|
保護關(guān)鍵基礎(chǔ)設(shè)施和系統(tǒng)
網(wǎng)絡(luò)分段,可讓網(wǎng)絡(luò)化物理系統(tǒng)(Cyber Physical Systems, CPS)網(wǎng)絡(luò)抵御不斷演變的攻擊
制造業(yè)和其他關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域正蓬勃發(fā)展,自動化和互聯(lián)互通成為熱門話題。各企業(yè)紛紛推進數(shù)字化轉(zhuǎn)型,以提高效率,但也面臨一個嚴峻的挑戰(zhàn):如何保護那些原本設(shè)計為離線運行、現(xiàn)已連接的系統(tǒng)?
負責(zé)保護 CPS 的 IT 或 OT 安全團隊成員,每天面對日益擴張、有針對性的威脅活動,他們發(fā)現(xiàn):現(xiàn)有的 IT 解決方案在保護 CPS 方面存在不足。系統(tǒng)設(shè)計有其獨特性,比如特殊的架構(gòu)、專有協(xié)議,以及環(huán)境和運營上的限制。這些特性導(dǎo)致傳統(tǒng)的 IT 安全工具無法很好地適配這些系統(tǒng),功能受限,效果不佳。
安全分析師和工程師在日常工作中經(jīng)常遇到技術(shù)不匹配的問題。他們嘗試對現(xiàn)有 IT 工具進行逆向工程,以使其能夠在特殊的環(huán)境中運行,比如 Air Gap 環(huán)境、或者高延遲和地理位置分散的網(wǎng)絡(luò)。
為什么保護 CPS 網(wǎng)絡(luò)需要不一樣的方法?
舊系統(tǒng)
工業(yè) CPS 環(huán)境與 IT 環(huán)境不同,IT 環(huán)境的系統(tǒng)每隔幾年就會更新一次,而工業(yè) CPS 環(huán)境充滿了生命周期長達數(shù)十年的舊式設(shè)備、舊系統(tǒng)。這些環(huán)境中的舊工業(yè)控制系統(tǒng)(Industrial Control Systems, ICS)大多在設(shè)計時未考慮任何安全概念。當時,尚未設(shè)想聯(lián)網(wǎng)問題。這些系統(tǒng)缺乏支持網(wǎng)絡(luò)分段或接受新安全控制的所需功能。
與 IT 系統(tǒng)集成
如今,IT 和 OT 網(wǎng)絡(luò)需要交換數(shù)據(jù)和信息。若要在分段的 OT 網(wǎng)絡(luò)與 IT 基礎(chǔ)設(shè)施之間進行特定通信,就需要企業(yè)內(nèi)部歷來各自為政的不同部門進行協(xié)作。就像 IT 和 OT 之間的技術(shù)差距一樣,人力和流程上的差距也可能導(dǎo)致疏忽、增加復(fù)雜性、重復(fù)工作、運營成本上升、安全風(fēng)險。
分段策略容易出錯
在工業(yè)環(huán)境中實施有效的網(wǎng)絡(luò)分段策略并非易事。資產(chǎn)可視化不足、復(fù)雜的架構(gòu)、眾多專有協(xié)議,使得這一過程容易出錯且成本高昂。此外,這通常需要大量手動操作,對架構(gòu)師和工程師來說成本高、耗時長,還容易因無意的人為錯誤導(dǎo)致疏忽、誤解和失誤。
合規(guī)性執(zhí)行不一致
關(guān)鍵基礎(chǔ)設(shè)施企業(yè)需要遵守許多復(fù)雜的、行業(yè)或地區(qū)特定的法規(guī)和標準。要監(jiān)控并確保符合這些法規(guī),通常要制定精細的、經(jīng)過適當調(diào)整的策略。而許多企業(yè)缺乏這些策略。這可能導(dǎo)致網(wǎng)絡(luò)分段不理想,雖然表面上滿足了合規(guī)的最低要求,但執(zhí)行不一致,實際上并沒有改善網(wǎng)絡(luò)安全態(tài)勢。
不安全的遠程訪問普遍存在
所有工業(yè)環(huán)境都依賴遠程訪問,讓內(nèi)部和第三方人員能夠維護資產(chǎn)。但常見的 IT 實踐存在風(fēng)險,效率低下。遠程訪問需要嚴格的安全管理,否則會削弱網(wǎng)絡(luò)分段的效果,甚至讓原本就缺乏分段的網(wǎng)絡(luò)變得更易受攻擊。
這對安全團隊意味著什么?
雖然許多網(wǎng)絡(luò)安全專業(yè)人員對 IT 環(huán)境非常熟悉,制定安全策略得心應(yīng)手,但在 CPS 環(huán)境中,他們的經(jīng)驗和工具并不完全適用。IT 安全分析師和 OT 安全工程師利用所能獲取的、有限的信息,盡可能制定最佳的網(wǎng)絡(luò)分段策略,以保護關(guān)鍵基礎(chǔ)設(shè)施,但他們在工作中仍面臨許多困難:
-
缺乏深入的資產(chǎn)信息,無法確定哪些現(xiàn)有通信是正常的、必要的;
-
設(shè)計和實施的策略可能無法有效保護網(wǎng)絡(luò),甚至可能因錯誤阻止通信,導(dǎo)致網(wǎng)絡(luò)中斷;
-
由于設(shè)備之間的依賴關(guān)系未知。如果設(shè)備出現(xiàn)故障,則需要面對復(fù)雜的恢復(fù)步驟。
專門為 CPS 設(shè)計的網(wǎng)絡(luò)保護,如何幫助安全團隊更有效地工作?
當 IT 和 OT 安全分析師及工程師全面了解其網(wǎng)絡(luò)中的資產(chǎn)、以及內(nèi)部和外部通信方式時,他們就能更輕松地開展工作。彌補可視化差距會帶來顯著的改善,使合理的網(wǎng)絡(luò)分段基于準確的信息,而非直覺或經(jīng)驗猜測。
除了可視化,CPS 保護平臺基于策略的方法,可提供關(guān)于允許和禁止通信的明智建議,并具備適應(yīng)環(huán)境變化的能力,同時深入了解 CPS 網(wǎng)絡(luò)的復(fù)雜性,以提供更高效的安全防護。基于策略的方法包括:策略決策點(Policy Decision Points, PDP)、策略執(zhí)行點(Policy Enforcement Points, PEP)。
如何利用 CPS 保護平臺做出明智的網(wǎng)絡(luò)保護決策,并降低企業(yè)風(fēng)險。
1. 從可視化開始
網(wǎng)絡(luò)保護的第一步:獲得網(wǎng)絡(luò)上所有設(shè)備的完整可視化。
在 CPS 中,可視化已成為被動發(fā)現(xiàn)(Passive Discovery)技術(shù)的代名詞。長期以來,這是唯一的選擇。盡管它對于了解網(wǎng)絡(luò)流量和通信模式仍然必不可少,但這種基于硬件的數(shù)據(jù)包嗅探方法帶來了資源挑戰(zhàn),需要投入時間和金錢。
盡管需要被動發(fā)現(xiàn)來實現(xiàn)網(wǎng)絡(luò)保護目標,但從非被動技術(shù)開始仍有其價值。部署安全查詢(Safe Query)可執(zhí)行文件、或利用現(xiàn)有集成,獲取環(huán)境中詳細的資產(chǎn)信息,可以在數(shù)小時內(nèi)而不是數(shù)月內(nèi)提供可視化的基礎(chǔ),無需硬件部署,無需停機。
Claroty 的一家食品與飲料行業(yè)客戶,在全球范圍內(nèi)運營數(shù)據(jù)中心。他們的網(wǎng)絡(luò)分段始于結(jié)合使用多種發(fā)現(xiàn)方法,包括:被動發(fā)現(xiàn)、非被動發(fā)現(xiàn)。動態(tài)發(fā)現(xiàn)(Dynamic Discovery)為他們提供了詳細的資產(chǎn)信息,并確定了適合的中央交換機(Central Switches),在這些交換機上,被動監(jiān)察(Passive Monitoring)可以豐富數(shù)據(jù),從而最大限度地降低風(fēng)險。
為了實現(xiàn)網(wǎng)絡(luò)保護,這種快速的可視化,可幫助企業(yè)確定在哪個物理位置部署被動深度包檢測(Deep Packet Inspection, DPI)技術(shù)。根據(jù)特定需求和架構(gòu)定制可視化,加快價值實現(xiàn)速度,即使在部署被動發(fā)現(xiàn)硬件的情況下也是如此。
DPI 與 Claroty 支持最全面的 CPS 協(xié)議相結(jié)合,提供分析設(shè)備通信所需的詳細信息,并為用戶提供網(wǎng)絡(luò)通信模式的可視化視圖。
DPI 和主動查詢(ACTIVE QUERIES)可以提供設(shè)備位置、關(guān)系和通信的上下文,用于創(chuàng)建網(wǎng)絡(luò)圖(NETWORK GRAPH)
2. 建立安全區(qū)域
為系統(tǒng)內(nèi)需要隔離的資產(chǎn)定義安全區(qū)域。
了解系統(tǒng)中存在的所有資產(chǎn)及其物理位置后,下一步就是建立安全區(qū)域。通過劃分或隔離網(wǎng)絡(luò),限制橫向移動,減少攻擊面,為關(guān)鍵資產(chǎn)提供多層保護。
Claroty 的客戶常用以下幾種方法,對資產(chǎn)進行分類以定義分割區(qū)域:
-
按網(wǎng)絡(luò)架構(gòu)
-
按地理位置
-
按安全敏感度或風(fēng)險容忍度
-
按訪問敏感度
Claroty 還會根據(jù)您的網(wǎng)絡(luò)拓撲結(jié)構(gòu),提供推薦的安全區(qū)域。您還可以利用現(xiàn)有基礎(chǔ)設(shè)施內(nèi)的技術(shù)來實現(xiàn)分段,包括:
-
防火墻:適用于精確控制網(wǎng)段之間、以及與外部通信之間的網(wǎng)絡(luò)流量。它們專注于流量管理,旨在防止橫向移動。
-
VLAN(虛擬局域網(wǎng)):根據(jù)角色、功能或安全級別進行邏輯分段。當環(huán)境中某些部分物理分離時,通常更容易部署。
-
NAC(網(wǎng)絡(luò)訪問控制):提供對連接到網(wǎng)絡(luò)的設(shè)備的動態(tài)和自動化控制。它們適用于持續(xù)的設(shè)備合規(guī)性檢查,專為具有多種設(shè)備類型的環(huán)境設(shè)計。
在獲得設(shè)備及其網(wǎng)絡(luò)通信的可視化后,Claroty 的食品與飲料行業(yè)客戶發(fā)現(xiàn):基于資產(chǎn)類型的區(qū)域劃分是最適合的分段方式。他們使用了 Claroty 推薦的區(qū)域來建立最能定義每個資產(chǎn)組的設(shè)備條件。
Claroty 的推薦區(qū)域(CLAROTY'S RECOMMENDED ZONES)為資產(chǎn)分組提供了明智的選項,并在團隊推動 CPS 安全進程時,提供更多洞察
3. 模擬通信以監(jiān)察行為
創(chuàng)建區(qū)域之間的通信策略,并監(jiān)察設(shè)備行為。
建立安全區(qū)域后,安全團隊可以觀察區(qū)域之間的正常通信行為。隨后創(chuàng)建一個基準,以此為基礎(chǔ)制定相關(guān)策略。
為每臺設(shè)備單獨創(chuàng)建策略,是不切實際的。但針對設(shè)備類型或設(shè)備組創(chuàng)建策略,可以使分段既有效又可擴展。
有助于理解設(shè)備之間交互的通信映射類型,包括:
這種細粒度的映射,讓管理員能夠清晰地識別通信流、評估風(fēng)險,并設(shè)計適合其網(wǎng)絡(luò)拓撲結(jié)構(gòu)的有效分段策略。您可能會發(fā)現(xiàn)某個設(shè)備允許了不應(yīng)有的外部通信,或者發(fā)現(xiàn)某個工程工作站(Engineering Workstation, EWS)與樓宇管理系統(tǒng)(Building Management System, BMS)頻繁通信,又或者發(fā)現(xiàn)某個 PLC 正在與 SCADA 服務(wù)器進行不正常的通信。
創(chuàng)建安全區(qū)域后,Claroty 的食品與飲料行業(yè)客戶就開始監(jiān)察區(qū)域之間的通信,以制定策略。對于客戶的團隊來說,這是一個激動人心的時刻,因為他們獲得的所有情報和分析得到了應(yīng)用。使用 Claroty 推薦的策略,大大減少了手動工作和多余的猜測,例如,設(shè)置機械臂如何與 PLC 通信、任何 EWS 是否可以與互聯(lián)網(wǎng)通信、以及控制器可以通過哪些端口接收輸入。
網(wǎng)絡(luò)圖中的詳細通信信息,可幫助安全團隊識別異常,并了解 CPS 環(huán)境中的正常情況
通信策略的技巧
您不僅要防止惡意活動破壞關(guān)鍵系統(tǒng),還必須確保安全策略不會破壞這些系統(tǒng)。
網(wǎng)絡(luò)策略的設(shè)計必須避免對系統(tǒng)功能產(chǎn)生負面影響。在實施策略之前,務(wù)必在非生產(chǎn)環(huán)境中測試策略,以確定任何未預(yù)見的后果。
Claroty 根據(jù)每個資產(chǎn)組的通信基準,自動推薦專家定義的策略,最大限度地減少這種不確定性。您可以隨后測試、監(jiān)察并進一步完善這些策略,然后再實施。那么,您可以確保您的 OT 網(wǎng)絡(luò)策略充分考慮了環(huán)境的獨特要求和潛在限制,能夠自信地實施網(wǎng)絡(luò)分段,而不會帶來額外的風(fēng)險。
區(qū)域矩陣(ZONE MATRIX)支持團隊評估已應(yīng)用策略的有效性,可直接修改應(yīng)用于區(qū)域?qū)Γ╖ONE PAIRS)的策略
4. 偏差警報
針對偏離預(yù)期行為的異常情況,發(fā)出警報,并隨時間調(diào)整策略。
策略實施后,必須對其進行監(jiān)察,以確保行為持續(xù)符合預(yù)期。也許每個月都會發(fā)生一次網(wǎng)絡(luò)流量事件,在測試期間并未發(fā)生。雖然是細微偏差,但也需要調(diào)整策略,以確保系統(tǒng)性能持續(xù)符合預(yù)期。
在觀察和調(diào)查偏離正常通信行為的報警時,您可能會遇到需要復(fù)雜策略的情況。這些網(wǎng)絡(luò)策略會使用通信條件(例如,協(xié)議或端口)來制定“if,then”類型的決策。例如,如果通信設(shè)備通過端口 37020 使用 OPAD,則允許 IoT 服務(wù)器和 BMS 之間的通信。
自定義策略有助于滿足每個企業(yè)和環(huán)境的獨特需求,適當降低風(fēng)險,不影響生產(chǎn)
接收實時警報,讓安全團隊能夠在實施的早期階段測試策略的執(zhí)行情況。同時,也便于調(diào)查和修復(fù)任何入侵或攻擊的跡象。
這些警報是網(wǎng)絡(luò)中心風(fēng)險降低計劃中 PDP 重要的一部分。當某事或某人改變了預(yù)期的設(shè)備通信行為時,會發(fā)出警告信號。許多威脅向量,包括:橫向移動、惡意軟件、中間人(man-in-the-middle, MitM)攻擊、漏洞利用鏈,都可能導(dǎo)致設(shè)備通信發(fā)生變化。
警報(ALERTS)使團隊能夠在策略執(zhí)行之前進行測試,并進行微調(diào),以實現(xiàn)限制與生產(chǎn)持續(xù)運行之間的最佳平衡
在測試其既定策略時,Claroty 的食品與飲料行業(yè)客戶發(fā)現(xiàn)了兩個重要問題。首先,他們有一類交換機暴露在互聯(lián)網(wǎng)上,這顯著增加了攻擊面和影響整體風(fēng)險評分。其次,他們最重要的生產(chǎn)線上的一臺 Rockwell HMI在端口 3389 上接收流量。根據(jù)他們最初的策略,拒絕與該端口進行通信,但該 HMI需要從特定服務(wù)器接收數(shù)據(jù),因此他們對策略進行了定制,以更好地適應(yīng)其環(huán)境。
5. 執(zhí)行策略
與 NAC 或防火墻集成,以執(zhí)行網(wǎng)絡(luò)通信策略。
正如上述,基于策略的網(wǎng)絡(luò)保護方法需要 PDP 和 PEP。我們已經(jīng)通過警報測試,初步完善了策略,終于到了執(zhí)行策略的階段。
PEP 接受 PDP 的決策,并嚴格執(zhí)行。PEP 包括 NAC、防火墻和 VLAN,它們會根據(jù)您創(chuàng)建的策略,允許或阻止設(shè)備通信。
集成 PDP 和 PEP,有助于簡化這一流程,使策略能夠應(yīng)用于 NAC 或防火墻。這種集成還使策略能夠根據(jù)執(zhí)行點的反饋進行動態(tài)優(yōu)化。
Gartner 認為:“PDP 和 PEP 都是構(gòu)建基本零信任架構(gòu)的基礎(chǔ)。”PDP 會根據(jù)已定義的策略,評估訪問請求;并根據(jù)上下文信息做出授權(quán)決策。PDP 相當于整個操作的“大腦”,指導(dǎo) PEP 行動。
Claroty 的食品與飲料行業(yè)客戶,其團隊已準備好將經(jīng)過測試的策略添加到其 Palo Alto 防火墻中,以開始控制其分段網(wǎng)絡(luò)中的流量。執(zhí)行策略后,他們繼續(xù)在 xDome中監(jiān)察偏差警報(Deviation Alerts),將其作為威脅的早期預(yù)警系統(tǒng),并識別設(shè)備變更帶來的意外后果。此后,他們成功阻止了一次針對性勒索軟件攻擊的早期跡象,通過識別橫向移動企圖,避免了企業(yè)遭受重大財務(wù)和聲譽損失。
Gartner于2023年12月15日發(fā)布的《預(yù)測2024年:零信任走向成熟(PREDICTS 2024: ZERO TRUST JOURNEY TO MATURITY)》
Claroty 深知 PDP 的重要性,提供根據(jù)您的 NAC 或防火墻預(yù)先編寫的策略,同時提供可以直接推送到防火墻的區(qū)域,以進一步簡化此工作流程。
總結(jié)
網(wǎng)絡(luò)分段可消除各類風(fēng)險。
然而,這并非易事。需要投入時間和精力才能做好,而且風(fēng)險影響巨大。Claroty 發(fā)現(xiàn):在所有修復(fù)措施中,網(wǎng)絡(luò)分段最能降低風(fēng)險,比修復(fù)數(shù)百臺設(shè)備上的 CVE 的效果高出 12 倍。
網(wǎng)絡(luò)保護控制措施,可顯著降低擁有 CPS 的企業(yè)所面臨的風(fēng)險
與提供 CPS 保護平臺的供應(yīng)商合作,為您提供網(wǎng)絡(luò)和設(shè)備通信的可視化、上下文信息、分析,能夠?qū)嵤┯行У摹⒁跃W(wǎng)絡(luò)為中心的風(fēng)險降低策略。Claroty 獲評 2025 年 Gartner® CPS 保護平臺魔力象限™ 領(lǐng)導(dǎo)者,可保障 CPS 安全。
關(guān)于 Claroty
Claroty 憑借無與倫比的、以工業(yè)為主的平臺,重新定義了網(wǎng)絡(luò)化物理系統(tǒng)(Cyber Physical Systems, CPS)防護。Claroty 平臺旨在保護關(guān)鍵任務(wù)型基礎(chǔ)設(shè)施,提供市場上最深入的資產(chǎn)可視化、最廣泛的 CPS 安全解決方案,涵蓋了風(fēng)險管理、網(wǎng)絡(luò)保護、安全訪問、威脅檢測,可以在云端使用 Claroty xDome,也可以在本地部署 Claroty CTD。Claroty 平臺以屢獲殊榮的威脅研究和技術(shù)聯(lián)盟為后盾,讓企業(yè)有效地降低 CPS 風(fēng)險,以最快的時間實現(xiàn)價值并降低總擁有成本。在全球范圍內(nèi),已有數(shù)百家企業(yè)在數(shù)千個站點部署了 Claroty。
本文來源:Claroty 白皮書 《 5 Steps for Network Segmentation in Cyber-Physical Systems 》
|
