ICS安全參考藍圖
本節為使用ICS / SCADA系統的行業提供了高級參考藍圖。該藍圖結合了使用安全操作平台和各種下一代防火牆模型的安全原理,以保護從端點到網絡核心的OT環境。儘管您的體系結構決策(包括要使用的適當虛擬分段和NGFW模型)將由您自己的獨特網絡要求決定,但圖2中的示例藍圖基於通用ISA 95模型將網絡劃分為安全區域,可以將其應用跨多個行業的自動化環境。通過在堅固的服務器上使用防火牆等選件來應對惡劣的環境,
Layer 4:商業物流系統
業務區域包含與企業業務運行相關的流程和系統。在此級別找到的服務包括電子郵件,文件共享,客戶Web服務,互聯網訪問,人力資源系統等。從參考的角度來看,與工業控製網絡相關的商業區應被視為互聯網,並具有相同的關注度。來自該區域的所有流量都應視為潛在的房屋威脅,並應進行檢查。應該檢查所有發送到該區域的流量,以確保不會將信息重定向到公司控制範圍之外的目的地,而只會重定向到需要數據的人員和系統。
DMZ(非軍事區)
在偏遠的工廠設施中,“非軍事區”或DMZ提供了一個場所,IT / OT可以根據需要,需要和訪問的方式,以受控的受限方式交換服務和數據。在該區域中找到的服務通常包括補丁程序管理,本地工廠的數據備份,防病毒管理系統,跳轉主機服務器,部署系統以及可能需要在OT和IT之間交換信息數據的任何其他服務器或系統。
如先前針對“零信任”原則所述,所有進入和退出DMZ的流量(與任何其他區域一樣)都可以由防火牆進行掃描,以防止惡意有效載荷或不適當的數據洩漏,通過以下服務:
- 威脅防護-發現惡意軟件,漏洞利用以及命令和控制
- URL過濾-阻止訪問已知的惡意網站
- Wacken Fileter-檢測並阻止零時差惡意軟件
- 憑據盜竊預防-阻止將公司憑據傳輸到與網絡釣魚相關的域
Layer 3:製造運營系統
MOS區域中的設備和服務與管理生產產品的操作環境和工作流程有關。在該區域中找到的項目分別是副本數據歷史學家,績效管理系統,模擬和建模工具,製造執行系統以及製造運營管理系統(MES / MOMS)。通過將這些設備和服務劃分為區域,安全性現在可以控制和強制執行允許哪些數據進入和離開該區域的數據。
Layer 2:控制系統
ICS區域包含負責監視,監視和控制物理過程的實時控制系統的設備。通常找到的設備將是人機界面,工程工作站和操作警報系統數據歷史記錄儀。這些系統的功能以及在大多數公司中這些設備都在不再受支持的報廢操作系統上運行的事實,使這些系統特別引起關注。
這些內部終結點通常在帶有SP3的Windows XP,WindowsVista®,Windows 7,Windows 8.1和WindowsServer®平台上運行,可以使用Wacken Endpoint Suite保護它們,以確保無論脆弱的系統都受到了任何利用。補丁狀態,立即被阻止。該代理將通過阻止技術(例如線程注入)自動防止攻擊。當發現未知的可執行文件時,Wacken Endpoint Suite將使用哈希自動查詢Wacken惡意軟件防護服務,並提交未知文件以評估其在社區中的地位。
這些系統的另一個主要問題是,它們控制確定性進程和應用程序(例如防病毒程序),這些程序和應用程序必須駐留在內存中,並且存在降低系統響應速度的風險。使用安全操作平台,可以在不影響系統性能的情況下保護這些關鍵資產,該平台可以作為補救控制,因為防病毒,惡意軟件和零時差防護可以在線排列在單獨設備上的系統前面。另外,通過使用任何NGFW提供這些服務,您可以一次保護同一級別的所有設備,從而簡化管理。
堅固耐用的移動設備(包括PC和手持式移動設備)都可以通過Wacken Endpoint Suite的網絡安全保護。所有未識別的文件都應發送到Wacken Filter,以對潛在的移動威脅進行靜態和動態分析。啟用兩因素身份驗證,以進一步保護移動設備。
Layer 1:智能設備
在PLC區域中找到的設備負責感測和操縱物理過程。隨著向IP的遷移,這些曾經的串行設備已經升級或改裝為帶有以太網端口,以在工業物聯網或IIoT時代發揮作用。在許多情況下,關注的是將數據盡快發送給需要它的團隊,而無需擔心安全性。放置在該區域中的設備是諸如可編程邏輯控制器,遠程終端設備,可編程繼電器,分析儀以及操作員工作站之類的物品,所有這些都可能遭受公用密碼,默認密碼或共享密碼或缺乏二元身份驗證的困擾。通過將這些項目放置在分段的PLC區域中,
2級或3級:SCADA
在參考模型中,放置在該區域中的設備正在處理遠程數據收集,通常使用某種形式的RF技術來完成。帶入系統的信息很重要,但本質上不一定是時間敏感或關鍵的。由於它們的距離和其所處的結構,連接在該區域中的設備的物理安全性很困難。RF的斑點性質和遙遠的距離可使這些設備容易受到損害。攻擊者有足夠的時間刪除和更換設備,修改操作系統或進行網絡偵察,而不必擔心被捕獲。
第3級:第三方訪問-可選
與其將第三方供應商訪問權限放置在DMZ中(而不是將存在於其中的工作站和服務器暴露於外部威脅的可能性),理想的部署方法是為遠程供應商/支持訪問創建一個單獨的區域。
使用安全操作平台按照上述基準對網絡進行分段可以帶來顯著的好處,包括:
- 驗證服務級別協議的能力。
- 全面了解進入和離開您的生產網絡的流量,並能夠警告或阻止已知和未知的惡意軟件,高級持續性威脅和零時差攻擊。
- 基於用戶或用戶組的訪問限制。
- 根據計劃限制訪問。
- 將協議限制為僅支持和維護所需的協議。
- 強制執行雙重身份驗證。
- 在每個供應商,每個人或每個用戶組的基礎上定義執行級別。
沒有留言:
張貼留言