|
保護關鍵基礎設施和係統
網絡分段���,可讓網絡化物理係統(Cyber Physical Systems, CPS)網絡抵禦不斷演變的攻擊
製zhi造zao業ye和he其qi他ta關guan鍵jian基ji礎chu設she施shi領ling域yu正zheng蓬peng勃bo發fa展zhan��,自zi動dong化hua和he互hu聯lian互hu通tong成cheng為wei熱re門men話hua題ti。各ge企qi業ye紛fen紛fen推tui進jin數shu字zi化hua轉zhuan型xing����,以yi提ti高gao效xiao率lv�,但dan也ye麵mian臨lin一yi個ge嚴yan峻jun的de挑tiao戰zhan:如何保護那些原本設計為離線運行�����、現已連接的係統�?
負責保護 CPS 的 IT 或 OT 安全團隊成員���,每天麵對日益擴張����、有針對性的威脅活動�,他們發現:現有的 IT 解決方案在保護 CPS 方麵存在不足。係統設計有其獨特性���,比如特殊的架構��、專有協議�,以及環境和運營上的限製。這些特性導致傳統的 IT 安全工具無法很好地適配這些係統�����,功能受限����,效果不佳。
安全分析師和工程師在日常工作中經常遇到技術不匹配的問題。他們嚐試對現有 IT 工具進行逆向工程�����,以使其能夠在特殊的環境中運行��,比如 Air Gap 環境���、或者高延遲和地理位置分散的網絡。
為什麼保護 CPS 網絡需要不一樣的方法�����?
舊係統
工業 CPS 環境與 IT 環境不同����,IT 環境的係統每隔幾年就會更新一次�,而工業 CPS 環境充滿了生命周期長達數十年的舊式設備�����、舊係統。這些環境中的舊工業控製係統(Industrial Control Systems, ICS)大多在設計時未考慮任何安全概念。當時�����,尚未設想聯網問題。這些係統缺乏支持網絡分段或接受新安全控製的所需功能。
與 IT 係統集成
如今��,IT 和 OT 網絡需要交換數據和信息。若要在分段的 OT 網絡與 IT 基礎設施之間進行特定通信���,就需要企業內部曆來各自為政的不同部門進行協作。就像 IT 和 OT 之間的技術差距一樣�����,人力和流程上的差距也可能導致疏忽���、增加複雜性��、重複工作�、運營成本上升��、安全風險。
分段策略容易出錯
在工業環境中實施有效的網絡分段策略並非易事。資產可視化不足����、複雜的架構�����、眾多專有協議����,使得這一過程容易出錯且成本高昂。此外����,這通常需要大量手動操作��,對架構師和工程師來說成本高��、耗時長����,還容易因無意的人為錯誤導致疏忽���、誤解和失誤。
合規性執行不一致
關鍵基礎設施企業需要遵守許多複雜的��、行業或地區特定的法規和標準。要監控並確保符合這些法規���,通常要製定精細的�����、經(jing)過(guo)適(shi)當(dang)調(tiao)整(zheng)的(de)策(ce)略(lve)。而(er)許(xu)多(duo)企(qi)業(ye)缺(que)乏(fa)這(zhe)些(xie)策(ce)略(lve)。這(zhe)可(ke)能(neng)導(dao)致(zhi)網(wang)絡(luo)分(fen)段(duan)不(bu)理(li)想(xiang)�,雖(sui)然(ran)表(biao)麵(mian)上(shang)滿(man)足(zu)了(le)合(he)規(gui)的(de)最(zui)低(di)要(yao)求(qiu)����,但(dan)執(zhi)行(xing)不(bu)一(yi)致(zhi)���,實(shi)際(ji)上(shang)並(bing)沒(mei)有(you)改(gai)善(shan)網(wang)絡(luo)安(an)全(quan)態(tai)勢(shi)。
不安全的遠程訪問普遍存在
所有工業環境都依賴遠程訪問���,讓內部和第三方人員能夠維護資產。但常見的 IT 實(shi)踐(jian)存(cun)在(zai)風(feng)險(xian)�,效(xiao)率(lv)低(di)下(xia)。遠(yuan)程(cheng)訪(fang)問(wen)需(xu)要(yao)嚴(yan)格(ge)的(de)安(an)全(quan)管(guan)理(li)��,否(fou)則(ze)會(hui)削(xue)弱(ruo)網(wang)絡(luo)分(fen)段(duan)的(de)效(xiao)果(guo)�,甚(shen)至(zhi)讓(rang)原(yuan)本(ben)就(jiu)缺(que)乏(fa)分(fen)段(duan)的(de)網(wang)絡(luo)變(bian)得(de)更(geng)易(yi)受(shou)攻(gong)擊(ji)。
這對安全團隊意味著什麼�?
雖然許多網絡安全專業人員對 IT 環境非常熟悉�,製定安全策略得心應手��,但在 CPS 環境中��,他們的經驗和工具並不完全適用。IT 安全分析師和 OT 安全工程師利用所能獲取的����、有限的信息�,盡可能製定最佳的網絡分段策略��,以保護關鍵基礎設施����,但他們在工作中仍麵臨許多困難:
-
缺乏深入的資產信息��,無法確定哪些現有通信是正常的��、必要的�;
-
設計和實施的策略可能無法有效保護網絡����,甚至可能因錯誤阻止通信�����,導致網絡中斷���;
-
由於設備之間的依賴關係未知。如果設備出現故障����,則需要麵對複雜的恢複步驟。
專門為 CPS 設計的網絡保護����,如何幫助安全團隊更有效地工作�����?
當 IT 和 OT 安全分析師及工程師全麵了解其網絡中的資產�、以(yi)及(ji)內(nei)部(bu)和(he)外(wai)部(bu)通(tong)信(xin)方(fang)式(shi)時(shi)���,他(ta)們(men)就(jiu)能(neng)更(geng)輕(qing)鬆(song)地(di)開(kai)展(zhan)工(gong)作(zuo)。彌(mi)補(bu)可(ke)視(shi)化(hua)差(cha)距(ju)會(hui)帶(dai)來(lai)顯(xian)著(zhu)的(de)改(gai)善(shan)��,使(shi)合(he)理(li)的(de)網(wang)絡(luo)分(fen)段(duan)基(ji)於(yu)準(zhun)確(que)的(de)信(xin)息(xi)��,而(er)非(fei)直(zhi)覺(jiao)或(huo)經(jing)驗(yan)猜(cai)測(ce)。
除了可視化�,CPS 保護平台基於策略的方法��,可提供關於允許和禁止通信的明智建議����,並具備適應環境變化的能力��,同時深入了解 CPS 網絡的複雜性����,以提供更高效的安全防護。基於策略的方法包括:策略決策點(Policy Decision Points, PDP)�、策略執行點(Policy Enforcement Points, PEP)。
如何利用 CPS 保護平台做出明智的網絡保護決策���,並降低企業風險。
1. 從可視化開始
網絡保護的第一步:獲得網絡上所有設備的完整可視化。
在 CPS 中���,可視化已成為被動發現(Passive Discovery)jishudedaimingci。changqiyilai��,zheshiweiyidexuanze。jinguantaduiyulejiewangluoliulianghetongxinmoshirengranbibukeshao����,danzhezhongjiyuyingjiandeshujubaoxiutanfangfadailaileziyuantiaozhan�����,xuyaotourushijianhejinqian。
盡管需要被動發現來實現網絡保護目標��,但從非被動技術開始仍有其價值。部署安全查詢(Safe Query)可執行文件��、或利用現有集成�,獲取環境中詳細的資產信息�,可以在數小時內而不是數月內提供可視化的基礎�����,無需硬件部署����,無需停機。
Claroty 的一家食品與飲料行業客戶�����,在全球範圍內運營數據中心。他們的網絡分段始於結合使用多種發現方法����,包括:被動發現���、非被動發現。動態發現(Dynamic Discovery)為他們提供了詳細的資產信息����,並確定了適合的中央交換機(Central Switches)�,在這些交換機上����,被動監察(Passive Monitoring)可以豐富數據�,從而最大限度地降低風險。
為了實現網絡保護�����,這種快速的可視化��,可幫助企業確定在哪個物理位置部署被動深度包檢測(Deep Packet Inspection, DPI)技術。根據特定需求和架構定製可視化��,加快價值實現速度����,即使在部署被動發現硬件的情況下也是如此。
DPI 與 Claroty 支持最全麵的 CPS 協議相結合�,提供分析設備通信所需的詳細信息��,並為用戶提供網絡通信模式的可視化視圖。
DPI 和主動查詢(ACTIVE QUERIES)可以提供設備位置���、關係和通信的上下文���,用於創建網絡圖(NETWORK GRAPH)
2. 建立安全區域
為係統內需要隔離的資產定義安全區域。
了(le)解(jie)係(xi)統(tong)中(zhong)存(cun)在(zai)的(de)所(suo)有(you)資(zi)產(chan)及(ji)其(qi)物(wu)理(li)位(wei)置(zhi)後(hou)���,下(xia)一(yi)步(bu)就(jiu)是(shi)建(jian)立(li)安(an)全(quan)區(qu)域(yu)。通(tong)過(guo)劃(hua)分(fen)或(huo)隔(ge)離(li)網(wang)絡(luo)��,限(xian)製(zhi)橫(heng)向(xiang)移(yi)動(dong)����,減(jian)少(shao)攻(gong)擊(ji)麵(mian)�����,為(wei)關(guan)鍵(jian)資(zi)產(chan)提(ti)供(gong)多(duo)層(ceng)保(bao)護(hu)。
Claroty 的客戶常用以下幾種方法�����,對資產進行分類以定義分割區域:
-
按網絡架構
-
按地理位置
-
按安全敏感度或風險容忍度
-
按訪問敏感度
Claroty 還會根據您的網絡拓撲結構���,提供推薦的安全區域。您還可以利用現有基礎設施內的技術來實現分段��,包括:
-
防火牆:適用於精確控製網段之間����、以及與外部通信之間的網絡流量。它們專注於流量管理���,旨在防止橫向移動。
-
VLAN(虛擬局域網):根據角色�、功能或安全級別進行邏輯分段。當環境中某些部分物理分離時���,通常更容易部署。
-
NAC(網絡訪問控製):提供對連接到網絡的設備的動態和自動化控製。它們適用於持續的設備合規性檢查����,專為具有多種設備類型的環境設計。
在獲得設備及其網絡通信的可視化後�,Claroty 的食品與飲料行業客戶發現:基於資產類型的區域劃分是最適合的分段方式。他們使用了 Claroty 推薦的區域來建立最能定義每個資產組的設備條件。
Claroty 的推薦區域(CLAROTY'S RECOMMENDED ZONES)為資產分組提供了明智的選項�,並在團隊推動 CPS 安全進程時��,提供更多洞察
3. 模擬通信以監察行為
創建區域之間的通信策略��,並監察設備行為。
建立安全區域後���,安全團隊可以觀察區域之間的正常通信行為。隨後創建一個基準���,以此為基礎製定相關策略。
為每台設備單獨創建策略���,是不切實際的。但針對設備類型或設備組創建策略��,可以使分段既有效又可擴展。
有助於理解設備之間交互的通信映射類型��,包括:
這種細粒度的映射���,讓管理員能夠清晰地識別通信流����、評估風險���,並設計適合其網絡拓撲結構的有效分段策略。您可能會發現某個設備允許了不應有的外部通信����,或者發現某個工程工作站(Engineering Workstation, EWS)與樓宇管理係統(Building Management System, BMS)頻繁通信���,又或者發現某個 PLC 正在與 SCADA 服務器進行不正常的通信。
創建安全區域後����,Claroty 的食品與飲料行業客戶就開始監察區域之間的通信����,以製定策略。對於客戶的團隊來說�,這是一個激動人心的時刻����,因為他們獲得的所有情報和分析得到了應用。使用 Claroty 推薦的策略��,大大減少了手動工作和多餘的猜測����,例如�����,設置機械臂如何與 PLC 通信����、任何 EWS 是否可以與互聯網通信����、以及控製器可以通過哪些端口接收輸入。
網絡圖中的詳細通信信息��,可幫助安全團隊識別異常��,並了解 CPS 環境中的正常情況
通信策略的技巧
您不僅要防止惡意活動破壞關鍵係統���,還必須確保安全策略不會破壞這些係統。
網絡策略的設計必須避免對係統功能產生負麵影響。在實施策略之前�,務必在非生產環境中測試策略�����,以確定任何未預見的後果。
Claroty 根據每個資產組的通信基準���,自動推薦專家定義的策略�����,最大限度地減少這種不確定性。您可以隨後測試���、監察並進一步完善這些策略��,然後再實施。那麼�����,您可以確保您的 OT 網絡策略充分考慮了環境的獨特要求和潛在限製�,能夠自信地實施網絡分段��,而不會帶來額外的風險。
區域矩陣(ZONE MATRIX)支持團隊評估已應用策略的有效性�����,可直接修改應用於區域對(ZONE PAIRS)的策略
4. 偏差警報
針對偏離預期行為的異常情況��,發出警報����,並隨時間調整策略。
celveshishihou��,bixuduiqijinxingjiancha�����,yiquebaoxingweichixufuheyuqi。yexumeigeyuedouhuifashengyiciwangluoliuliangshijian���,zaiceshiqijianbingweifasheng。suiranshixiweipiancha�,danyexuyaotiaozhengcelve�����,yiquebaoxitongxingnengchixufuheyuqi。
在觀察和調查偏離正常通信行為的報警時����,您可能會遇到需要複雜策略的情況。這些網絡策略會使用通信條件(例如��,協議或端口)來製定“if����,then”類型的決策。例如�,如果通信設備通過端口 37020 使用 OPAD�����,則允許 IoT 服務器和 BMS 之間的通信。
自定義策略有助於滿足每個企業和環境的獨特需求�,適當降低風險����,不影響生產
接收實時警報����,讓安全團隊能夠在實施的早期階段測試策略的執行情況。同時�,也便於調查和修複任何入侵或攻擊的跡象。
這些警報是網絡中心風險降低計劃中 PDP 重要的一部分。當某事或某人改變了預期的設備通信行為時�,會發出警告信號。許多威脅向量�����,包括:橫向移動���、惡意軟件���、中間人(man-in-the-middle, MitM)攻擊�����、漏洞利用鏈�,都可能導致設備通信發生變化。
警報(ALERTS)使團隊能夠在策略執行之前進行測試�,並進行微調����,以實現限製與生產持續運行之間的最佳平衡
在測試其既定策略時�����,Claroty 的de食shi品pin與yu飲yin料liao行xing業ye客ke戶hu發fa現xian了le兩liang個ge重zhong要yao問wen題ti。首shou先xian����,他ta們men有you一yi類lei交jiao換huan機ji暴bao露lu在zai互hu聯lian網wang上shang�����,這zhe顯xian著zhu增zeng加jia了le攻gong擊ji麵mian和he影ying響xiang整zheng體ti風feng險xian評ping分fen。其qi次ci�����,他ta們men最重要的生產線上的一台 Rockwell HMI在端口 3389 上接收流量。根據他們最初的策略�����,拒絕與該端口進行通信����,但該 HMI需要從特定服務器接收數據����,因此他們對策略進行了定製����,以更好地適應其環境。
5. 執行策略
與 NAC 或防火牆集成��,以執行網絡通信策略。
正如上述���,基於策略的網絡保護方法需要 PDP 和 PEP。我們已經通過警報測試���,初步完善了策略���,終於到了執行策略的階段。
PEP 接受 PDP 的決策�,並嚴格執行。PEP 包括 NAC����、防火牆和 VLAN���,它們會根據您創建的策略����,允許或阻止設備通信。
集成 PDP 和 PEP��,有助於簡化這一流程��,使策略能夠應用於 NAC 或防火牆。這種集成還使策略能夠根據執行點的反饋進行動態優化。
Gartner 認為:“PDP 和 PEP 都是構建基本零信任架構的基礎。”PDP 會根據已定義的策略��,評估訪問請求���;並根據上下文信息做出授權決策。PDP 相當於整個操作的“大腦”����,指導 PEP 行動。
Claroty 的食品與飲料行業客戶�����,其團隊已準備好將經過測試的策略添加到其 Palo Alto 防火牆中����,以開始控製其分段網絡中的流量。執行策略後�,他們繼續在 xDome中監察偏差警報(Deviation Alerts)����,jiangqizuoweiweixiedezaoqiyujingxitong�����,bingshibieshebeibiangengdailaideyiwaihouguo。cihou�,tamenchenggongzuzhileyicizhenduixinglesuoruanjiangongjidezaoqijixiang����,tongguoshibiehengxiangyidongqitu�,bimianleqiyezaoshouzhongdacaiwuheshengyusunshi。
Gartner於2023年12月15日發布的《預測2024年:零信任走向成熟(PREDICTS 2024: ZERO TRUST JOURNEY TO MATURITY)》
Claroty 深知 PDP 的重要性��,提供根據您的 NAC 或防火牆預先編寫的策略�����,同時提供可以直接推送到防火牆的區域����,以進一步簡化此工作流程。
總結
網絡分段可消除各類風險。
然而����,這並非易事。需要投入時間和精力才能做好���,而且風險影響巨大。Claroty 發現:在所有修複措施中����,網絡分段最能降低風險���,比修複數百台設備上的 CVE 的效果高出 12 倍。
網絡保護控製措施����,可顯著降低擁有 CPS 的企業所麵臨的風險
與提供 CPS 保護平台的供應商合作���,為您提供網絡和設備通信的可視化�����、上下文信息�、分析�,能夠實施有效的���、以網絡為中心的風險降低策略。Claroty 獲評 2025 年 Gartner® CPS 保護平台魔力象限™ 領導者�����,可保障 CPS 安全。
關於 Claroty
Claroty 憑借無與倫比的�����、以工業為主的平台���,重新定義了網絡化物理係統(Cyber Physical Systems, CPS)防護。Claroty 平台旨在保護關鍵任務型基礎設施���,提供市場上最深入的資產可視化�、最廣泛的 CPS 安全解決方案����,涵蓋了風險管理���、網絡保護��、安全訪問��、威脅檢測���,可以在雲端使用 Claroty xDome���,也可以在本地部署 Claroty CTD。Claroty 平台以屢獲殊榮的威脅研究和技術聯盟為後盾�����,讓企業有效地降低 CPS 風險����,以最快的時間實現價值並降低總擁有成本。在全球範圍內���,已有數百家企業在數千個站點部署了 Claroty。
本文來源:Claroty 白皮書 《 5 Steps for Network Segmentation in Cyber-Physical Systems 》
|
