在日常生活过程中,我们在业务环境中涉及信息技术(IT)的许多决策比他们乍一看似乎更简单。If we’re buying mobile phones or tablets to help employees stay in touch with the office, we may be able to choose between a variety of brands (Samsung, Motorola, LG, Apple, and so on), but on a deeper level, we’re choosing between just two platforms: Android or iOS.
同样,如果我们购买个人电脑(台式机或笔记本电脑)进行行政用途,我们可以选择各种制造商(戴尔,联想,惠普 - 帕德,苹果等)。然而,提供的操作系统的数量通常限于仅限于Windows和MacOS(或者如果我们感到冒险)。同样,IT网络应用程序和工具供应商是为路由器,交换机和服务器的特定网络环境设计的。
局势操作技术(OT)王国是完全不同的。
更多OT平台和系统,兼容性较少
差异有多种原因。
其中一个原因是OT系统倾向于使用更大范围的通信协议。作为创建Nessus漏洞扫描解决乐动体育 足球快讯方案的公司在最近解释的公司博客帖子,OT供应商没有遵循IT供应商粘贴到仅仅是少数预定义的平台。相反,个人供应商经常开发自己的软件和通信协议,其中许多是专有的,特定于供应商特定的,并且很少有实际互相兼容。
即使不同的供应商正在达到相同的标准,这也是如此。由于IT用户从多个供应商处购买可编程逻辑控制器(PLC),他们可能会发现每个供应商都采取了不同的(和专有的)方法来维护IEC-61131标准。因此,如果这些供应商没有提供足够的文档,用户将难以监控关键活动。
实际上,这意味着OT系统工程师通常必须学习使用,监控和排除各种类型的软件和通信协议,因为它们具有供应商。这已经是一个很高的秩序,但并发症不会结束那里。有问题的软件和通信协议不仅与彼此不兼容,而且在许多情况下,与现代安全解决方案不兼容,当OT系统连接到Internet时,这是必要的。
遗留和安全漏洞之间的链接
这种不相容性通常是年龄的函数。
OT系统旨在具有比IT系统更长的寿命。The devices referenced above – mobile phones and personal computers – typically remain in service for a few years and are then replaced, partly because they’re not built to last for long periods of time, partly because of marketing campaigns that highlight the increased capabilities of newer machines, and partly because the cost of such devices has gone down over time. This is not the case with OT systems. These are usually designed to remain in operation for decades, at full capacity, with little downtime, and with reliability and safety in mind.
因此,OT系统更有可能包括20-30岁,甚至更旧的组件。一些系统可能是如此陈旧的是,他们预先约会任何关于网络攻击的所有问题,以及其他系统可以简单地具有不充分的安全措施(例如通过部署连接的监视设备而有效地桥接的空气差距)。或者,它们仍然可以使用旧软件这不太安全和/或不再支持。许多OT工作站仍然依赖于传统操作系统,例如Windows NT或Windows XP,支持哪些支持不再可用。
因此,它们可能很难与现代安全解决方案集成。
当公司使用现代安全平台的遗留网络集成时,没有跨度(交换机端口分析仪或端口镜像)的非托管交换机或受管交换机缺少支持跨度能力的资源,即使是安全工具需要保护的基本网络可见性乐动体育 南安普顿合作伙伴网络。
nist工业控制系统(ICS)安全指南注意事项:ICS操作系统(OS)和应用程序甚至可能甚至不容忍IT安全实践,而且通常以旧网络慢速运行的ICS系统可以很容易地通过在主动测试期间产生的流量量不堪重负。强调不幸的事实是,当您推动遗留设备转移这些专有系统之外的数据时,您将工业网络打开到安全漏洞。
网络停机时间已成为安全威胁
不幸的是,不相容性和年龄的挑战并不容易克服。即使他们的指导原则是避免停机,也可以促使现有资产保持现有资产。
作为这个博客帖子来自f-secure解释,每当运营商听到新补丁或更新时,无法脱机,工业控制系统(ICS)无法脱机。如果这些系统正在用于运营电厂,污水系统,医院或关键基础设施系统的其他组件,则停机可能会对公共卫生和安全构成不可接受的风险(甚至可能是国家安全)。如果这些系统用于运行制造设施,则停机时间可以扰乱业务连续性并导致重大的财务损失。
因此,工业自动化工程师和与OT系统一起使用的其他员工的每个原因都可以争辩,以便将现有的IC保持在适当位置并尽可能地留下它们,即使已知它们被众所周知。与此同时,IT和网络安全专家都有每个原因争辩,以应用消除或减轻风险所需的更新和补丁。
点击能见度如何弥合遗产差距
这些挑战在一起 - 不相容,年龄和避免停机的需要 - 可以使OT系统非常困难。
OT安全性也应与可见性架构中的基本最佳实践相结合。也就是说,OT用户应该消除其系统中的盲点和漏洞,以便其安全工具可以优化威胁检测和响应,以及执行正确的资产发现。
克服这种难度远远较此易于网络可见性 - 即支持安全解决方案,该安全解决方案为其运营商提供了完整的视觉表示整个系统内的每个组件和威胁,因为'你无法确保你看不到的东西。
许多工业公司转向专业网络水龙头通过将旧媒体类型连接为100base-fx或100base-lx到铜千兆,以及易于连接10m,100m或1g速度段的速度转换,可以自动连接旧介质类型。
许多旧型ot环境面临非托管交换机,没有跨度(端口镜像)选项或缺少资源以支持跨度功能的受管交换机。乐动体育 南安普顿合作伙伴对于这些,网络水龙头为安全平台提供流量访问和数据包可见性。
对于跨度可用的OT网络,网络抽头仍然是可见性架构的最佳实践,因为它们被动地复制了安全工具的流量而不删除或复制数据包。由于跨度还可以通过双向流量引入漏洞,数据二极管抽头提供单向业务,确保威胁无法到达网络的物理层。多次,aggregatortaps.添加以将多个SPAN链路固定到安全平台中。
希望为您的遗留网络添加点击可视性,但不确定在哪里开始?加入我们的简短网络设计 - 评估或演示。没有义务 - 这就是我们喜欢做的事情。
