|
保護關鍵基礎設施和系統
網絡分段,可讓網絡化物理系統(Cyber Physical Systems, CPS)網絡抵御不斷演變的攻擊
制造業和其他關鍵基礎設施領域正蓬勃發展,自動化和互聯互通成為熱門話題。各企業紛紛推進數字化轉型,以提高效率,但也面臨一個嚴峻的挑戰:如何保護那些原本設計為離線運行、現已連接的系統?
負責保護 CPS 的 IT 或 OT 安全團隊成員,每天面對日益擴張、有針對性的威脅活動,他們發現:現有的 IT 解決方案在保護 CPS 方面存在不足。系統設計有其獨特性,比如特殊的架構、專有協議,以及環境和運營上的限制。這些特性導致傳統的 IT 安全工具無法很好地適配這些系統,功能受限,效果不佳。
安全分析師和工程師在日常工作中經常遇到技術不匹配的問題。他們嘗試對現有 IT 工具進行逆向工程,以使其能夠在特殊的環境中運行,比如 Air Gap 環境、或者高延遲和地理位置分散的網絡。
為什么保護 CPS 網絡需要不一樣的方法?
舊系統
工業 CPS 環境與 IT 環境不同,IT 環境的系統每隔幾年就會更新一次,而工業 CPS 環境充滿了生命周期長達數十年的舊式設備、舊系統。這些環境中的舊工業控制系統(Industrial Control Systems, ICS)大多在設計時未考慮任何安全概念。當時,尚未設想聯網問題。這些系統缺乏支持網絡分段或接受新安全控制的所需功能。
與 IT 系統集成
如今,IT 和 OT 網絡需要交換數據和信息。若要在分段的 OT 網絡與 IT 基礎設施之間進行特定通信,就需要企業內部歷來各自為政的不同部門進行協作。就像 IT 和 OT 之間的技術差距一樣,人力和流程上的差距也可能導致疏忽、增加復雜性、重復工作、運營成本上升、安全風險。
分段策略容易出錯
在工業環境中實施有效的網絡分段策略并非易事。資產可視化不足、復雜的架構、眾多專有協議,使得這一過程容易出錯且成本高昂。此外,這通常需要大量手動操作,對架構師和工程師來說成本高、耗時長,還容易因無意的人為錯誤導致疏忽、誤解和失誤。
合規性執行不一致
關鍵基礎設施企業需要遵守許多復雜的、行業或地區特定的法規和標準。要監控并確保符合這些法規,通常要制定精細的、經過適當調整的策略。而許多企業缺乏這些策略。這可能導致網絡分段不理想,雖然表面上滿足了合規的最低要求,但執行不一致,實際上并沒有改善網絡安全態勢。
不安全的遠程訪問普遍存在
所有工業環境都依賴遠程訪問,讓內部和第三方人員能夠維護資產。但常見的 IT 實踐存在風險,效率低下。遠程訪問需要嚴格的安全管理,否則會削弱網絡分段的效果,甚至讓原本就缺乏分段的網絡變得更易受攻擊。
這對安全團隊意味著什么?
雖然許多網絡安全專業人員對 IT 環境非常熟悉,制定安全策略得心應手,但在 CPS 環境中,他們的經驗和工具并不完全適用。IT 安全分析師和 OT 安全工程師利用所能獲取的、有限的信息,盡可能制定最佳的網絡分段策略,以保護關鍵基礎設施,但他們在工作中仍面臨許多困難:
-
缺乏深入的資產信息,無法確定哪些現有通信是正常的、必要的;
-
設計和實施的策略可能無法有效保護網絡,甚至可能因錯誤阻止通信,導致網絡中斷;
-
由于設備之間的依賴關系未知。如果設備出現故障,則需要面對復雜的恢復步驟。
專門為 CPS 設計的網絡保護,如何幫助安全團隊更有效地工作?
當 IT 和 OT 安全分析師及工程師全面了解其網絡中的資產、以及內部和外部通信方式時,他們就能更輕松地開展工作。彌補可視化差距會帶來顯著的改善,使合理的網絡分段基于準確的信息,而非直覺或經驗猜測。
除了可視化,CPS 保護平臺基于策略的方法,可提供關于允許和禁止通信的明智建議,并具備適應環境變化的能力,同時深入了解 CPS 網絡的復雜性,以提供更高效的安全防護。基于策略的方法包括:策略決策點(Policy Decision Points, PDP)、策略執行點(Policy Enforcement Points, PEP)。
如何利用 CPS 保護平臺做出明智的網絡保護決策,并降低企業風險。
1. 從可視化開始
網絡保護的第一步:獲得網絡上所有設備的完整可視化。
在 CPS 中,可視化已成為被動發現(Passive Discovery)技術的代名詞。長期以來,這是唯一的選擇。盡管它對于了解網絡流量和通信模式仍然必不可少,但這種基于硬件的數據包嗅探方法帶來了資源挑戰,需要投入時間和金錢。
盡管需要被動發現來實現網絡保護目標,但從非被動技術開始仍有其價值。部署安全查詢(Safe Query)可執行文件、或利用現有集成,獲取環境中詳細的資產信息,可以在數小時內而不是數月內提供可視化的基礎,無需硬件部署,無需停機。
Claroty 的一家食品與飲料行業客戶,在全球范圍內運營數據中心。他們的網絡分段始于結合使用多種發現方法,包括:被動發現、非被動發現。動態發現(Dynamic Discovery)為他們提供了詳細的資產信息,并確定了適合的中央交換機(Central Switches),在這些交換機上,被動監察(Passive Monitoring)可以豐富數據,從而最大限度地降低風險。
為了實現網絡保護,這種快速的可視化,可幫助企業確定在哪個物理位置部署被動深度包檢測(Deep Packet Inspection, DPI)技術。根據特定需求和架構定制可視化,加快價值實現速度,即使在部署被動發現硬件的情況下也是如此。
DPI 與 Claroty 支持最全面的 CPS 協議相結合,提供分析設備通信所需的詳細信息,并為用戶提供網絡通信模式的可視化視圖。
DPI 和主動查詢(ACTIVE QUERIES)可以提供設備位置、關系和通信的上下文,用于創建網絡圖(NETWORK GRAPH)
2. 建立安全區域
為系統內需要隔離的資產定義安全區域。
了解系統中存在的所有資產及其物理位置后,下一步就是建立安全區域。通過劃分或隔離網絡,限制橫向移動,減少攻擊面,為關鍵資產提供多層保護。
Claroty 的客戶常用以下幾種方法,對資產進行分類以定義分割區域:
-
按網絡架構
-
按地理位置
-
按安全敏感度或風險容忍度
-
按訪問敏感度
Claroty 還會根據您的網絡拓撲結構,提供推薦的安全區域。您還可以利用現有基礎設施內的技術來實現分段,包括:
-
防火墻:適用于精確控制網段之間、以及與外部通信之間的網絡流量。它們專注于流量管理,旨在防止橫向移動。
-
VLAN(虛擬局域網):根據角色、功能或安全級別進行邏輯分段。當環境中某些部分物理分離時,通常更容易部署。
-
NAC(網絡訪問控制):提供對連接到網絡的設備的動態和自動化控制。它們適用于持續的設備合規性檢查,專為具有多種設備類型的環境設計。
在獲得設備及其網絡通信的可視化后,Claroty 的食品與飲料行業客戶發現:基于資產類型的區域劃分是最適合的分段方式。他們使用了 Claroty 推薦的區域來建立最能定義每個資產組的設備條件。
Claroty 的推薦區域(CLAROTY'S RECOMMENDED ZONES)為資產分組提供了明智的選項,并在團隊推動 CPS 安全進程時,提供更多洞察
3. 模擬通信以監察行為
創建區域之間的通信策略,并監察設備行為。
建立安全區域后,安全團隊可以觀察區域之間的正常通信行為。隨后創建一個基準,以此為基礎制定相關策略。
為每臺設備單獨創建策略,是不切實際的。但針對設備類型或設備組創建策略,可以使分段既有效又可擴展。
有助于理解設備之間交互的通信映射類型,包括:
這種細粒度的映射,讓管理員能夠清晰地識別通信流、評估風險,并設計適合其網絡拓撲結構的有效分段策略。您可能會發現某個設備允許了不應有的外部通信,或者發現某個工程工作站(Engineering Workstation, EWS)與樓宇管理系統(Building Management System, BMS)頻繁通信,又或者發現某個 PLC 正在與 SCADA 服務器進行不正常的通信。
創建安全區域后,Claroty 的食品與飲料行業客戶就開始監察區域之間的通信,以制定策略。對于客戶的團隊來說,這是一個激動人心的時刻,因為他們獲得的所有情報和分析得到了應用。使用 Claroty 推薦的策略,大大減少了手動工作和多余的猜測,例如,設置機械臂如何與 PLC 通信、任何 EWS 是否可以與互聯網通信、以及控制器可以通過哪些端口接收輸入。
網絡圖中的詳細通信信息,可幫助安全團隊識別異常,并了解 CPS 環境中的正常情況
通信策略的技巧
您不僅要防止惡意活動破壞關鍵系統,還必須確保安全策略不會破壞這些系統。
網絡策略的設計必須避免對系統功能產生負面影響。在實施策略之前,務必在非生產環境中測試策略,以確定任何未預見的后果。
Claroty 根據每個資產組的通信基準,自動推薦專家定義的策略,最大限度地減少這種不確定性。您可以隨后測試、監察并進一步完善這些策略,然后再實施。那么,您可以確保您的 OT 網絡策略充分考慮了環境的獨特要求和潛在限制,能夠自信地實施網絡分段,而不會帶來額外的風險。
區域矩陣(ZONE MATRIX)支持團隊評估已應用策略的有效性,可直接修改應用于區域對(ZONE PAIRS)的策略
4. 偏差警報
針對偏離預期行為的異常情況,發出警報,并隨時間調整策略。
策略實施后,必須對其進行監察,以確保行為持續符合預期。也許每個月都會發生一次網絡流量事件,在測試期間并未發生。雖然是細微偏差,但也需要調整策略,以確保系統性能持續符合預期。
在觀察和調查偏離正常通信行為的報警時,您可能會遇到需要復雜策略的情況。這些網絡策略會使用通信條件(例如,協議或端口)來制定“if,then”類型的決策。例如,如果通信設備通過端口 37020 使用 OPAD,則允許 IoT 服務器和 BMS 之間的通信。
自定義策略有助于滿足每個企業和環境的獨特需求,適當降低風險,不影響生產
接收實時警報,讓安全團隊能夠在實施的早期階段測試策略的執行情況。同時,也便于調查和修復任何入侵或攻擊的跡象。
這些警報是網絡中心風險降低計劃中 PDP 重要的一部分。當某事或某人改變了預期的設備通信行為時,會發出警告信號。許多威脅向量,包括:橫向移動、惡意軟件、中間人(man-in-the-middle, MitM)攻擊、漏洞利用鏈,都可能導致設備通信發生變化。
警報(ALERTS)使團隊能夠在策略執行之前進行測試,并進行微調,以實現限制與生產持續運行之間的最佳平衡
在測試其既定策略時,Claroty 的食品與飲料行業客戶發現了兩個重要問題。首先,他們有一類交換機暴露在互聯網上,這顯著增加了攻擊面和影響整體風險評分。其次,他們最重要的生產線上的一臺 Rockwell HMI在端口 3389 上接收流量。根據他們最初的策略,拒絕與該端口進行通信,但該 HMI需要從特定服務器接收數據,因此他們對策略進行了定制,以更好地適應其環境。
5. 執行策略
與 NAC 或防火墻集成,以執行網絡通信策略。
正如上述,基于策略的網絡保護方法需要 PDP 和 PEP。我們已經通過警報測試,初步完善了策略,終于到了執行策略的階段。
PEP 接受 PDP 的決策,并嚴格執行。PEP 包括 NAC、防火墻和 VLAN,它們會根據您創建的策略,允許或阻止設備通信。
集成 PDP 和 PEP,有助于簡化這一流程,使策略能夠應用于 NAC 或防火墻。這種集成還使策略能夠根據執行點的反饋進行動態優化。
Gartner 認為:“PDP 和 PEP 都是構建基本零信任架構的基礎。”PDP 會根據已定義的策略,評估訪問請求;并根據上下文信息做出授權決策。PDP 相當于整個操作的“大腦”,指導 PEP 行動。
Claroty 的食品與飲料行業客戶,其團隊已準備好將經過測試的策略添加到其 Palo Alto 防火墻中,以開始控制其分段網絡中的流量。執行策略后,他們繼續在 xDome中監察偏差警報(Deviation Alerts),將其作為威脅的早期預警系統,并識別設備變更帶來的意外后果。此后,他們成功阻止了一次針對性勒索軟件攻擊的早期跡象,通過識別橫向移動企圖,避免了企業遭受重大財務和聲譽損失。
Gartner于2023年12月15日發布的《預測2024年:零信任走向成熟(PREDICTS 2024: ZERO TRUST JOURNEY TO MATURITY)》
Claroty 深知 PDP 的重要性,提供根據您的 NAC 或防火墻預先編寫的策略,同時提供可以直接推送到防火墻的區域,以進一步簡化此工作流程。
總結
網絡分段可消除各類風險。
然而,這并非易事。需要投入時間和精力才能做好,而且風險影響巨大。Claroty 發現:在所有修復措施中,網絡分段最能降低風險,比修復數百臺設備上的 CVE 的效果高出 12 倍。
網絡保護控制措施,可顯著降低擁有 CPS 的企業所面臨的風險
與提供 CPS 保護平臺的供應商合作,為您提供網絡和設備通信的可視化、上下文信息、分析,能夠實施有效的、以網絡為中心的風險降低策略。Claroty 獲評 2025 年 Gartner® CPS 保護平臺魔力象限™ 領導者,可保障 CPS 安全。
關于 Claroty
Claroty 憑借無與倫比的、以工業為主的平臺,重新定義了網絡化物理系統(Cyber Physical Systems, CPS)防護。Claroty 平臺旨在保護關鍵任務型基礎設施,提供市場上最深入的資產可視化、最廣泛的 CPS 安全解決方案,涵蓋了風險管理、網絡保護、安全訪問、威脅檢測,可以在云端使用 Claroty xDome,也可以在本地部署 Claroty CTD。Claroty 平臺以屢獲殊榮的威脅研究和技術聯盟為后盾,讓企業有效地降低 CPS 風險,以最快的時間實現價值并降低總擁有成本。在全球范圍內,已有數百家企業在數千個站點部署了 Claroty。
本文來源:Claroty 白皮書 《 5 Steps for Network Segmentation in Cyber-Physical Systems 》
|
