我上个月参加了瑞典工业网络安全会议4SICS,在那里我也上了一天分析网络流量的课。4SICS是欧洲领先的工业控制系统(ICS)安全会议,吸引了来自世界各地的演讲者和与会者。
以下是我对会议的总结,以及欧洲和世界工业控制系统的现状。
几年来,我一直鼓励运行ICS的公司不断捕获其网络中的完整内容网络流量。这样做的主要好处是,在他们的网络遭到入侵时,可以对网络流量进行取证分析。这不仅适用于黑客攻击,还可以通过捕获的网络流量来检测和调查恶意软件感染。不幸的是,ICS领域很少有公司在其控制系统中部署嗅探器,但这种情况似乎即将改变。在今年的4sic期间,几位演讲者讲述了捕获的网络流量被用于发现ICS网络中的入侵和恶意软件的成功案例。
“如果你知道你的流量看起来像什么,这些东西就像大拇指痛一样突出”——Chris Sistrunk和Robert Caldwell在4SICS 2015上
Chris Sistrunk和Robert Caldwell发表了一篇名为“忽略显而易见的:ICS的网络安全监控”的演讲,他们提到了一个案例,即网络安全是在工厂部署数据包嗅探器的驱动因素。后来发现,it操作人员也可以从捕获的网络流量中获益良多,因为它允许他们检测网络上配置错误的服务器、客户端和嵌入式设备。Chris和Robert还指出,ICS网络流量的确定性使得发现由恶意软件引起的恶意流量变得很容易。
另一位使用类似策略的演讲者是Robert M. Lee,他做了一个题为“ICS网络中的资产识别和网络安全监控”的精彩演讲。在他的演讲中,Robert提到他可以简单地通过寻找网络流量的偏差来发现ICS网络中的恶意软件。Robert还提到了在控制系统中对机器应用安全补丁所涉及的问题。Robert说:“如果您不能修补它,那么至少要监视它”,对于如何处理无法修补关键系统的情况,这是一种非常明智的方法。4SICS会议在每次演讲中都使用了一个应用程序投票,得到了一些有趣的回应。例如,体育博彩平台推荐可以看到13%的人回答说他们已经在控制系统中实施了网络安全监控解决方案。那么,是什么阻止了其他87%的ICS网络所有者捕获他们的网络流量呢?
恶劣环境只是ICS网络关注的问题之一
有人可能会说,许多ICS网络运行的恶劣环境(水处理厂、发电厂、变电站、石油钻井平台等)不适合为气候控制数据中心设计的传统IT设备。但是,不需要购买设备来捕获网络流量。所需要的只是一个运行开源数据包嗅探器的基本linux服务器。
对于像我这样对捕获设置的可靠性和最小数据包丢失有很高要求的人来说,交换机上的监视器端口并不是访问网络流量的首选方法。我总是喜欢一个合适的网络TAP,而不是一个带有监视器端口的交换机。
工业以太网领域对网络接入有独特的要求,包括35mm DIN导轨支持和24V电源连接器,湿度,灰尘和体育博彩平台推荐指示工业环境的其他环境问题的IP等级。
我一直在与体育博彩平台合作,调整他们目前的10M/100M和10M/100M/1000M无源tap系列,以满足工业网络的功能和物理特性,在本文发表时,该系列计划于2016年初发布。
我真的很期待在2016年4SICS的ICS实验室看到这样一个DIN导轨安装的网络龙头!
要了解更多关于网络访问的差异,阅读蒂姆·奥尼尔的白皮书,题为“TAP vs. SPAN”。.