什么是物理隔离?为什么需要物理隔离不同的网络?你站在哪个阵营?你们是一群相信物理隔离的人,还是一群认为真正的物理隔离不存在的人?物理隔离的网络在逻辑上和物理上都与其他网络隔离的网络无论是物理通道还是逻辑通道,都无法与其他网络进行通信。多年来,政府、军事、金融服务、核电站和工业制造等许多不同垂直行业的许多网络都被称为所谓的“物理隔离网络”。在工业世界中,这些物理上隔离的网络是支持工厂中工业控制系统的网络,并且在物理上和逻辑上与公司网络的通信断开。在以网络为控制系统的“工业4.0”革命的今天,工业过程数据分析是驱动优化和效率的关键,越来越多的现场设备转变为“智能设备”(连接到网络并通过网络管理)网络))。在这种情况下,物理上分离的工业网络的概念在未来是否仍然可行?今天真的存在物理上分离的网络吗?物理分离真的有用吗?这只是一种虚假的安全感吗?从理论上讲,物理上分离的网络似乎是个好主意。主意。但实际情况又是另外一回事了。物理隔离真的能保证与互联网或企业业务网络隔离吗?事实上,已经有多个物理隔离网络可以被渗透的案例。最著名的例子是Stuxnet,这是一种能够入侵和破坏铀浓缩过程的蠕虫,使伊朗纳坦兹核设施的核弹头生产陷入停顿。还有许多其他不那么可怕的例子,例如承包商、运营团队或控制工程师为自己的方便设置调制解调器和无线网络,以便他们可以在物理隔离的网络之间传输数据。更不用说笔记本电脑、平板电脑和智能手机等临时设备。也不要忘记通过可移动媒体(CD、U盘等)、远程访问和人力(无需通过网络即可移动数据的任何方式)传入的数据。这些环境真的是物理隔离的吗?所有这些案例都表明,没有什么是真正的物理隔离,或者说没有办法永远保持100%的物理隔离。物理分离会给我们一种虚假的安全感吗?网络安全人员有多少次听到“哎呀,我们在物理上是分开的,无需担心网络安全”?如果是这样的话,人们还没有评估是否有可移动载体/临时设备带来的新数据,并且没有通过调制解调器或VPN设置监视外部网络连接,谁知道你是否在物理上被隔离了?最终,总会有新的数据运行到这些所谓的“物理隔离”环境中。我们如何解决这种情况?提出正确的问题值得一问您如何知道数据是进出您的网络?您如何知道是否存在为员工、承包商或供应商提供便利的外部连接?为了能够回答这个问题要解决“你怎么知道”的问题,真正了解你的网络并采取预防控制措施才能持续回答以下问题:网络上有哪些设备?这些设备与什么通信?这些设备与谁通信?这些设备之间的正常通信是什么样的?有没有外部连接?正如我们监控工业过程输出的质量特征(如库存、废品率、返工率、物理尺寸、整体设备效率、故障率等),我们还需要监控工业环境中的异常行为——配置修改、通信模式变化、漏洞利用、新的/意外的网络连接等。这样做有助于从影响工业过程运行的特殊因素中恢复,这些因素包括但不限于配置错误、人为错误、网络安全事件、机器故障等。从哪儿开始?如果您还没有开始工业网络安全之旅,请从工业网络安全漏洞或风险评估开始。网络安全漏洞评估通常会发现,给定的环境从来都不是完全物理隔离的。评估通常会发现未经批准的外部连接,这些连接可能是由控制工程师出于非威胁性或非恶意原因而设置的。这些未经批准的网络连接是由工程师在系统维护或故障排除期间创建的,以避免手动将文件或程序复制到控制环境中。大多数时候,这些连接只是暂时的、紧急的,但事情往往发展成忘记撤销的连接,而本应物理隔离的网络对其他通信通道开放,其上的行为可能会被利用出于恶意目的。还有什么需要做的?专注于基本的网络安全控制。不要那么有野心,尝试先进的技术。三种基本的网络安全控制可降低大多数内部和外部威胁的风险:了解和管理数据流或网络通信。维护准确的资产清单(供应商、型号、型号、固件版本等)。监视设备数据流以查看预期的内容和不预期的内容。通过网络分离实现预期的通信模式或数据流。监控和管理控制网络中所有设备的配置更改。数据流管理从创建和维护准确的资产清单开始,包括硬件和软件。一旦构建了准确的资产清单,就可以了解和管理进出控制网络的所有数据流(通信模式)。可以查看和管理的东西包括:文件传输:FTP、SFTP/SCP等临时设备:笔记本电脑、平板电脑、手机等可移动载体:如U盘。内部网络连接:部门或区域内部的网络连接,部门或区域之间的网络连接。外部连接:与商业或公司网络、供应商、供应商等之间的连接。无线网络:尤其是那些为方便而临时设置的网络。你如何获得流量可见性?您必须知道什么连接到您的网络(准确的资产清单),然后监控网络上这些设备的流量去向。Tripwire提供被动监控解决方案-TripwireIndustrialVisibility。该解决方案专为了解工业协议和工业控制网络而构建,可以清点设备(供应商、型号、型号、固件版本等)并了解设备使用哪些协议在网络上进行通信。TripwireIndustrialVisibility的学习模式建立了所有资产和通信的基线,然后可用于在运行模式下提醒设备异常情况。一旦数据流得到很好的理解,下一步就是设置预防性控制来强制执行这些通信模式。在这方面,可以使用TofinoXenon等工业安全设备进行深度数据包检测和工业协议完整性检查,以实现设备和网络之间的授权通信。区域在IEC62443中被定义为具有相似功能/风险模型的资产(即人机界面(HMI)区域或可编程逻辑控制器(PLC)区域),而管道规划不同区域之间设备的授权/预期通信(即仅HMI区与PLC区之间允许使用Modbus串行通讯协议,或变电站区与控制中心区之间仅允许使用DNP3分布式网络协议)。TofinoXenon工业安全设备可以协助实施IEC62443中描述的区域和管道方法。无论您是否拥有物理上分离的网络,这种方法都值得应用,因为它降低了恶意或意外流量通过工厂或商店传播的风险地面。最后,必须能够管理设备的配置,无论它们是控制器、HMI、远程终端单元(RTU)、工程工作站、路由器、交换机、数据库、防火墙还是其他任何东西。当生产停顿影响工厂生产产品的能力时,通常会发生什么?结果,有些东西发生了变化——配置设置、固件版本、新打开的端口、连接到网络的新设备等等。需要多长时间才能意识到发生了一些变化,然后将其恢复,以便工业过程能够恢复正常的生产运行?管理变更并了解变更是否合法是TripwireEnterprise的强项。TripwireIndustrialVisibility还可用于管理变更,尤其是控制器周围的变更,无论是添加新的梯形逻辑,还是更改控制器的操作模式:执行、编程、测试等。而不是让这些变更支配一天-日常运营,以可视化方式管理它们,以便实施变更管理策略。可见性、预防性控制和持续监控是关键无论使用物理隔离还是不使用物理隔离无论是否使用物理隔离来保持对工业环境的完全控制,监控解决方案都是必不可少的。Tripwire的解决方案有助于提供可见性、保护性控制和持续监控,以检测和预防威胁安全、生产力和质量的网络事件。IEC62443:https://www.isa.org/training-and-certifications/isa-certification/isa99iec-62443/isa99iec-62443-cybersecurity-certificate-programs/【本文为专栏作家“李少鹏”的原创文章》,转载请通过安全牛获得授权(微信公众号id:gooann-sectv)】点此阅读更多本作者好文
