在工业4.0革命时代,数据为王。它是推动体育博彩平台推荐一些最关键行业的It /OT融合的动力。像达拉斯这样的智能城市正在合并基于IP子网的vlan和公用事业基础设施,以跟踪水的使用和泄漏,实现智能节水。同样,制造业和工业部门正在部署物联网解决方案,以从机器和生产线获取关键数据。有了这些数据的洞察力,公司正在缩短项目时间,最大限度地减少计划外停机时间,降低运营成本,并享受前所未有的增长。然而,由于体育博彩平台推荐国家关键基础设施的安全处于平衡状态,安全方面的考虑必须缓和对效率和盈利能力的追求。传统的IT分段在OT环境中是不够的。几十年来,体育博彩平台推荐依靠强大的外围安全来跟踪网络级别的南北交通通信。但是,具有复杂VLAN和防火墙配置的传统IT分段需要时间来构建。而且,在OT环境中,对于长时间的停机时间几乎没有容忍度,特别是当涉及到管道、发电厂或停靠港时。IT防火墙也不能提供100%的可视性,以了解在OT环境中哪一组数据包交换是经过授权的。随着网络攻击技术的日益复杂,微分段正成为减少OT攻击面的可行解决方案。目前,“与外部系统的连接仍然是导致……事件,表明组织仍然没有遵循网络分段的最佳实践。”微分段提供了工作负载级别的细粒度可见性。它提供零信任安全性、基于sdn的控制、必须满足法规要求的系统粒度控制,以及对OT环境的卓越泄漏遏制。
普渡大学企业参考架构(PERA)模型及其在网络安全中的实际作用
传统上,“气隙”限制了OT和IT环境之间的互连。然而,大数据时代使得这种划分变得不切实际。今天,IT/OT融合是实现卓越运营和保持竞争优势的关键因素。这就是PERA模型的用武之地。随着5G宽带和战略数据分析在工业环境中的日益普及,微细分正成为成功实现IT/OT融合的关键因素。简而言之,PERA模型(用于分割OT网络的行业框架)促进了流程自动化、商业智能采用和有效的网络风险缓解。它有效地协调了OT和It部门,并加强了整个组织的安全态势。本质上,PERA模型通过将资产分组到共享公共安全需求的区域来指导微分段安全策略。在PERA模型中,工业网络被划分为4个区域和6个级别。第五个区域,即安全区,只与核电站有关;95%的安装在其PERA模型中不包括此区域。
1)互联网专区
第5级:有时与第4级结合在一起,这被认为是面向公众的级别,包括公司级别的web和电子邮件服务器,这通常是攻击的来源。
2)企业园区
第4级:这是IT基础设施所在的位置,从操作管理到打印和电话系统。将这个级别从ICS环境中分离出来被认为是至关重要的,因为允许在两个级别之间进行访问会暴露漏洞。
3)工业区
级别3.5 (DMZ区域):这个可选级别将ICS网络与公司环境分开。这就是体育博彩平台推荐通常找到RBAC(基于角色的访问控制)基础设施的地方,在那里用户根据他们的角色被授予访问权限。这一级别通常与企业级别隔离,限制了对internet的直接访问。3级:负责管理ICS-SCADA环境,包括历史机、工作站、DNS (Domain Name Server)和DHCP (Dynamic Host Configuration Protocol)。它通过DMZ区域与OT级别和公司级别进行通信。
4) OT/ICS区
第2级:该级别包括hmi(人机界面)和控制远程终端单元(RTU),可编程逻辑控制器(PLC)和分布式控制系统(DCS)的工程工作站。与公司级别的通信也是通过DMZ区域完成的。1级:这是远程终端单元(RTU),可编程逻辑控制器(PLC)和分布式控制系统(DCS)驻留的地方。这些基于控制的设备通常不会连接到2级以上。0级:该级别包括对工厂运营至关重要的现场设备,电磁阀,电机,智能IIoT(工业物联网)传感器和智能电子设备(ied)。将这一级别和连接互联网的设备分割开来是至关重要的,因为这些设备是通过攻击进行操纵的目标。
5)安全临界区
这是一个可选的PERA区域,仅适用于核电站或非常关键的基础设施环境。
保护ICS网络免受未经授权的访问
为了正确地划分ICS网络,工业组织必须确定系统在其网络中如何通信、通信的内容以及通信的原因。正确理解资产配置和数据流对于了解如何划分网络区域至关重要。特别是,资产库存管理是确保OT网络完整性的重要第一步。为了保护你所拥有的,你必须知道你拥有什么。但是,防火墙呢?尽管传统的甚至是Web应用程序防火墙(waf)在IT环境中很有用,但它们不能在OT空间中提供足够的安全性。需要更多的安全层,这包括以下措施:
- 需要使用多因素身份验证(MFA)和基于生物特征的安全令牌来访问应用程序
- 监视特权升级漏洞和失败的登录尝试
- 使用加密VPN和包过滤防火墙
- 通过数据二极管和数据二极管tap增强防火墙的使用
虽然防火墙长期以来一直是分段网络的基础,但数据二极管与防火墙以及数据二极管TAP变体一起使用也有一个用例。数据二极管也是一种安全屏障系统,但它使用单向数据传输协议在网络段之间强制进行物理隔离,旨在消除后门攻击或破坏。数据二极管提供物理和电气分离层,设计用于在段之间传递单向流量,以消除攻击风险。数据二极管tap通常向安全监控工具发送单向的流量“副本”。数据二极管tap是专用的“非智能”硬件设备,其电路物理上没有连接回网络的监控端口,因此不可能实现双向流量,并确保安全工具或目的地与网络段隔离。
卓越的OT网络分割解决方案,使您的组织更强大
在OT环境中,网络漏洞是首席信息安全官和网络工程师的噩梦。取Mirai黑客在那里,15万个联网安全摄像头变成了僵尸网络,扰乱了美国东部大部分地区的互联网接入。
解决方案?微营销。
有效分割的关键是资产可见性,传统上,这是通过将SPAN端口连接到入侵检测系统(IDS)来实现的。然而,跨度港口不能保证100%的数据包可见性。它们还会引入双向流量,给OT网络带来安全风险。
因此,部署防火墙、数据二极管和数据二极管抽头对网络进行适当的分段是最好的选择。防火墙对网段之间的异常和威胁进行过滤和阻断。
同时,数据二极管促进了段间的单向数据流,数据二极管tap将网络流量的全双工副本发送给安全监控工具。数据二极管tap确保可能的威胁不会回流到网络中。
希望将数据二极管TAP可见性添加到您的OT安全部署中,但不确定从哪里开始?加入体育博彩平台推荐的简短网络设计it评估或演示。没有义务——这是体育博彩平台推荐喜欢做的。
