网络访问控制是OT安全的重要组成部分
当您在网络安全方面比较OT和IT系统时,两者各有其特点和要求。
为了深入了解网络访问控制如何支持强大的OT安全工作,我们采访了德国埃斯林根应用技术大学教授Tobias Heer教授。自2012年以来,他一直是Belden团队的一员,担任Belden品牌Hirschmann的未来网络技术研究员。
下面,我们将分享他对OT安全相关问题的回答。
问:为什么该行业一些久经考验的安全概念(如气隙)不再实用?
答:
在实现数字化之前,无需将生产连接到网络。在如今的工业4.0时代,业务和生产高度数字化,并以信息交换为基础,而这是气隙系统无法实现的。如果您想实现生产现代化,那么借助气隙是不切实际的。
我还敢怀疑,习惯于依赖气隙的公司总会遇到气隙。通常,调制解调器被连接以在生产设施内交换信息,或者数据通过存储介质(如USB或软盘)传入和传出。这些通常不受控制,这为OT安全攻击留下了空间。
问:网络访问控制在工业网络中扮演什么角色?
答:
网络访问控制(NAC)是实现OT安全的几种工具之一。它不是涵盖所有安全措施的灵丹妙药,但它是可用的最有效的工具之一。无论攻击者是本地(现场)还是外部的,它都能发挥作用。
本地网络攻击
在大型或地理位置分散的设施中,对OT安全的本地攻击频繁发生。生产设施的安全性在物理上是难以控制的。只需插入设备并访问网络即可轻松发起攻击。系统也可能因为连接不正确而受到损害。在这些情况下,NAC会有所帮助,因为设备不能简单地以不受控制的方式连接到本地网络。在内部攻击中,攻击者必须进行身份验证才能将设备连接到工业网络。在NAC的帮助下,您可以看到连接到网络的每个网络设备和端点并对其进行响应。这创造了透明度,因此您可以了解网络中发生的事情。
外部网络攻击
另一种可能性是外部攻击者渗透到网络中已有的系统。外部攻击总是会导致内部设备受损。NAC也可以在这方面提供帮助。在外部攻击中,一个好的NAC系统会利用其他工具。例如,漏洞扫描程序可识别攻击者可能用来获取访问权限的易受攻击的端点和网络设备。使用NAC系统,您可以决定如何处理易受攻击或受影响的设备。您想将其保留在网络中、移动到隔离网络还是通知某人?NAC可帮助您应对不可预见的网络变化,并充当一种卫生措施。
问:工业环境对网络访问控制有什么要求?
答:
OT安全与IT安全略有不同。在OT中,进程依赖于通信。该网络通过排除所涉及的设备造成的中断可能会导致物理问题。
例如,控制过程中断可能会导致停机或物理损坏。如果设施的各个部分必须关闭,那么要使它们恢复运行可能非常困难。在某些类型的工业设施中,例如在加工业中,这绝不是一种选择。
您需要在工业网络中使用更复杂的NAC。它有助于控制在网络中检测到故障或攻击时触发哪些活动,以及在无法采取严厉步骤(如网络排除)时可以采取哪些安全措施。
NAC为工业网络带来了透明度,并显示了其中的设备。它可以检测异常的网络活动和典型的攻击模式。
一个好的NAC解决方案应该允许将端点划分为适当的组。根据组的不同,执行不同的防御行动。
例如,不符合合规性准则的维护笔记本电脑很容易被排除在网络之外。端点不是业务关键型流程的一部分。这里通常不会发生任何不可预测的事情。另一方面,作为控制回路一部分的工业PC不能轻易脱离网络,因为设施中的流程可能会中断。网络访问控制可用于进行这种区分并定义合适的响应措施,从而减少耗时的人工任务。
问:区域在网络访问安全中如何发挥作用?
答:
OT安全的一个重要原则是创建区域和区域转换。它对行业非常重要,以至于在ISO IEC 62443中进行了指定。
通过分区,逻辑上属于一起的端点、单元、机器等将分配到同一区域。如果某个区域中发生某些情况,则只会影响该区域。如果攻击者进入该区域,则他们仍留在该区域中并且无法越过该区域,因此其他区域不会受到影响。
在NAC的帮助下,可以使用VLAN在这些区域实施。VLAN管理可以基于端口执行;也可以通过MAC地址、用户名和密码或证书进行分配。这使得区域设计方便可靠,减轻了管理负担。安全区域不是配置单个交换机,而是分配到端点和设备类别。
使用NAC解决方案可以快速安全地为分包商和维护人员提供临时网络访问。想象一下,维护人员需要访问特定的机器进行定期检查。NAC使端点能够轻松、限时地安全访问需要维护的机器区域。
如果您想在没有NAC的情况下实施同样的任务,那么必须有人手动配置交换机,许可端点并在一天结束时再次重新配置它——这是一个耗时且容易出错的过程,需要具备专业知识。
如果需要付出太多努力,那么人们很快就会倾向于放松安全措施要求。出于效率原因,您在安全概念中制造了越来越多的漏洞。因此,NAC可用于提高安全性和效率。通常受限且复杂的过程可以毫不费力地实施。
了解有关OT安全的更多信息
实施灵活、可扩展且高效的网络访问控制解决方案,通过提高网络可见性、减少网络威胁和提高网络性能,帮助您为网络安全带来重大价值。
了解有关OT网络安全以及如何通过macmon网络访问控制和Hirschmann工业交换机提高安全性的更多信息。