保护工业控制系统(ICS)免受潜在的网络入侵是近年来人们关注的一个主要领域。在此期间,对ICS网络安全的大部分关注都集中在帮助工业公司意识到依赖空气间隙并不是一种有效的网络安全策略,而经典的IT网络安全方法(包括防火墙和dmz)是必不可少的第一道防线。
最近发生变化的是,不同公司为解决特定ICS问题而提供的粒度级别,而不是一般的IT网络安全策略。这一运动的例子在本周的展会上得到了展示弧论坛在佛罗里达州奥兰多。以及加州阿纳海姆的ATX West。
在ARC论坛上,NextNine运营技术(OT)网络安全管理工具提供商,宣布增加了在工业和关键基础设施环境中自动发现资产的能力。据NextNine称,其系统现在可以在多个远程站点上自动映射关键资产,集中监控这些资产,以确保符合公司和监管安全政策,并通过推出补丁、更新和政策变更来保护资产。据报道,NextNine的自动发现功能可以完全查看SCADA设备,直到plc和rtu。
NextNine首席执行官Shmulik Aran表示:“完整而准确的(资产)库存是降低网络安全和运营风险的先决条件,如果没有适当的自动化软件工具,这往往是一个巨大的运营挑战。”Aran指出,NextNine开发了自动发现功能,以解决在工业环境中必须手动发现和创建要监控的资产清单的“繁琐而昂贵的过程”。他补充说,新的自动发现功能“通过分析网络数据包被动地识别所有设备,从而消除了因主动扫描而中断操作的任何危险。”
ARC论坛上还宣布了一家新的专注于ics的网络安全公司Indegy该公司声称将提供“首个网络安全平台,提供OT网络关键控制层的全面可见性”。据报道,无论控制器的逻辑变化是通过网络、设备本地、恶意软件还是人为执行,该平台都能检测到。它自动发现ICS网络上的所有控制器,并定期验证其逻辑、固件版本和配置,以识别任何未经授权或意外的更改。Indegy还监测和记录所有网络活动,包括发送到控制器的指令,如修改温度、压力和运行设备的转速。
Indegy专注于ICS网络安全的这一方面,因为控制系统中主要使用专有协议来修改控制器设置。根据Indegy的说法,使用这些协议可以阻止工程师和安全人员检测控制层活动,因为只能通过这些协议(如Modbus或DNP3)来监控过程参数的变化。Indegy声称,凭借其新平台,它提供了“以前无法实时可见的所有ICS控制层活动”。
当检测到更改时,Indegy会发送基于策略的实时安全警报,以帮助员工查明操作问题并做出响应。来自平台的报告还允许设施运营商证明遵守各种法规。
同样针对ICS协议层的是图标实验室该公司本周在ATX West发布了Floodgate Modbus协议过滤产品。同时,在ARC论坛上,导师图形宣布Icon Lab的Floodgate Modbus协议过滤器与Nucleus RTOS和Mentor Embedded Linux的集成。据报道,这种集成创建了一个“工业自动化安全平台”,并为工业物联网(IIoT)和基于实时操作系统(RTOS)的设备增加了保护功能。
Icon Labs表示,其Floodgate Modbus协议过滤器为Modbus/TCP设备提供了缺失的安全层。“Modbus/TCP协议目前缺乏任何真正的安全性,使这些设备成为即使是技术一般的黑客的活靶子,”图标实验室总裁艾伦·格劳(Alan Grau)说。Modbus包过滤通过执行策略和在不改变底层协议的情况下插入一层控制来解决这个问题。”
Modbus协议过滤扩展提供了基于Modbus功能码、源IP地址或Modbus报文内容的Modbus报文深度检测。与Icon Labs的Floodgate代理集成,可以检测和报告恶意流量。
Mentor Graphics嵌入式系统部门Runtime solutions产品管理总监Warren Kurisu表示:“在实现安全性的同时保持与传统解决方案的互操作性对于采用工业物联网至关重要。”“为Modbus/TCP设备增加一层保护,为工业自动化系统填补了一个关键的安全漏洞。”
在本周宣布的ICS网络安全新产品中,许多更熟悉的方法仍然处于最前沿。例如,瀑布证券再次成为ARC论坛(请阅读我在2015年ARC论坛上与Waterfall公司会面后写的关于他们单向网络安全方法的文章).
ARC论坛上强调的另一个ICS网络安全提供商是GEWurldtech该公司展示了OpShield产品,这款设备实际上就位于你的ICS前面。OpShield的网络安全方法是基于白名单的IT安全策略——只有预先批准的应用程序才被允许运行。由于OpShield位于ICS的前面,因此不需要进行网络重构。
根据Wurldtech的说法,OpShield最初通过机器学习应用白名单策略,自动检测连接的设备和设备之间的通信,允许运营商“在过程控制环境中验证可接受设备和通信的蓝图”。然后,OpShield在应用程序命令级别检查和控制流量,以检测和阻止未经授权的活动。
Wurldtech总裁兼首席执行官Paul Rogers表示:“ICS中通常没有数据来回传输的历史记录;这意味着许多攻击在几个月或几年里都没有人注意到,或者完全没有注意到。OpShield提供了ICS网络上恶意软件存在的可见性和历史记录。”
随着越来越多的网络安全选项可供行业使用,看看哪种策略(或策略的组合)获得最大的立足点将是有趣的。
