工业控制系统(ICS)网络安全在过去几年中一直在升高,而今年似乎是发布许多新网络安全产品的突破年份(请参阅本文底部的链接以访问其他最近的自动化的世界新ICS网络安全产品的覆盖范围)。
对这些新产品有什么兴趣是它们如何拥有自己独特的方法,以便超出标准化的防火墙使用方法的安全性。瀑布安全解决方案在拥有自己独特的方法方面没有什么不同,但最有趣的是他们的系统似乎已经找到了一种方法,使控制系统和外部世界之间的气隙变得可行。
我的意思是:多年来,ICS网络安全专业人士一直在不遗余力地解释,企业网络和ICS网络之间的“气隙”是如何真正不存在的——不管工厂里有多少工程师和技术人员坚持认为它存在。现在有这么多可联网的设备在使用,更不用说在制造业中使用笔记本电脑和移动设备了,把工厂和企业以及通过互联网连接到世界其他地方的“气隙”对于现代工业来说并不是一个可行的网络安全方法。
认识到企业依赖于稳定的生产和/或运营数据流,瀑布安全开发了一个系统,允许数据收集和处理到企业网络,而不允许数据或命令流向其他方向。
瀑布安全公司的首席执行官兼联合创始人Lior Frenkel说:“我们可以在不接入网络的情况下实现数据共享。我们的任务是替换被滥用的防火墙。”
瀑布安全的ICS网络安全方法的核心是它的单向安全网关,它结合了硬件和软件。“硬件加强了安全性;网关软件的任何漏洞都不会损害网关硬件提供的安全性,”Frenkel说。
单向网关硬件包括一个 收集/TX模块,该模块只包含 一个光纤发射器,连接到一个发布/RX模块,该模块只包含 一个光纤接收器。Frenkel说:“硬件可以从ICS 网络发送 信息,但在物理上 无法向ICS网络发送任何信息。”“瀑布门的这种单向特性是无法改变、规避或黑客攻击的。因此,与防火墙不同,网关为网络攻击提供的安全性是绝对的。”
一旦数据超出IC,网关软件就会将工业服务器复制到外部网络。“外部IT网络上的用户和应用程序可以访问数据的副本,或查询处理后的信息,并且可以自信地从副本接收与原始控制系统服务器一起提供的相同答案,”Frenkel说。“通过这种方式,瀑布单向网关无需进入控制网络。”
“通过单向介质的网络之间传输的内容仅是收集的数据和足够的元数据,以有效地描述收集的数据,”Frenkel说。“”收集“和”发布“应用程序中的每一个都独立配置,手动配置它们与各自的网络通信的系统和网络地址。没有从源/受保护的网络传送到目的地/外部网络的地址信息。“
Frenkel指出,瀑布的产品已在全球部署,以保护从核发电机到炼油厂,海上平台甚至地理分布式系统的所有产品,如传输变电站和管道泵站。“瀑布的产品部署是因为他们可靠地击败了基于网络的网络破坏攻击,即使是专业级的目标攻击,也可以常规地失败防火墙和其他基于软件的安全保护,”他说。
他补充说,超过90%的以色列的关键基础设施受到瀑布的产品。
瀑布公司的成功在于最近的合作协议施耐德电气和瀑布将瀑布的安全产品带到施耐德电气客户。
根据施奈德电动发布的伙伴关系,瀑布的安全方法“简化了工业网络安全标准和最佳实践,从电力部门的NERC CIP标准到跨行业IEC 62443和NIST文件的遵守情况。”
最近的自动化世界新IC网络安全产品的覆盖范围: