不久前,网络攻击工业控制系统的前景令人恐惧,但推测性强停止自2010年臭名昭著的Stuxnet蠕虫攻击控制系统启动伊朗核计划后,2016工业家攻击部署CIA创建的恶意软件攻下Ukrai电网消息清晰:掩埋ICS网络安全主题已非选项
营销主管兼网络安全司总经理David Zahn表示 :PAS全局.现在他们知道自己在做什么Ukrain攻击利用无漏洞遗留协议没有安全控件命令运进并被执行
近20年ICS安全顾问Dale Peterson 发现这些天更容易打包业务突然开始关心控制系统是公司存在的原因-公司公司开始觉醒时说道 Peterson是咨询公司创始人兼首席执行官数字邦德.Folks开始关心安全 董事会和执行管理层次他们意识到这些年来他们一直接受这种风险。”
诚然真实和感知风险比任何时候都高, 好消息是一连串网络安全产品打入市场,多公司和产品冲进市场后,至少可以说这是一项艰巨任务,即筛选并理解保护业务真正需要什么帮助创建深入防御策略
网络安全工具在IT和OT环境上有所不同,但在端点检测、防火墙和网络分割方面的确重叠源码:claroty |
OT/IT趋同实
工业控制网络和运维技术同传统信息技术相融合多年来一直是“归来吸引者”。ICS网络攻击增长表示总和终于在这里安全控制系统过去不是一个大问题,因为它们隔开空气,与IT和企业其余部分隔离开来,处理专有协议、嵌入操作系统和专业硬件问题。
ICS与企业网络连通,使用常用互联网协议并运行通用硬件信息技术操作系统主流网络与无线技术相联和特征USB端口典型监督控制和数据采集组件,如可编程逻辑控制器和远程终端单元易损与易于定制攻击的产权协议通信其中许多系统不需要认证-如果命令输入,它会执行
院内OT方面常仍偏向自用方式Patrick McBride作为行业分析师记得几年前曾与一家大型能源公司首席信息安全官聊天现首席营销官McBride表示, 工业网络安全克拉鲁蒂.上传传统IT网络安全工具推向屋内OT一端时 — — 和现在常发生时一样 — — 非启动器
IT安全工具不是设计用于OT世界的McBride说往往主动阻塞标记进程这种方法在行业环境不起作用 流程对企业至关重要 任何中断都可能十分严重IT工具也无法为协议版本提供可见性,无法连接或通信性质IT/OT网络安全工具在端点保护、防火墙和网络分割方面的确重叠(见下图),他补充
设计ICS印地安语工业网络安全平台只对改变网络条件提供警示我们不阻塞任何东西市场策略副总裁Dana Tamir表示:工业环境如此敏感 你不想引起干扰
控制系统缺乏可见度-精确硬件操作系统协议版本-据Tamir称,这是ICS网络安全最大基础问题归根结底,你无法保住你不知道的东西安全操作人员需要理解他们实际拥有的东西系统建立如此之久 没人知道外面有什么
很少公司有强健资产管理系统,Tamir笔记手动过程-带剪贴板走来走去者,易出错性、乏味性并引火上身
ICS域内,资产管理和网络安全并非全然不同,并增加网络安全副总裁Mike Petitti上传记录.即时运行 可靠性安全性安全平台绘制ICS环境内所有资产图,收集从这些资产中产生的信息并提供预测洞见
Mitigation without interruption
麦克布赖德表示市场比他生涯所见都快以他的经验 新的ICS技术 通常开始在北美受欢迎 迁移到欧洲Claroty最大客户其实是亚洲大电商
Claroty平台提供持续威胁和漏洞检测,插入SPAN端口或COPY端口并提供所有ICS设备图片-异式或非异式macBride表示, 系统不向网络注入包IT网络安全工具盲目他们可能知道网络设备坐在那里, 但他们不知道他们在说什么我们是魔术耳机我们知道网络上所有设备都是什么,也知道它们是如何通信和表达什么的。”
网络变换立即聚焦点识别网络卫生问题可能导致植物停机,如向互联网开放的端口拥有关键信息快照后可产生风险评估和缓解策略McBride表示显示已知漏洞并使用资讯分割环境免阻断过程
类似Claroty技术,PAS网络完整性平台先发现ICS网络上的资产和连接方式第1日可见资产配置Zahn表示工程师想全图并不想等待数月或数月
关键是正确平衡改变操作符管理-环境重大改变-和向操作符充斥过多数据时不时打开所有报警向您显示所有变化过量,Zahn说允许过滤检测到的改变
全覆盖方法
可贵ICS商家最近获取ICS网络安全技术,honeywell进程解决方案企业网络安全主管Marty Isares表示,高额投资ICS网络安全产品服务从现场专业咨询服务到托管安全服务到第三方端对端服务帮助客户识别需要保护的资产 保护资产 预防网络安全事件 响应事件并恢复
Honeywell最近通过购买Nextine获取ICS屏蔽技术六千台ICS屏蔽提升了ICS网络安全屏蔽Honeywell提供其他工具,包括叫风险管理器的仪表板软件,描述特定网站的风险程度公司还推出名为安全媒体交换的产品,以保障在ICS环境使用USB
和Honeywell一样,许多商家对市场采取全覆盖方法Nozomi网络举例说,提供全栈:操作系统、硬件、软件和服务
ScADA卫士异常检测工具得到托管服务提供方支持支持中心管理控制台进行深网络包检验和协议分析
从1级到7级OSI栈中听Thomas Nuth说道:Nozomi网络产品管理主管使用人工智能和机器学习技术 提供实时异常和威胁检测SCADA卫士自动学习网络设备、地形学和连接并构建正常基线
Nozomi系统区别在于它可视化数据方式允许系统操作符快速处理威胁,Nuth表示并用色码警示显示像泵或仪表这样的受影响设备, 表示系统汇总警示显示全威胁图片
工业环境忽略网络安全的日子已经结束多系统集市后 不再有借口不正视控制系统
Peterson说,“你必须做正确决定”。