在日常生活中,体育博彩平台推荐在业务环境中做出的关于信息技术(IT)的许多决策比乍一看要简单得多。如果体育博彩平台推荐购买手机或平板电脑来帮助员工与办公室保持体育博彩平台推荐,体育博彩平台推荐可能可以在各种品牌(三星、摩托罗拉、LG、苹果等)之间做出选择,但在更深层次上,体育博彩平台推荐只能在两个平台之间做出选择:Android或iOS。同样,如果体育博彩平台推荐购买个人电脑(台式机或笔记本电脑)用于管理用途,体育博彩平台推荐可以从各种各样的制造商(戴尔、联想、惠普、苹果等)中进行选择。然而,提供的操作系统数量通常仅限于Windows和macOS(或者Linux,如果体育博彩平台推荐想冒险的话)。类似地,IT网络应用程序和工具供应商是为路由器、交换机和服务器的特定网络环境设计的。操作技术(OT)领域的情况则大不相同。
OT平台和系统越多,兼容性越差
造成这种差异的原因有很多。其中一个原因是OT系统倾向于使用更广泛的通信协议。正如创建Nessus漏洞扫描解决方案的Tenable公司在最近的一篇博客文章中解释的那样,OT供应商并没有像IT供应商那样坚持使用少数几个预定义的平台。相反,各个供应商经常开发自己的软件和通信协议,其中许多是专有的、特定于供应商的,很少有真正相互兼容的。即使不同的供应商正在努力满足相同的标准,情况也是如此。正如Tenable指出的那样,如果OT用户从多个供应商那里购买可编程逻辑控制器(PLC),他们可能会发现每个供应商都采取了不同的(和专有的)方法来维护IEC-61131标准。因此,如果这些供应商没有提供足够的方法文档,用户将很难监控关键活动。实际上,这意味着OT系统工程师通常必须学习使用、监控和排除尽可能多类型的软件和通信协议,因为他们有供应商。这已经是一项艰巨的任务,但复杂之处还不止于此。所讨论的软件和通信协议不仅彼此不兼容,而且在许多情况下,与OT系统连接到互联网时所必需的现代安全解决方案不兼容。
遗留和安全漏洞之间的体育博彩平台推荐
这种不相容通常是年龄的作用。OT系统的设计寿命要比IT系统长得多。上面提到的设备——移动电话和个人电脑——通常在使用几年之后就会被替换,部分原因是它们不是为长时间使用而制造的,部分原因是营销活动强调了新机器的增强功能,还有部分原因是这些设备的成本随着时间的推移而下降。这不是OT系统的情况。这些反应堆通常设计为满负荷运行数十年,几乎没有停机时间,并且考虑到可靠性和安全性。因此,OT系统更有可能包含20-30年前,甚至更老的组件。有些系统可能太老了,早于对网络攻击的任何和所有担忧,而其他系统可能只是没有足够的安全措施(例如通过部署连接的监控设备有效地弥合了气隙)。或者,他们可能仍在使用较旧的软件,这些软件不太安全,或者不再受支持。许多OT工作站仍然依赖于遗留的操作系统,如Windows NT或Windows XP,这些系统不再提供支持。因此,它们很难与现代安全解决方案集成。当公司努力将其传统网络与现代安全平台集成时,没有SPAN(交换机端口分析器或端口镜像)选项的非管理型交换机或缺乏支持SPAN功能的资源的管理型交换机甚至会阻碍安全工具保护网络所需的基本网络可见性。NIST的工业控制系统(ICS)安全指南警告说,ICS操作系统(OS)和应用程序甚至可能无法容忍IT安全实践,并且通常在传统网络上以低速运行的ICS系统很容易被主动测试期间产生的流量量所淹没。强调一个不幸的事实,当您将遗留设备推到这些专有系统之外传输数据时,您将使工业网络面临安全漏洞。
网络停机已成为一种安全威胁
不幸的是,不相容和年龄的挑战并不容易克服。即使现有资产不适合现代安全解决方案,OT用户也有保留现有资产的动机,因为他们的指导原则是避免停机时间。正如F-Secure的这篇博文所解释的那样,工业控制系统(ICS)不能在操作员听到新的补丁或更新时离线。如果这些系统被用于运行发电厂、污水处理系统、医院或其他关键基础设施系统的组件,停机可能会对公共健康和安全(甚至可能是国家安全)造成不可接受的风险。如果这些系统用于运行制造设施,则停机可能会破坏业务连续性并导致重大财务损失。因此,工业自动化工程师和其他使用OT系统的员工有充分的理由主张保留现有的ICS,并尽可能地让它们单独存在,即使它们已知是脆弱的。与此同时,IT和网络安全专家有充分的理由主张应用必要的更新和补丁来消除或减轻风险。
TAP可见性如何弥合传统鸿沟
总之,这些挑战——不兼容、老化和避免停机的需要——可能使OT系统极其难以保护。OT安全性还应该与可见性体系结构中的基本最佳实践相结合。也就是说,OT用户应该消除系统中的盲点和漏洞,以便他们的安全工具可以优化威胁检测和响应,以及执行适当的资产发现。通过网络可见性,克服这一困难要容易得多——也就是说,实现一个安全解决方案,为其操作员提供整个系统中每个组件和威胁的完整可视化表示,因为“你无法保护你看不到的东西”。许多工业公司转向专门的网络tap,通过将100Base-FX或100BASE-LX等旧媒体类型连接到铜千兆,以及轻松连接各种10M, 100M或1G速度段的速度转换,来弥合传统差距。许多传统OT环境面临着非管理型交换机,没有SPAN(端口镜像)选项,或者管理型交换机缺乏支持SPAN功能的资源。为此,网络tap为安全平台提供流量访问和数据包可见性。对于SPAN可用的OT网络,网络tap仍然是可见性体系结构的最佳实践,因为它们被动地为安全工具复制流量,而不会丢弃或复制数据包。由于SPAN也可以通过双向流量引入漏洞,数据二极管tap提供单向流量,确保威胁不会到达网络的物理层。很多时候,通过添加aggregatortap来保护和聚合多个SPAN链接到安全平台中。希望将TAP可见性添加到您的遗留网络中,但不确定从哪里开始?加入体育博彩平台推荐,进行一个简短的网络Design-IT评估或演示。没有义务——这是体育博彩平台推荐喜欢做的。
