|
保护关键基础设施和系统
网络分段,可让网络化物理系统(Cyber Physical Systems, CPS)网络抵御不断演变的攻击
制造业和其他关键基础设施领域正蓬勃发展,自动化和互联互通成为热门话题。各企业纷纷推进数字化转型,以提高效率,但也面临一个严峻的挑战:如何保护那些原本设计为离线运行、现已连接的系统?
负责保护 CPS 的 IT 或 OT 安全团队成员,每天面对日益扩张、有针对性的威胁活动,他们发现:现有的 IT 解决方案在保护 CPS 方面存在不足。系统设计有其独特性,比如特殊的架构、专有协议,以及环境和运营上的限制。这些特性导致传统的 IT 安全工具无法很好地适配这些系统,功能受限,效果不佳。
安全分析师和工程师在日常工作中经常遇到技术不匹配的问题。他们尝试对现有 IT 工具进行逆向工程,以使其能够在特殊的环境中运行,比如 Air Gap 环境、或者高延迟和地理位置分散的网络。
为什么保护 CPS 网络需要不一样的方法?
旧系统
工业 CPS 环境与 IT 环境不同,IT 环境的系统每隔几年就会更新一次,而工业 CPS 环境充满了生命周期长达数十年的旧式设备、旧系统。这些环境中的旧工业控制系统(Industrial Control Systems, ICS)大多在设计时未考虑任何安全概念。当时,尚未设想联网问题。这些系统缺乏支持网络分段或接受新安全控制的所需功能。
与 IT 系统集成
如今,IT 和 OT 网络需要交换数据和信息。若要在分段的 OT 网络与 IT 基础设施之间进行特定通信,就需要企业内部历来各自为政的不同部门进行协作。就像 IT 和 OT 之间的技术差距一样,人力和流程上的差距也可能导致疏忽、增加复杂性、重复工作、运营成本上升、安全风险。
分段策略容易出错
在工业环境中实施有效的网络分段策略并非易事。资产可视化不足、复杂的架构、众多专有协议,使得这一过程容易出错且成本高昂。此外,这通常需要大量手动操作,对架构师和工程师来说成本高、耗时长,还容易因无意的人为错误导致疏忽、误解和失误。
合规性执行不一致
关键基础设施企业需要遵守许多复杂的、行业或地区特定的法规和标准。要监控并确保符合这些法规,通常要制定精细的、经过适当调整的策略。而许多企业缺乏这些策略。这可能导致网络分段不理想,虽然表面上满足了合规的最低要求,但执行不一致,实际上并没有改善网络安全态势。
不安全的远程访问普遍存在
所有工业环境都依赖远程访问,让内部和第三方人员能够维护资产。但常见的 IT 实践存在风险,效率低下。远程访问需要严格的安全管理,否则会削弱网络分段的效果,甚至让原本就缺乏分段的网络变得更易受攻击。
这对安全团队意味着什么?
虽然许多网络安全专业人员对 IT 环境非常熟悉,制定安全策略得心应手,但在 CPS 环境中,他们的经验和工具并不完全适用。IT 安全分析师和 OT 安全工程师利用所能获取的、有限的信息,尽可能制定最佳的网络分段策略,以保护关键基础设施,但他们在工作中仍面临许多困难:
-
缺乏深入的资产信息,无法确定哪些现有通信是正常的、必要的;
-
设计和实施的策略可能无法有效保护网络,甚至可能因错误阻止通信,导致网络中断;
-
由于设备之间的依赖关系未知。如果设备出现故障,则需要面对复杂的恢复步骤。
专门为 CPS 设计的网络保护,如何帮助安全团队更有效地工作?
当 IT 和 OT 安全分析师及工程师全面了解其网络中的资产、以及内部和外部通信方式时,他们就能更轻松地开展工作。弥补可视化差距会带来显著的改善,使合理的网络分段基于准确的信息,而非直觉或经验猜测。
除了可视化,CPS 保护平台基于策略的方法,可提供关于允许和禁止通信的明智建议,并具备适应环境变化的能力,同时深入了解 CPS 网络的复杂性,以提供更高效的安全防护。基于策略的方法包括:策略决策点(Policy Decision Points, PDP)、策略执行点(Policy Enforcement Points, PEP)。
如何利用 CPS 保护平台做出明智的网络保护决策,并降低企业风险。
1. 从可视化开始
网络保护的第一步:获得网络上所有设备的完整可视化。
在 CPS 中,可视化已成为被动发现(Passive Discovery)技术的代名词。长期以来,这是唯一的选择。尽管它对于了解网络流量和通信模式仍然必不可少,但这种基于硬件的数据包嗅探方法带来了资源挑战,需要投入时间和金钱。
尽管需要被动发现来实现网络保护目标,但从非被动技术开始仍有其价值。部署安全查询(Safe Query)可执行文件、或利用现有集成,获取环境中详细的资产信息,可以在数小时内而不是数月内提供可视化的基础,无需硬件部署,无需停机。
Claroty 的一家食品与饮料行业客户,在全球范围内运营数据中心。他们的网络分段始于结合使用多种发现方法,包括:被动发现、非被动发现。动态发现(Dynamic Discovery)为他们提供了详细的资产信息,并确定了适合的中央交换机(Central Switches),在这些交换机上,被动监察(Passive Monitoring)可以丰富数据,从而最大限度地降低风险。
为了实现网络保护,这种快速的可视化,可帮助企业确定在哪个物理位置部署被动深度包检测(Deep Packet Inspection, DPI)技术。根据特定需求和架构定制可视化,加快价值实现速度,即使在部署被动发现硬件的情况下也是如此。
DPI 与 Claroty 支持最全面的 CPS 协议相结合,提供分析设备通信所需的详细信息,并为用户提供网络通信模式的可视化视图。
DPI 和主动查询(ACTIVE QUERIES)可以提供设备位置、关系和通信的上下文,用于创建网络图(NETWORK GRAPH)
2. 建立安全区域
为系统内需要隔离的资产定义安全区域。
了解系统中存在的所有资产及其物理位置后,下一步就是建立安全区域。通过划分或隔离网络,限制横向移动,减少攻击面,为关键资产提供多层保护。
Claroty 的客户常用以下几种方法,对资产进行分类以定义分割区域:
-
按网络架构
-
按地理位置
-
按安全敏感度或风险容忍度
-
按访问敏感度
Claroty 还会根据您的网络拓扑结构,提供推荐的安全区域。您还可以利用现有基础设施内的技术来实现分段,包括:
-
防火墙:适用于精确控制网段之间、以及与外部通信之间的网络流量。它们专注于流量管理,旨在防止横向移动。
-
VLAN(虚拟局域网):根据角色、功能或安全级别进行逻辑分段。当环境中某些部分物理分离时,通常更容易部署。
-
NAC(网络访问控制):提供对连接到网络的设备的动态和自动化控制。它们适用于持续的设备合规性检查,专为具有多种设备类型的环境设计。
在获得设备及其网络通信的可视化后,Claroty 的食品与饮料行业客户发现:基于资产类型的区域划分是最适合的分段方式。他们使用了 Claroty 推荐的区域来建立最能定义每个资产组的设备条件。
Claroty 的推荐区域(CLAROTY'S RECOMMENDED ZONES)为资产分组提供了明智的选项,并在团队推动 CPS 安全进程时,提供更多洞察
3. 模拟通信以监察行为
创建区域之间的通信策略,并监察设备行为。
建立安全区域后,安全团队可以观察区域之间的正常通信行为。随后创建一个基准,以此为基础制定相关策略。
为每台设备单独创建策略,是不切实际的。但针对设备类型或设备组创建策略,可以使分段既有效又可扩展。
有助于理解设备之间交互的通信映射类型,包括:
这种细粒度的映射,让管理员能够清晰地识别通信流、评估风险,并设计适合其网络拓扑结构的有效分段策略。您可能会发现某个设备允许了不应有的外部通信,或者发现某个工程工作站(Engineering Workstation, EWS)与楼宇管理系统(Building Management System, BMS)频繁通信,又或者发现某个 PLC 正在与 SCADA 服务器进行不正常的通信。
创建安全区域后,Claroty 的食品与饮料行业客户就开始监察区域之间的通信,以制定策略。对于客户的团队来说,这是一个激动人心的时刻,因为他们获得的所有情报和分析得到了应用。使用 Claroty 推荐的策略,大大减少了手动工作和多余的猜测,例如,设置机械臂如何与 PLC 通信、任何 EWS 是否可以与互联网通信、以及控制器可以通过哪些端口接收输入。
网络图中的详细通信信息,可帮助安全团队识别异常,并了解 CPS 环境中的正常情况
通信策略的技巧
您不仅要防止恶意活动破坏关键系统,还必须确保安全策略不会破坏这些系统。
网络策略的设计必须避免对系统功能产生负面影响。在实施策略之前,务必在非生产环境中测试策略,以确定任何未预见的后果。
Claroty 根据每个资产组的通信基准,自动推荐专家定义的策略,最大限度地减少这种不确定性。您可以随后测试、监察并进一步完善这些策略,然后再实施。那么,您可以确保您的 OT 网络策略充分考虑了环境的独特要求和潜在限制,能够自信地实施网络分段,而不会带来额外的风险。
区域矩阵(ZONE MATRIX)支持团队评估已应用策略的有效性,可直接修改应用于区域对(ZONE PAIRS)的策略
4. 偏差警报
针对偏离预期行为的异常情况,发出警报,并随时间调整策略。
策略实施后,必须对其进行监察,以确保行为持续符合预期。也许每个月都会发生一次网络流量事件,在测试期间并未发生。虽然是细微偏差,但也需要调整策略,以确保系统性能持续符合预期。
在观察和调查偏离正常通信行为的报警时,您可能会遇到需要复杂策略的情况。这些网络策略会使用通信条件(例如,协议或端口)来制定“if,then”类型的决策。例如,如果通信设备通过端口 37020 使用 OPAD,则允许 IoT 服务器和 BMS 之间的通信。
自定义策略有助于满足每个企业和环境的独特需求,适当降低风险,不影响生产
接收实时警报,让安全团队能够在实施的早期阶段测试策略的执行情况。同时,也便于调查和修复任何入侵或攻击的迹象。
这些警报是网络中心风险降低计划中 PDP 重要的一部分。当某事或某人改变了预期的设备通信行为时,会发出警告信号。许多威胁向量,包括:横向移动、恶意软件、中间人(man-in-the-middle, MitM)攻击、漏洞利用链,都可能导致设备通信发生变化。
警报(ALERTS)使团队能够在策略执行之前进行测试,并进行微调,以实现限制与生产持续运行之间的最佳平衡
在测试其既定策略时,Claroty 的食品与饮料行业客户发现了两个重要问题。首先,他们有一类交换机暴露在互联网上,这显著增加了攻击面和影响整体风险评分。其次,他们最重要的生产线上的一台 Rockwell HMI在端口 3389 上接收流量。根据他们最初的策略,拒绝与该端口进行通信,但该 HMI需要从特定服务器接收数据,因此他们对策略进行了定制,以更好地适应其环境。
5. 执行策略
与 NAC 或防火墙集成,以执行网络通信策略。
正如上述,基于策略的网络保护方法需要 PDP 和 PEP。我们已经通过警报测试,初步完善了策略,终于到了执行策略的阶段。
PEP 接受 PDP 的决策,并严格执行。PEP 包括 NAC、防火墙和 VLAN,它们会根据您创建的策略,允许或阻止设备通信。
集成 PDP 和 PEP,有助于简化这一流程,使策略能够应用于 NAC 或防火墙。这种集成还使策略能够根据执行点的反馈进行动态优化。
Gartner 认为:“PDP 和 PEP 都是构建基本零信任架构的基础。”PDP 会根据已定义的策略,评估访问请求;并根据上下文信息做出授权决策。PDP 相当于整个操作的“大脑”,指导 PEP 行动。
Claroty 的食品与饮料行业客户,其团队已准备好将经过测试的策略添加到其 Palo Alto 防火墙中,以开始控制其分段网络中的流量。执行策略后,他们继续在 xDome中监察偏差警报(Deviation Alerts),将其作为威胁的早期预警系统,并识别设备变更带来的意外后果。此后,他们成功阻止了一次针对性勒索软件攻击的早期迹象,通过识别横向移动企图,避免了企业遭受重大财务和声誉损失。
Gartner于2023年12月15日发布的《预测2024年:零信任走向成熟(PREDICTS 2024: ZERO TRUST JOURNEY TO MATURITY)》
Claroty 深知 PDP 的重要性,提供根据您的 NAC 或防火墙预先编写的策略,同时提供可以直接推送到防火墙的区域,以进一步简化此工作流程。
总结
网络分段可消除各类风险。
然而,这并非易事。需要投入时间和精力才能做好,而且风险影响巨大。Claroty 发现:在所有修复措施中,网络分段最能降低风险,比修复数百台设备上的 CVE 的效果高出 12 倍。
网络保护控制措施,可显著降低拥有 CPS 的企业所面临的风险
|
