保护工业物联网:察觉为DMZ和分割
工业机构正在迎来它的时代和od收敛。但是,使传统的OT资产与IT技术智能智能,也意味着较大的网络威胁表面,因此,更多地接触网络攻击这也在越来越聪明。
与之不同,OT安全意味着违约不仅仅是数据和身份损失,而且可能发生严重基础设施的可能分解,甚至是人类安全。
涡轮发动机或工业控制系统等工业设备从未建造过以发展为CyberSecurity-Savvy IT产品。但现在这些非常OT资产正在连接到打开数据网络。在这些“现场”资产中缺乏演化的网络安全堆栈要求立即安全对策。
这是聚光灯的开启分割和DMZ(也称为周边网络),以合理救援。
网络分割使用共享媒体/以太网作为提高性能和带宽的手段,从企业IT网络中开始。然而,随着时间的推移,它证明了自己作为主动安全工具。将网络分割为单独的区域或子网(例如HR,Operations和Engineering)可降低流量冲突并提高吞吐量。然而,侧面和更引人注目的好处是它允许在特定区域内遏制网络流量。本身就是一种非常有效的方法,可以防止恶意流量在企业网络上传播。
根据ISACA,“实现网络安全的常用技术是将组织的网络分为可以单独控制,监控和保护的单独区域。”
DMZ.到目前为止,通过定义少数广泛的周边网络,在行业中选择性地使用。然而,随着Cyberattacks的复杂性增加,随着传统工厂资产成为智能和连接的,只有一系列防线就不够了。
在入侵的情况下,对策对于防止恶意软件的横向移动至关重要。因此,在公司IT网络中分区,甚至在它和OT网络之间都很重要。
现在问题是:传统的细分原则是否足以保护工业OT资产?
ot和它分割:动态不同
分区工业网络创建多个周长是一种有希望的方法来保护OT资产。但是,要实现它,我们无法复制IT分段技术,例如vlans.原样,路由和防火墙。VLAN和路由可以很快变得复杂。实现IP地址和子网配置通常遇到复杂性,需要重新配置和需求特定的技术技能。在OT环境中,这可能不容易。
最多IoT设备在计算资源中是太低的,用于集成强大的安全堆栈或未设计(想想涡轮发动机,工业皮带)以将普遍存在的安全堆栈集成。
轻松虚拟分区
在大型工业系统的情况下,它们太大而无法移动。在许多情况下,设备位于远程位置,并且物理上不易进入机动。此外,在OT中,缺少了整合补丁等的明确定义的软件升级周期。最重要的是,这些系统必须不间断地运行。工业设备停机转化为大多是不可接受的中断。
这就是为什么当在OT环境中规划分段时,我们必须以不同的方式思考。
一个分区解决方案需要以集中方式轻松完成,而无需移动庞大的工业齿轮或重新内存现有系统。
在它的情况下,在OT环境中,我们需要考虑虚拟或逻辑区域的物理分割,而没有任何物理依赖和更简单的用户界面,可以集中配置和控制这些区域。
深包检验
DMZ定义区域的外围,并使用防火墙,无论是独立的还是级联。防火墙用于深包检验和交通过滤。深包检测和入侵检测提供需要处理传入流量的所需信息。
但是,它防火墙旨在读取IP协议,因此不能为Modbus,MTConnect和OPC等许多工业协议提供的目的。为了保护OT网络,我们还需要防火墙,除IP外还可以检查数据包并提取用于监视,保护和控制OT区域的上下文信息。
底线
由于工业物联网的安全技术稳步发展,分割可以为OT环境中的安全问题提供相当大的浮雕 - 只要我们开发和使用特定于OT的正确工具和方法。简单地复制IT遗留可能无助于此。
所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者,不一定能够传达物联盟议程的思想。