工业网络安全

网络访问控制是OT安全的重要组成部分

Sarah Kolberg和Tobias Heer
12.19.2023
相关标签
OT
安全性
网络访问控制
分享
在提高 OT 安全性方面,网络访问控制是最有效的工具之一。阅读我们的博客,了解它在工业网络中扮演的角色。

 

当您在网络安全方面比较OT和IT系统时,两者各有其特点和要求。

 

为了更深入地了解网络访问控制如何支持强大的 OT 安全工作,我们采访了德国埃斯林根应用技术大学 IT 安全和网络教授 Tobias Heer 博士。自 2012 年以来,他一直是 Belden 团队的一员,担任 Belden 品牌 Hirschmann 的未来网络技术研究员。

 

下面,我们将分享他对有关 OT 安全问题的回答。

 

问:为什么一些业界经过验证的安全概念(例如气隙)不再实用?

 

答:

在数字化之前,没有必要将生产连接到网络。如今,在工业 4.0 时代,企业和生产高度数字化,并基于信息交换,这是隔离系统无法实现的。如果你想实现生产现代化,那么 气隙 不实用。

 

我还敢怀疑,过去依赖气隙的公司是否一直都有气隙。通常,调制解调器被连接起来以在生产设施内交换信息,或者通过存储介质(例如 USB 或软盘)传输数据。这些通常不受控制,这为 OT 安全攻击留下了空间。

 

问:网络访问控制在工业网络中扮演什么角色?

 

答:

网络访问控制 (NAC) 是 OT 安全的几种工具之一。它不是涵盖所有安全措施的灵丹妙药,但它是最有效的工具之一。当攻击者是本地(现场)时,以及当攻击者来自外部时,它都有效。

 

本地网络攻击

在大型或地理位置分散的设施中,针对 OT 安全的本地攻击频繁发生。生产设施的安全性在物理上很难控制。只需插入设备并访问网络即可轻松完成。由于连接不正确,系统也可能受到损害。在这些情况下,NAC 很有帮助,因为设备不能以不受控制的方式简单地连接到本地网络。在内部攻击中,攻击者必须进行身份验证才能将设备连接到工业网络。借助 NAC,您可以看到连接到网络的每个网络设备和端点并对其进行响应。这样就创造了透明度,以便您可以了解网络中发生的情况。

 

外部网络攻击

另一种可能性是攻击者来自外部并渗透到网络中已有的系统。来自外部的攻击总是会导致内部设备受到损害。NAC 也可以在这里提供帮助。在来自外部的攻击中,良好的 NAC 系统会利用其他工具。例如,漏洞扫描程序可以识别攻击者可能用来获取访问权限的易受攻击的端点和网络设备。使用 NAC 系统,您可以决定如何处理易受攻击或受损的设备。您想将其保留在网络中、将其移动到隔离网络还是通知某人?NAC 可帮助您应对不可预见的网络变化并充当卫生措施。

 

问:工业环境对网络访问控制有什么要求?

 

答:

OT 安全与 IT 安全略有不同。在 OT 中,流程依赖于通信。通过排除相关设备进行干扰可能会导致物理问题。

 

例如,当控制过程中断时,可能会导致停机或物理损坏。如果必须关闭设施的个别部分,那么恢复其运行就会非常困难。在某些类型的工业设施中,例如在过程工业中,这绝不是一种选择。

 

工业网络中需要更复杂的 NAC。它有助于控制在网络中检测到故障或攻击时触发哪些活动,以及在无法采取网络排除等激烈措施时可以采取哪些安全措施。

 

NAC 为工业网络带来透明度并揭示其中的设备。它可以检测异常的网络运动和典型的攻击模式。

 

良好的 NAC 解决方案应该允许将端点划分为适当的组。根据不同的群体,采取不同的防御行动。

 

例如,不符合合规性准则的维护笔记本电脑很容易被排除在网络之外。端点不是业务关键流程的一部分。这里通常不会发生任何不可预测的事情。另一方面,作为控制回路一部分的工业 PC 不能轻易脱离网络,因为设施中的流程可能会中断。网络访问控制可用于进行这种区分并定义合适的响应,从而减少耗时的手动任务。

 

问:区域在网络访问安全中如何发挥作用?

 

答:

OT 安全的一个重要原则是创建区域和区域转换。它对于行业来说非常重要,因此在 ISO IEC 62443 中进行了规定。

 

通过分区,逻辑上属于一起的端点、单元、机器等被分配到同一个区域。当某个区域发生某事时,它只会影响该区域。如果攻击者进入该区域,那么他们就会留在其中并且无法超越它,因此其他区域不会受到影响。

 

在 NAC 的帮助下,可以使用 VLAN 实现这些区域。VLAN 管理可以基于端口;也可以通过 MAC 地址、用户名和密码或证书进行分配。这使得区域设计方便可靠,减轻了管理负担。无需配置单个交换机,而是将安全区域分配给端点和设备类别。

 

使用 NAC 解决方案可以快速安全地为分包商和维护人员提供临时网络访问。想象一下,维护员工需要访问特定的机器进行定期检查。NAC 使端点能够以简单的、有时间限制的安全网络访问方式访问需要维护的机器区域。

 

如果您想在没有 NAC 的情况下实现同样的功能,那么必须有人手动配置交换机,允许端点并在一天结束时重新配置它——这是一个耗时且容易出错的过程,需要专业知识。

 

如果需要付出太多努力,那么人们很快就会倾向于放松安全措施。出于效率的原因,您在安全概念中创造了越来越多的漏洞。因此,NAC 可用于提高安全性和效率。通常具有限制性和复杂性的流程可以轻松实现。

 

了解有关OT安全的更多信息

实施灵活、可扩展且高效的网络访问控制解决方案,通过提高网络可见性、减少网络威胁和提高网络性能,帮助您为网络安全带来重大价值。

 

了解有关OT网络安全以及如何通过macmon网络访问控制Hirschmann工业交换机提高安全性的更多信息。

 

相关资源:

Previous Post 如何着手提高管道安全性和强化OT网络
Next Post 网络访问控制是OT安全的重要组成部分

关于作者

Sarah Kolberg头像

Sarah Kolberg

营销经理

Sarah Kolberg 于 2023 年 4 月加入 Belden 团队,担任软件内容营销经理。她常驻德国,负责制作有关工业网络安全的内容。

关于作者

Tobias Heer

开发者技术 & 创新、研究 & 开发

托比亚斯是埃斯林根大学的教授。 他教授 IT 安全和网络课程。 他还是赫斯曼自动化与控制公司未来网络技术领域的活跃研究员。 他曾领导赫斯曼自动化与控制公司的嵌入式软件开发部门(嵌入式开发 - 功能),专注于无线通信、安全和冗余,并作为多项目负责人领导硬件和软件开发项目。 Tobias 参与了互联网工程任务组 (IETF) 主机身份协议的开发和标准化。