网络分段如何增强 OT 网络的可见性
防火墙在保护运营技术(OT) 网络和系统方面发挥什么作用?
很多人会说,防火墙是一种防御机制,用于保护该环境免受 IT 和外界的影响。对于负责该关键系统正常运行的操作员来说,防火墙是阻止他人进入的外围保护。它也是需要从 OT 系统传递到业务网络的信息以及在必要时进行远程访问的网关。防火墙会监控入侵该网络的企图,阻止它们,并在必要时发出警报。
如果通过防火墙的流量是加密的,会发生什么情况?在大多数情况下,防火墙并未配置为能够解密和检查该流量,唯一的选择是阻止它或让它通过。
这就是为什么防火墙不是唯一的防御措施,我认为在尝试保护关键网络时它不是最好的防线。
获得知名度过程中的未知挑战
如果没有可视性,就不可能建立 OT 网络上正常流量的基线。基线允许您对系统及其交互进行分类,以便在发生异常时脱颖而出。基线还应为整个环境提供漏洞管理、补丁管理和风险管理。
获取 OT 网络的可视性可能具有挑战性。IT 环境中使用的工具通常无法解释和理解 OT 领域中使用的通信协议,网络通常不会配置为以提供方便检查点的方式路由流量,并且在工作站上安装端点代理的概念是不切实际的。
OT 和 IT 需要沟通并建立信任
从历史上看,OT 和 IT 团队之间缺乏信任,因为每个部门的需求完全不同。IT 可能需要为公司软件部署补丁,而这需要将操作下线,但 OT 最关心的是正常运行时间,因此中断对他们来说并不合适。多年来都没有进行基本的软件修补,因为 OT 并不关心它,也不与 IT 沟通如何完成它。
OT 软件的软件许可协议将补丁限制为仅由供应商预先批准和测试的补丁并不罕见。这可能会将原本可商用的补丁的部署延迟长达一年。
在第三方供应商或公司内部工程师和维护技术人员可以远程访问的环境中,部门之间的沟通必不可少。IT 部门应该了解所有活动——每次登录的时间和地点、使用的工具、部署方式以及每次击键和软件屏幕。只有掌握了这一级别的信息,信息安全部门才能确定安全事件发生前的活动。
建立每月或每两周一次的沟通节奏,让每个部门分享最新动态、挑战和目标,这是一个很好的开始。工作见习和跨部门培训甚至更好,因为它可以让每个团队深入了解他们的日常工作,并真正了解他们可以在哪些方面互相帮助。
此外,建立一个让两个团队都满意的安全维护例程:例如,在每个季度的例行维护中断期间进行修补,然后再进行测试和准备以提供支持。
您知道谁在您的网络上吗?
由于需要共享信息(例如,从一个工厂到业务运营以管理其供应链和其他运营流程),因此在 OT 环境中的数据共享在ICS (工业控制系统)中很常见。
组织是否使用身份和访问管理 (IAM) 解决方案,并且是否制定了基本的密码程序?这些程序不仅适用于员工,也适用于供应商、承包商和远程工作人员。确保只有授权用户才能以适当的访问级别访问组织网络上的数据和资源。
供应商合同应始终包含具体的访问要求、凭证和访问控制政策,并且应监控和跟踪所有供应商活动以确保合规性。应实施基于角色的访问控制以消除共享凭证,并部署双控制台身份验证方法,以最大限度地减少内部和与外部合作伙伴共享帐户的使用。
投资用于监控 OT 网络流量的可视性工具
还有什么因素让全球组织难以有效保护其 OT 基础设施?一个主要问题是,现有工具要么专门为 IT 系统设计,要么为 OT 系统设计,但不能同时为两者设计。这种缺乏集成意味着安全和运营人员无法以与 IT 系统相同的监督水平监控 OT 系统。
SIEM(安全信息和事件管理)工具对于监控网络通信和检测恶意活动至关重要,通常需要与云服务集成——出于安全考虑,OT 环境中通常会避免使用这一概念。因此,即使是 CrowdStrike 等顶级防护工具也面临局限性,当与 Claroty 或 Dragos 等解决方案结合使用时,它们仍然依赖于会引入漏洞的互联网连接。
哪些策略可以帮助管理这些环境中的风险?
首先,全面了解环境中的数据流至关重要——知道需要移动哪些信息以及移动到哪里。关于操作设计的技术文档通常已过时或不完整,缺少有关当前数据流和使用情况的详细信息。
其次,该领域的大多数可视性工具都需要特定的网络配置,因为传统的防病毒或端点保护软件通常不适用于这些设备。因此,有必要有将流量路由到检查点的机制。由于许多 OT 网络是为弹性和正常运行时间而设计的,而不是网络安全,因此重新配置它们以启用流量检查可能具有挑战性。网络分段项目耗时、昂贵,并且可能导致运营停机,这在 OT 环境中通常是不可接受的。
可视性工具需要识别在 OT 网络中普遍存在的遗留技术,这些技术不支持为工具提供所需的更改。这些技术包括非托管交换机、不支持 RSPAN 的网络设备以及过时或超额认购的布线基础设施。
为了证明这一点:大约一年前,我们的团队确定了一家大型制造工厂水处理厂系统运行缓慢的罪魁祸首,就是一台 3COM SuperStack II 集线器,它被拧在冰箱后面的墙上。工厂的所有流量都经过它,而网络和安全团队对此一无所知。
想要可视性?超越防火墙思考……
这一切的意义何在?为什么不直接让防火墙保护 OT 网络呢?它们已经在企业防火墙和各种监控工具内了。关键在于,这些工具无法完成真正映射和了解 OT 中什么是正常所需的工作,而没有这个基准,我们就无法判断什么是异常的。
OT 环境有各种特殊工具和要求,这导致工程师、技术人员甚至供应商通过 VPN 远程连接并跳转主机,并执行更改设置和更新固件等操作。运营人员通常没有专人负责实时监控这些系统的网络安全,这意味着这项工作落在了 SOC(安全运营中心)上。反过来,SOC 需要数据源来提供他们的单一视图,以便他们能够了解威胁形势。
重点是,这是有可能实现的,而且是有效的。但这需要时间、金钱和对问题的关注。