传统上,操作技术(OT)网络几乎完全独立于信息技术(IT)网络。随着组织内部的数字转型工作开始包括OT网络基础设施,这些网络转向了一个更加互联的架构,使网络威胁超越了传统的IT资产。现在,网络安全团队的任务是保护和管理遍布整个组织的网络,要求运营可视性覆盖其网络上更广泛的OT和IT设备。
这一挑战对致力于弥合遗留控制系统设备和现代IT之间差距的团队影响最大。遗留ICS /网络主要考虑的是可靠性,而不是必须将数据传输到监控目的地。因此,在向遗留系统添加安全性或资产清单解决方案时,工业团队经常面临的一个问题是在哪里访问数据包。
大多数公司正在部署威胁检测和资产可见性等现代安全系统,尽管没有预算升级整个基础设施以更新到新的安全框架和标准。
在第三部分的第一部分ICS村在博客和视频系列中获得对关键基础设施的可见性,包括聚合分布式网络和部署概念解决方案的证明,我们将回顾如何克服遗留设备的挑战。
如何向遗留环境添加资产可见性
对于希望提高一级和二级PERA模型(普渡企业参考架构)的可见性的组织来说,有两个选项可以访问包可见性——交换机上的SPAN/镜像端口或网络TAP。当试图在已有7年、10年甚至15年历史的遗留环境中集成安全解决方案时,面临的挑战包括没有可用SPAN端口的非托管交换机、过时的电缆介质和不可修改的基础设施配置。
无法改变的基础设施配置?这是我们听到的与网络基础设施相关的典型响应。通常,开关柜没有足够的系统资源来启用SPAN,或者OEM /系统集成商出于潜在的安全或可靠性考虑阻止乐动体育 南安普顿合作伙伴组织进行任何更改。
在这些情况下,添加即插即用的网络tap和流量聚合可以使遗留基础设施保持在原始配置中,继续安全可靠地运行,同时提供管理和保护资产所需的数据包可见性,而不需要对设备进行修改。
下图直观地展示了一个基本的遗留OT体系结构场景,其中既有非托管交换机(没有SPAN选项),也有缺乏支持SPAN功能资源的托管交换机。乐动体育 南安普顿合作伙伴通过在两个网段之间部署支持10M/100M/1G的网络TAPs,安全解决方案现在可以在单个应用程序中接收足够的资产库存、漏洞管理和威胁检测所需的数据,使网络安全安全团队更有效。
对于新的资产可见性、威胁检测、漏洞管理和响应平台安装,您可以在下面的图片中看到德拉格平台,没有映射资产或通信路径。从PERA模型的角度来看,解决方案的传感器组件部署在第3级,而另一个传感器部署在第2级。与遗留基础设施挑战一致的是,在该区域内获取网络或通信系统的可见性是不可能的。
在两个网段之间部署网络tap后,将单个端口的所有流量复制出来,安全地发送给安全传感器。正如你在下面的图片中所看到的,我们现在可以看到资产和通信细节,这多亏了网络tap提供的包可见性,允许团队在不修改交换机配置的情况下实现完整的资产可见性。
改进的资产和通信可见性意味着OT团队现在可以比较总资产计数、IP地址、通信映射等等,帮助构建系统在网络基础设施上通信所使用的端口和协议的可信基线。他们的下一步工作将是分析来自安全解决方案的任何通知,以发现潜在的威胁。
对于遗留网络来说,具有这种级别的可见性是必不可少的一步。它帮助组织从最小的可见性,使用静态图来分类存在什么资产以及它们应该如何通信,并简单地信任OEM或系统集成商实现了什么。现在已经有了一个检查和平衡系统,能够从不同的遗留网络设备获取可见性,了解通信路径,建立可信的基线,并在标准操作参数、过程或时间窗口之外发生变化时设置通知。
接下来(3篇中的2篇),我们将回顾如何在分布式网络中聚合流量,并在概念验证中部署网络TAP解决方案,以同时比较多个安全解决方案。
观看ICS村演示“克服遗留设备的挑战以获得对关键基础设施的关注”
![ICS Village + Dragos Demo [1 Legacy]](https://play.vidyard.com/cDzgJXwde64NgWEccoo6yR.jpg)
想要更多的信息?
点击这里观看完整的ICS Village演示获得关键基础设施的能见度。或者探索一下Dragos和Garland技术乐动体育菠菜解决方案在这里短暂.