罗伯特•m•李(Robert M. Lee)是德拉戈安全,将工业控制系统(ICS)网络安全讨论,您很快就会意识到他的方法将包含比通常的IT网络安全最佳实践更多的内容。除了参与Dragos Security之外,Lee还是一名现役美国空军网络空间作战官员,在SANS的ICS项目中任教,并在他在尤蒂卡学院教授网络安全硕士课程.作为美国空军网络空间作战官工作的一部分,Lee一直是多个计算机网络防御团队的成员,其中包括领导首个此类ICS/SCADA威胁情报和入侵分析任务。
根据他的经验,Lee关注的一个问题是——将工业网络映射作为ICS网络安全方法的一部分——主动扫描的实践,即向设备发送数据并读取响应。他认为主动扫描会损坏或拒绝对敏感网络设备的服务,例如可编程逻辑控制器(plc)和远程终端单元(rtu)。因此,他提倡使用被动扫描来确保实时网络可见性,而不影响操作。
被动扫描是一个关键方面CyberLensDragos Security计划在2015年第一季度发布该软件。Lee说CyberLens是一个独立的客户端,可以安装在电脑或虚拟机上,供本地或云使用。它可以连接到本地接口或网络交换机上的镜像端口,以实现实时资产识别和网络可视化。
Lee指出了CyberLens的三个关键方面:
资产和网络识别是通过对网络流量和协议的深度包检查来完成的,基于“DNP3、ModbusTCP、Ethernet/IP、Profinet、BACNet、AB-PCCC、CIP等协议的知识,以确定协议内部发生了什么以及I/O位于何处,”他说。
* Lee说,网络是“可视化的,而不仅仅是显示信息”。“这种可视化是一种用户友好的方式,可以查看网络,以及它是如何配置为网络的HMI的。”
*其模块化编码允许Cyberlens的开放API(应用程序编程接口)和Lens(插件)模型由用户添加功能。Lee说:“我们的方法是创建一种产品,人们可以在其中添加自己的数据,扩展其功能,或以其他方式修改它以满足他们的独特需求——考虑到ICS被如此广泛和多样化的群体部署,这是至关重要的。”
在beta测试阶段,CyberLens已经在“一个小面粉厂、一个核运营设施、一个汽车制造设施、一个电力设施、两条输油管道、一个水电设施和其他一些地点进行了测试,”Lee说。“在每种情况下,CyberLens都是作为虚拟机部署在现场已经建立的硬件上实时收集流量,部署在连接到网络交换机镜像端口的笔记本电脑上,或者(最常见的是)部署在没有连接到网络的独立计算机上,测试人员使用现有的基础设施从网络中捕获数据包,然后通过工具进行处理。”
除了映射和可视化资产外,CyberLens还维护网络的流量记录和统计数据,允许用户识别其网络上的所有协议、正在使用的带宽量以及特定链路之间传输的数据。时间轴条允许用户在整个数据中及时向后滚动,以识别和可视化整个网络所做的更改。
有一点是明确的,ics的网络安全方法正变得越来越专业化,这不仅可以从CyberLens得到证明,而且还可以从Tempered Networks使用虚拟化的私有覆盖网络,利用现有的工业网络基础设施而且NexDefense公司的网络异常检测系统名为索菲亚.