隨著數字化轉型需求的不斷增長,IT和OT的融合以及遠程訪問幫助金博宝app安卓版下载組織使用工具更好地操作IACS(工業自動化和控製係統)。然而,這使得OT係統容易受到網絡攻擊。針對工業基礎設施的攻擊,如BlackEnergy、Crash Override和Triton/Trisis,使人們更加認識到OT資產的網絡漏洞和風險。
獲得準確和詳細的OT資產清單是工業組織努力改善其網絡安全狀況的基礎步驟;這是減少攻擊麵的縱深防禦概念的基礎。雖然許多網絡安全解決方案和服務提供商將5級和4級威脅防護方案作為保護OT係統的單一窗口解決方案,但保護0級到3級同樣重要。從級別0到級別5,IT資產占20%,而OT資產占80%。
由於以下與IACS相關的誤解,資產所有者在保護IACS設備方麵麵臨更多挑戰:
IACS未連接到Internet或Business網絡
IACS可能不直接連接到互聯網,而是通過一個商業網絡(在第5級)。的Shodan ICS雷達可以很容易地檢測ICS協議(Modbus, DNP3,以太網/IP, BACnet等)目前連接到互聯網。
黑客不懂IACS
黑客行為已經從追求名聲的業餘愛好者演變為追求經濟利益的犯罪行為。門戶網站如ICS-CERT警報| CISA通過及時提供有關當前安全問題、漏洞和利用的信息,提供了一把雙刃劍。
我們的設施不是目標
根據行業研究,到2023年,攻擊造成的財務影響將達到500億美元。
很少有更常見的神話與誤解關於OT網絡安全。
資產所有者想要什麼?
- 組織對IT+OT資產清單的完整和全麵的可見性
- 檢測和識別IT+OT基礎設施中的潛在漏洞
- 降低運營和網絡風險
- 配置變更管理
- 按照ISA-62443/NIST/NERC-CIP進行合規管理
- OT配置數據的備份和恢複
一份“好的”OT資產清單是對過程控製環境中運行的所有係統(包括IT資產和OT資產)進行持續更新和深入的清單。
不庫存: DCS, PLC,通信和IO模塊,SIS, RTU, HMI/SCADA操作站,智能現場儀器- Profibus/Foundation現場總線/HART,曆史機,資產管理係統,網絡交換機,路由器,防火牆和Windows機器/工作站。
一份完整的OT資產清單包括硬件、軟件和固件、製造商、型號、版本以及它們各自的序列號。1級和0級資產是最重要和最昂貴的。這些設備和傳感器直接連接到工藝設備,移動分子,並確保安全可靠的生產。
基於網絡的異常檢測可以提供對2級IT設備的一些可見性,但不能提供對L0和L1的可見性,因為L0和L1的設備不能在網絡上通信,而IT設備可以在網絡上通信。
在多供應商過程控製環境中,專有架構和缺乏標準協議使得被動的1級和0級OT資產清單發現和管理變得困難。1級和0級工業資產——控製工業過程的傳感器和閥門——通常不在網絡上通信。如果他們這樣做,他們通常不會通過網絡傳遞全麵的OT資產清查所需的詳細的OT資產清查和配置信息。工業環境中的許多OT資產根本沒有連接到網絡,這進一步加劇了發現問題。在這裏,獲得100%資產清單的唯一方法是來自OT配置數據,這是一種被動的收集數據的方式,不會給工廠控製網絡的網絡流量帶來很多挑戰。
為了解決被動DPI的限製,一些供應商已經開始聲稱他們可以通過使用“主動”數據收集方法來提供“更完整”的庫存。活動方法使用本機OT協議向IACS查詢信息。然而,積極的方法有其自身的風險。不恰當的目標可能會破壞OT服務,比如關閉工廠/流程。現有的IACS網絡設計可能會嚴重限製主動數據收集或完全禁止它。主動方法也不適用於未連接到網絡的孤立OT係統。從2級到0級的準確庫存可見性需要的不僅僅是被動的網絡檢測和/或主動查詢。雖然每種方法都可以提供一些可見性,並且被動DPI對於基於網絡的異常檢測很有用,但兩種方法都不能提供確保安全可靠生產所需的所有1級和0級OT資產的可見性。
Syed Munawer,高級解決方案顧問,it網絡安全,阿裏部門,Hexagon