这些关键系统
ICS环境面临挑战,通过旨在保护它们的网络基础设施来保护关键网段免受传入威胁的影响。大多数OT和IT网络环境将带外以太网包副本发送到安全监控工具,以分析和响应威胁。许多可见性架构或织物从单独的设施流到该分析的集中式或企业网络的频段外交通。这些IT解决方案和集成系统,将网络连接到互联网,间接将其暴露于静音基础架构到外部漏洞和威胁。
为了解决这些挑战,可能需要在段或设施之间进行单向数据传输。除了现代OT / IT安全工具之外,例如防火墙,入侵检测系统(IDS)和安全信息和事件管理(SIEM),还有一块硬件,即迅速成为ICS关键基础架构的主食 - 数据二极管。
数据二极管中的单向或单向数据流旨在保护OT网络免受外部威胁,消除入站数据流和最终外部对OT网段的威胁,同时提供监控所需的带外数据流。
对于网络可见性而言,Data Diode TAP技术是一个比网络交换机跨端口更安全的选择,在网络交换机中,工程师通常会直接连接到入侵检测系统(IDS),或者在段设备之间连接到监控工具。跨端口不仅可以丢弃数据包,隐藏安全漏洞,而且跨端口具有双向流量,这打开了流量回流到网络,使交换机容易受到黑客攻击。
数据二极管最常出现在高安全环境中,如联邦国防和工业物联网,在这些环境中,它们充当两个或多个不同安全级别网络之间的连接。这种技术现在可以在工业控制水平上发现,如核电站、发电和安全关键系统,如铁路网。
数据二极管抽头如何工作?
数据二极管水龙头是一个目的内置的网络硬件设备,允许原始数据仅在一个方向上行驶。数据二极管抽头可以用作交通执照,保证信息安全或保护临界数字系统,例如工业控制系统,来自入站网络攻击。
一个网络TAP为流量流的两边创建一个精确的副本,连续365天、24小时、7小时,并且不丢弃数据包、引入延迟或改变数据。它们要么是被动的,要么是“故障安全”(failsafe),意思是如果电源丢失或监控工具被移除,网络设备之间的通信会继续流动,以确保它不是单点故障。
数据二极管抽头位于两个设备之间的网络段,如网络交换机和防火墙,支持关键链路。数据二极管点击将该流量的单向副本发送到带外监控目的地,两个设备之间的链接不受影响。数据二极管监控端口和网络端口之间没有物理连接,消除了目的地的任何可能的入侵。
这些特别设计的抽头在物理上不会将流量发送回网络,为10/100/1000M网络提供“无注入”抽头可见性。这种基于硬件的单向数据传输,确保没有以太网数据包可以物理地发送到现有的网络TAP端口或SPAN端口。你知道数据二极管的开关
- 提供单向流量以防止对网络的后部流量
- 为网络流量提供100%的全双工副本
- 确保没有丢弃的数据包,通过物理错误并支持巨型帧
- 是安全的,没有IP地址或MAC地址,并不能被黑
数据二极管抽头的最终目标是为馈送OT / IT安全监控解决方案“每位,字节和数据包”,以确保正确分析并保护网络,而不会引入过程中的传入流量的其他漏洞。这就是为什么现代ICS安全策略将它们纳入其网络水龙头和数据包代理能见度面料。
寻求添加数据二极管轻触可见性,但不确定在哪里开始?加入我们的简短网络设计咨询或演示。没有义务 - 这就是我们喜欢做的事情。
