今天的关键基础设施格局构成了体育博彩平台推荐生活的互联世界的基本组成部分。从体育博彩平台推荐通过WiFi、互联网和电话享受的基本通信到体育博彩平台推荐可能认为理所当然的资源,如能源、水、制造业和运输系统。甚至体育博彩平台推荐的国家安全,如国防部(DoD)和各种联邦机构,也依赖于类似的操作技术(OT)环境。这个关键的基础设施为体育博彩平台推荐的社会提供了持续可靠的资源,必须不惜一切代价保护它。
OT是网络安全威胁的新前沿
根据Gartner的OT安全最佳实践报告,“到2021年,25%的以资产为中心的企业将采用混合模式来保护运营技术(OT)环境,将传统安全与专业OT安全技术结合部署,高于2018年的10%。”换句话说,现代OT和IT环境的融合及其提高运营效率、性能和服务质量的目标带来的安全挑战是一个日益严重的威胁。推动行业范围内的组织重新评估其网络可见性以应对这些挑战是重要的第一步。这一漏洞最近在佛罗里达州Oldsmar的供水系统攻击中得到了说明,黑客访问了该设施的控制系统,并能够触发水中碱液含量增加到危险水平。传统防火墙和虚拟专用网(VPN)访问有时会使系统暴露于外部入侵。
如何阻止访问这些关键系统
ICS环境面临着通过旨在保护关键网段的网络基础设施来保护关键网段免受传入威胁的挑战。大多数OT和IT网络环境将带外以太网数据包副本发送给安全监控工具,以分析和响应威胁。许多可见性体系结构或结构将这种带外流量从单独的设施流到集中式或企业网络以进行此分析。这些IT解决方案和集成系统将网络连接到互联网,间接地将这个曾经孤立的基础设施暴露在外部漏洞和威胁之下。
图1:恶意活动在不同设施或段之间传输的鸟瞰图,通过双向流量暴露网络。
为了应对这些挑战,可能需要在段或设施之间进行单向数据传输。除了防火墙、入侵检测系统(IDS)和安全信息与事件管理(SIEM)等现代OT/IT安全工具之外,还有一种硬件正在迅速成为ICS关键基础设施的主要组成部分——数据二极管。
数据二极管中的单向或单向数据流旨在保护OT网络免受外部威胁,消除入站数据流,最终消除OT网段的外部威胁,同时提供监控所需的带外数据流。
相比网络交换机的SPAN端口,Data Diode TAP技术是一种更安全的网络可见性选择,工程师通常会直接连接到入侵检测系统(IDS),或者在分段设施之间连接到监控工具。SPAN端口不仅可以丢弃数据包,隐藏安全漏洞,而且SPAN具有双向流量,这会打开流量回流到网络中,使交换机容易受到黑客攻击。
图2说明了单向流量如何帮助确保从不同设施段传输的监控流量保持安全。
数据二极管最常见于高安全环境中,例如联邦国防和工业物联网,它们作为两个或多个不同安全分类网络之间的连接。这种技术现在可以在工业控制水平上找到,如核电站,发电和安全关键系统,如铁路网。
数据二极管水龙头是如何工作的?
数据二极管tap是一种专用的网络硬件设备,它允许原始数据只在一个方向上传输。数据二极管tap可以用作流量执法者,保证信息安全或保护关键数字系统(如工业控制系统)免受入站网络攻击。一个网络TAP创建一个精确的副本,双方的流量,连续24/7/365,不丢包,引入延迟,或改变数据。它们要么是被动的,要么是“故障安全”的,这意味着如果电源丢失或监控工具被移除,流量将继续在网络设备之间流动,确保它不是单点故障。
图3说明了如何将数据二极管TAP放置在网段中,以保护来自目的地的流量。
数据二极管抽头位于两个设备(如网络交换机和防火墙)之间的网段中,支持关键链路。数据二极管TAP将该流量的单向副本发送到带外监控目的地,两个设备之间的链路不受影响。数据二极管监控端口和网络端口之间没有物理连接,消除了来自目的地的任何可能的入侵。
这些特别设计的tap在物理上不会将流量发送回网络,为10/100/1000M网络提供“无注入”tap可见性。这种基于硬件的单向数据传输,确保没有以太网数据包可以物理地发送到实时网络TAP端口或SPAN端口。你知道数据二极管水龙头:
- 提供单向流量,防止流量回流到网络中
- 提供100%的全双工网络流量副本
- 确保没有丢包,传递物理错误和支持巨型帧
- 是安全的,没有IP地址或MAC地址,不能被黑客攻击
Data Diode tap的最终目标是为OT/IT安全监控解决方案提供“每一个比特、字节和数据包”,以确保网络得到适当的分析和保护,而不会在过程中引入传入流量的额外漏洞。这就是为什么现代ICS安全策略将它们与网络TAP和包代理可见性结构结合在一起。
希望添加数据二极管TAP可见性,但不确定从哪里开始?加入体育博彩平台推荐的简短网络it设计咨询或演示。没有义务——这是体育博彩平台推荐喜欢做的。
