保护和监控您的网络是最终目标。为了实现这一目标,团队利用ICS安全解决方案旨在有效地响应和管理OT环境的威胁。为了正确识别,检测和响应安全威胁和违规,大多数ICS安全工具专注于可见性,威胁检测和监控以及资产可见性和管理。
执行这些安全解决方案,oT团队在整个大型架构的连接方面面临复杂的挑战,这些基础设施在最初没有设计的网络安全性,包括:
- 依赖于旧版开关跨度端口进行可见性,不安全,可靠或可用
- 面对不同媒体或网络与各种工具之间的速度连接
- 网络蔓延需要降低网络复杂性
- 可能需要对其监控工具进行单向连接
- 虚拟环境需要安全的气隙解决方案
幸运的是,这些挑战都有解决方案。优化的安全和性能策略从100%的网络流量可见性开始。可见性从数据包开始。
OT环境中的网络可见性的公共接入点已经来自网络交换机上的跨度端口。许多次工程师将直接连接到入侵检测系统(ID)或网络监控工具。
但是,今天,在现代ICS网络中,有一个更可靠的选择来访问网络数据包以获取安全和监控解决方案,以正确分析威胁和异常 - 网络水龙头。
在OT环境中TAP和SPAN
确定何时使用跨端口或网络水龙头涉及到许多问题。很多时候,两者的结合就是可见的架构现实。但是有一些显著的差异会影响正在分析的流量的完整性,以及网络流量的性能。让我们回顾一下每种方法的优缺点,以帮助您决定哪种方法最适合您的网络。
1.开关跨度港口
一个常见的可见性用例是将镜像流量从交换机上的SPAN端口路由到安全或监控工具。端口镜像也被称为SPAN(交换端口分析器),是网络交换机上的一个指定端口,它被编程来镜像或发送在特定端口上看到的网络数据包的副本,在该端口上可以分析数据包。
- 提供对监控报文的访问
- 跨会话不会影响交换机的正常运行
- 可配置从任何系统连接到交换机
这个概念非常简单——交换机已经被架构到环境中了。只需连接你的安全解决方案。完成了。但很多时候,最简单的路径并不是最好的路径。
高水平跨度的挑战包括:
- SPAN占用交换机的高值端口
- 一些旧交换机甚至没有跨度端口
- 跨端口可能会丢失数据包,这是安全和监管解决方案的额外风险
安全团队不喜欢使用SPAN的一个基本原因是数据包丢失。这通常发生在端口被大量利用或超额使用时。在OT环境中,网络交换机往往运行10M、100M,甚至1G,所以你可能认为这永远不会发生。不幸的是,即使在网络链路不饱和的情况下,ICS交换机也容易以较低的速度丢包。发生这种情况的原因有很多:
- 由于内存短缺,数据包有时无法存储
- '暂停'帧攻击。一个糟糕的演员可以泛滥的跨度伪装成环回,隐藏坏数据并强制丢弃的数据包
- 显示破碎循环冗余校验(CRC)的数据包将被丢弃
- 小于64字节或大于配置的MTU (maximum transmission unit)的帧可能会因为输入速率限制而被丢弃
如果丢包还不能让你大开眼界,你知道斯潘吗:
- 不会通过腐败的数据包或错误
- 使用多个vlan是否可以复制报文
- 可以改变帧交互的时间,改变响应时间
跨域概念听起来可能很容易,因为它是可用的,但在权衡包丢失和改变帧之后,额外的跨域安全考虑包括:
- 双向流量打开流量回流到网络,使交换机易受黑客攻击
- 跨度的管理/编程成本逐渐变得更加密集和昂贵
2.网络利用
数据包可见性的行业最佳实践是网络访问点(测试接入点)。网络利用目的是专用的硬件设备,可以在不损害网络完整性的情况下,连续地创建流量的完全全双工副本。
网络TAP不是直接连接路由器和交换机等两个网段,而是放置在它们之间,以获得对流量流的完全访问。tap在单独的专用通道上同时发送和接收数据流,确保所有数据实时到达监控或安全设备。
- 网络监听对网络流量进行100%的全双工拷贝
- 网络水龙头不会更改数据或丢弃数据包
- 网络抽头是可扩展的,可以提供单个副本,多个副本(再生),或整合流量(聚合),以最大限度地提高监控工具的生产
|
|
遵循关键基础设施的指导原则——您希望您的网络能够持久地构建,同时确保最小甚至没有网络宕机。这些概念依赖于网络基础设施和可见性体系结构。在你的网络中融入最佳实践,比如网络挖掘,将有助于你实现这些目标。
希望增加OT的能见度,但不确定从哪里开始?加入我们的简短网络设计咨询或演示。没有义务 - 这就是我们喜欢做的事情。
