保护和监控您的网络是最终目标。为了实现这一目标,团队利用ICS安全解决方案来有效地响应和管理操作技术(OT)环境中的威胁。为了正确识别、检测和响应安全威胁和漏洞,大多数ICS安全工具都侧重于可见性、威胁检测和监控以及资产可见性和管理。实施这些安全解决方案时,OT团队面临着复杂的挑战,当涉及到在这些大型且有时老化的基础设施中构建连接时,这些基础设施最初并没有考虑到网络安全,包括:
- 依赖于传统交换机SPAN端口的可见性,这是不安全、可靠或可用的
- 面对不同介质或速度的网络与各种工具之间的连接
- 网络蔓延,需要降低网络复杂性
- 他们的监控工具可能需要单向连接
- 需要为虚拟环境提供安全的气隙解决方案
幸运的是,这些挑战都有解决方案。优化的安全和性能策略始于对网络流量的100%可见性。可见性从数据包开始。OT环境中网络可见性的一个常见接入点是网络交换机上的SPAN端口。很多时候,工程师将直接连接到入侵检测系统(IDS)或网络监控工具。但是今天,在现代ICS网络中,有一个更可靠的选择来访问网络数据包,用于安全和监控解决方案,以正确分析威胁和异常-网络tap。
OT环境中的TAP与SPAN
确定何时使用SPAN端口或网络水龙头归结为许多问题。很多时候,两者的结合是可见性架构的现实。但是存在一些显著的差异,这些差异会影响所分析流量的完整性,以及网络流量的性能。让体育博彩平台推荐回顾一下每种方法的优缺点,以帮助您决定哪种方法最适合您的网络。
1. 交换机跨端口
常见的可见性用例是将镜像流量从交换机上的SPAN端口路由到安全或监视工具。端口镜像也称为SPAN(交换端口分析器),是网络交换机上的指定端口,它被编程为镜像或发送在特定端口上看到的网络数据包的副本,可以在该端口上分析数据包。
- 提供对数据包的访问以进行监控
- SPAN会话不会干扰交换机的正常运行
- 可配置从任何系统连接到交换机
这个概念非常简单——开关已经被构建到环境中了。只需连接你的安全解决方案。完成了。但是很多时候最简单的方法并不是最好的方法。高水平的SPAN挑战包括:
- SPAN占用交换机的高值端口
- 一些传统交换机甚至没有可用的SPAN端口
- SPAN端口可能会丢包,这是安全性和监管解决方案的额外风险
安全团队不喜欢使用SPAN的一个根本原因是丢包。这通常发生在端口被大量使用或超额订阅时。在OT环境中,网络交换机倾向于运行10M、100M,甚至1G,因此您可能认为这种情况永远不会发生。不幸的是,即使在网络链路不饱和的情况下,ICS交换机也容易以较低的速度丢包。发生这种情况的原因有很多:
- 由于内存不足,数据包有时无法存储
- “PAUSE”帧攻击。恶意行为者可以伪装成环回,淹没SPAN,隐藏不良数据并强制丢弃数据包
- 显示破循环冗余校验(CRC)的数据包将被丢弃
- 小于64字节或大于配置的最大传输单元MTU (maximum transmission unit)的帧会因为入接口速率限制而被丢弃
如果丢包还不能让你大开眼界,那你知道SPAN吗?
- 不会传递损坏的数据包或错误
- 使用多个vlan时,报文是否可以重复
- 可以改变帧交互的时间,改变响应时间吗
SPAN概念可能听起来很简单,因为它是可用的,但在权衡数据包丢失和帧更改之后,额外的SPAN安全考虑包括:
- 双向流量打开流量回流进入网络,使交换机容易受到黑客攻击
- SPAN的管理/编程成本逐渐变得更加耗时和昂贵
2. 网络利用
业界对于数据包可见性的最佳实践是网络tap(测试接入点)。网络水龙头是专用的硬件设备,创建一个精确的全双工副本的流量流,连续,24/7不影响网络完整性。
而不是连接两个网段,如路由器和交换机,直接彼此连接,网络TAP被放置在它们之间,以获得对流量流的完整访问。tap在单独的专用通道上同时传输发送和接收数据流,确保所有数据实时到达监控或安全设备。
- 网络tap对网络流量进行100%的全双工复制
- 网络tap不会改变数据或丢弃数据包
- 网络tap是可扩展的,可以提供单个副本、多个副本(再生)或整合流量(聚合),以最大限度地提高监视工具的生产效率
|
|
遵循关键基础设施的指导原则—您希望您的网络能够持久,同时确保最小到没有网络停机时间。这些概念依赖于网络基础设施和可见性体系结构。将网络tap等最佳实践纳入您的网络将帮助您实现这些目标。
希望增加OT可见性,但不确定从哪里开始?加入体育博彩平台推荐,参加一个简短的网络Design-IT咨询或演示。没有义务——这是体育博彩平台推荐喜欢做的。
