999国内精品永久免费视频,色偷偷9999www,亚洲国产成人爱av在线播放,6080亚洲人久久精品,欧美超高清xxxhd

保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和系統(tǒng)

網(wǎng)絡(luò)分段，可讓網(wǎng)絡(luò)化物理系統(tǒng)（Cyber Physical Systems, CPS）網(wǎng)絡(luò)抵御不斷演變的攻擊

制造業(yè)和其他關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域正蓬勃發(fā)展，自動(dòng)化和互聯(lián)互通成為熱門話題。各企業(yè)紛紛推進(jìn)數(shù)字化轉(zhuǎn)型，以提高效率，但也面臨一個(gè)嚴(yán)峻的挑戰(zhàn)：如何保護(hù)那些原本設(shè)計(jì)為離線運(yùn)行、現(xiàn)已連接的系統(tǒng)？

負(fù)責(zé)保護(hù) CPS 的 IT 或 OT 安全團(tuán)隊(duì)成員，每天面對(duì)日益擴(kuò)張、有針對(duì)性的威脅活動(dòng)，他們發(fā)現(xiàn)：現(xiàn)有的 IT 解決方案在保護(hù) CPS 方面存在不足。系統(tǒng)設(shè)計(jì)有其獨(dú)特性，比如特殊的架構(gòu)、專有協(xié)議，以及環(huán)境和運(yùn)營(yíng)上的限制。這些特性導(dǎo)致傳統(tǒng)的 IT 安全工具無(wú)法很好地適配這些系統(tǒng)，功能受限，效果不佳。

安全分析師和工程師在日常工作中經(jīng)常遇到技術(shù)不匹配的問(wèn)題。他們嘗試對(duì)現(xiàn)有 IT 工具進(jìn)行逆向工程，以使其能夠在特殊的環(huán)境中運(yùn)行，比如 Air Gap 環(huán)境、或者高延遲和地理位置分散的網(wǎng)絡(luò)。

為什么保護(hù) CPS 網(wǎng)絡(luò)需要不一樣的方法？

舊系統(tǒng)

工業(yè) CPS 環(huán)境與 IT 環(huán)境不同，IT 環(huán)境的系統(tǒng)每隔幾年就會(huì)更新一次，而工業(yè) CPS 環(huán)境充滿了生命周期長(zhǎng)達(dá)數(shù)十年的舊式設(shè)備、舊系統(tǒng)。這些環(huán)境中的舊工業(yè)控制系統(tǒng)（Industrial Control Systems, ICS）大多在設(shè)計(jì)時(shí)未考慮任何安全概念。當(dāng)時(shí)，尚未設(shè)想聯(lián)網(wǎng)問(wèn)題。這些系統(tǒng)缺乏支持網(wǎng)絡(luò)分段或接受新安全控制的所需功能。

與 IT 系統(tǒng)集成

如今，IT 和 OT 網(wǎng)絡(luò)需要交換數(shù)據(jù)和信息。若要在分段的 OT 網(wǎng)絡(luò)與 IT 基礎(chǔ)設(shè)施之間進(jìn)行特定通信，就需要企業(yè)內(nèi)部歷來(lái)各自為政的不同部門進(jìn)行協(xié)作。就像 IT 和 OT 之間的技術(shù)差距一樣，人力和流程上的差距也可能導(dǎo)致疏忽、增加復(fù)雜性、重復(fù)工作、運(yùn)營(yíng)成本上升、安全風(fēng)險(xiǎn)。

分段策略容易出錯(cuò)

在工業(yè)環(huán)境中實(shí)施有效的網(wǎng)絡(luò)分段策略并非易事。資產(chǎn)可視化不足、復(fù)雜的架構(gòu)、眾多專有協(xié)議，使得這一過(guò)程容易出錯(cuò)且成本高昂。此外，這通常需要大量手動(dòng)操作，對(duì)架構(gòu)師和工程師來(lái)說(shuō)成本高、耗時(shí)長(zhǎng)，還容易因無(wú)意的人為錯(cuò)誤導(dǎo)致疏忽、誤解和失誤。

合規(guī)性執(zhí)行不一致

關(guān)鍵基礎(chǔ)設(shè)施企業(yè)需要遵守許多復(fù)雜的、行業(yè)或地區(qū)特定的法規(guī)和標(biāo)準(zhǔn)。要監(jiān)控并確保符合這些法規(guī)，通常要制定精細(xì)的、經(jīng)過(guò)適當(dāng)調(diào)整的策略。而許多企業(yè)缺乏這些策略。這可能導(dǎo)致網(wǎng)絡(luò)分段不理想，雖然表面上滿足了合規(guī)的最低要求，但執(zhí)行不一致，實(shí)際上并沒(méi)有改善網(wǎng)絡(luò)安全態(tài)勢(shì)。

不安全的遠(yuǎn)程訪問(wèn)普遍存在

所有工業(yè)環(huán)境都依賴遠(yuǎn)程訪問(wèn)，讓內(nèi)部和第三方人員能夠維護(hù)資產(chǎn)。但常見(jiàn)的 IT 實(shí)踐存在風(fēng)險(xiǎn)，效率低下。遠(yuǎn)程訪問(wèn)需要嚴(yán)格的安全管理，否則會(huì)削弱網(wǎng)絡(luò)分段的效果，甚至讓原本就缺乏分段的網(wǎng)絡(luò)變得更易受攻擊。

這對(duì)安全團(tuán)隊(duì)意味著什么？

雖然許多網(wǎng)絡(luò)安全專業(yè)人員對(duì) IT 環(huán)境非常熟悉，制定安全策略得心應(yīng)手，但在 CPS 環(huán)境中，他們的經(jīng)驗(yàn)和工具并不完全適用。IT 安全分析師和 OT 安全工程師利用所能獲取的、有限的信息，盡可能制定最佳的網(wǎng)絡(luò)分段策略，以保護(hù)關(guān)鍵基礎(chǔ)設(shè)施，但他們?cè)诠ぷ髦腥悦媾R許多困難：

• 缺乏深入的資產(chǎn)信息，無(wú)法確定哪些現(xiàn)有通信是正常的、必要的；

• 設(shè)計(jì)和實(shí)施的策略可能無(wú)法有效保護(hù)網(wǎng)絡(luò)，甚至可能因錯(cuò)誤阻止通信，導(dǎo)致網(wǎng)絡(luò)中斷；

• 由于設(shè)備之間的依賴關(guān)系未知。如果設(shè)備出現(xiàn)故障，則需要面對(duì)復(fù)雜的恢復(fù)步驟。

專門為 CPS 設(shè)計(jì)的網(wǎng)絡(luò)保護(hù)，如何幫助安全團(tuán)隊(duì)更有效地工作？

當(dāng) IT 和 OT 安全分析師及工程師全面了解其網(wǎng)絡(luò)中的資產(chǎn)、以及內(nèi)部和外部通信方式時(shí)，他們就能更輕松地開(kāi)展工作。彌補(bǔ)可視化差距會(huì)帶來(lái)顯著的改善，使合理的網(wǎng)絡(luò)分段基于準(zhǔn)確的信息，而非直覺(jué)或經(jīng)驗(yàn)猜測(cè)。

除了可視化，CPS 保護(hù)平臺(tái)基于策略的方法，可提供關(guān)于允許和禁止通信的明智建議，并具備適應(yīng)環(huán)境變化的能力，同時(shí)深入了解 CPS 網(wǎng)絡(luò)的復(fù)雜性，以提供更高效的安全防護(hù)�；�于策略的方法包括：策略決策點(diǎn)（Policy Decision Points, PDP）、策略執(zhí)行點(diǎn)（Policy Enforcement Points, PEP）。

如何利用 CPS 保護(hù)平臺(tái)做出明智的網(wǎng)絡(luò)保護(hù)決策，并降低企業(yè)風(fēng)險(xiǎn)。

1. 從可視化開(kāi)始

網(wǎng)絡(luò)保護(hù)的第一步：獲得網(wǎng)絡(luò)上所有設(shè)備的完整可視化。

在 CPS 中，可視化已成為被動(dòng)發(fā)現(xiàn)（Passive Discovery）技術(shù)的代名詞。長(zhǎng)期以來(lái)，這是唯一的選擇。盡管它對(duì)于了解網(wǎng)絡(luò)流量和通信模式仍然必不可少，但這種基于硬件的數(shù)據(jù)包嗅探方法帶來(lái)了資源挑戰(zhàn)，需要投入時(shí)間和金錢。

盡管需要被動(dòng)發(fā)現(xiàn)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)保護(hù)目標(biāo)，但從非被動(dòng)技術(shù)開(kāi)始仍有其價(jià)值。部署安全查詢（Safe Query）可執(zhí)行文件、或利用現(xiàn)有集成，獲取環(huán)境中詳細(xì)的資產(chǎn)信息，可以在數(shù)小時(shí)內(nèi)而不是數(shù)月內(nèi)提供可視化的基礎(chǔ)，無(wú)需硬件部署，無(wú)需停機(jī)。

Claroty 的一家食品與飲料行業(yè)客戶，在全球范圍內(nèi)運(yùn)營(yíng)數(shù)據(jù)中心。他們的網(wǎng)絡(luò)分段始于結(jié)合使用多種發(fā)現(xiàn)方法，包括：被動(dòng)發(fā)現(xiàn)、非被動(dòng)發(fā)現(xiàn)。動(dòng)態(tài)發(fā)現(xiàn)（Dynamic Discovery）為他們提供了詳細(xì)的資產(chǎn)信息，并確定了適合的中央交換機(jī)（Central Switches），在這些交換機(jī)上，被動(dòng)監(jiān)察（Passive Monitoring）可以豐富數(shù)據(jù)，從而最大限度地降低風(fēng)險(xiǎn)。

為了實(shí)現(xiàn)網(wǎng)絡(luò)保護(hù)，這種快速的可視化，可幫助企業(yè)確定在哪個(gè)物理位置部署被動(dòng)深度包檢測(cè)（Deep Packet Inspection, DPI）技術(shù)。根據(jù)特定需求和架構(gòu)定制可視化，加快價(jià)值實(shí)現(xiàn)速度，即使在部署被動(dòng)發(fā)現(xiàn)硬件的情況下也是如此。

DPI 與 Claroty 支持最全面的 CPS 協(xié)議相結(jié)合，提供分析設(shè)備通信所需的詳細(xì)信息，并為用戶提供網(wǎng)絡(luò)通信模式的可視化視圖。

DPI 和主動(dòng)查詢（ACTIVE QUERIES）可以提供設(shè)備位置、關(guān)系和通信的上下文，用于創(chuàng)建網(wǎng)絡(luò)圖（NETWORK GRAPH）

2. 建立安全區(qū)域

為系統(tǒng)內(nèi)需要隔離的資產(chǎn)定義安全區(qū)域。

了解系統(tǒng)中存在的所有資產(chǎn)及其物理位置后，下一步就是建立安全區(qū)域。通過(guò)劃分或隔離網(wǎng)絡(luò)，限制橫向移動(dòng)，減少攻擊面，為關(guān)鍵資產(chǎn)提供多層保護(hù)。

Claroty 的客戶常用以下幾種方法，對(duì)資產(chǎn)進(jìn)行分類以定義分割區(qū)域：

• 按網(wǎng)絡(luò)架構(gòu)

• 按地理位置

• 按安全敏感度或風(fēng)險(xiǎn)容忍度

• 按訪問(wèn)敏感度

Claroty 還會(huì)根據(jù)您的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，提供推薦的安全區(qū)域。您還可以利用現(xiàn)有基礎(chǔ)設(shè)施內(nèi)的技術(shù)來(lái)實(shí)現(xiàn)分段，包括：

• 防火墻：適用于精確控制網(wǎng)段之間、以及與外部通信之間的網(wǎng)絡(luò)流量。它們專注于流量管理，旨在防止橫向移動(dòng)。

• VLAN（虛擬局域網(wǎng)）：根據(jù)角色、功能或安全級(jí)別進(jìn)行邏輯分段。當(dāng)環(huán)境中某些部分物理分離時(shí)，通常更容易部署。

• NAC（網(wǎng)絡(luò)訪問(wèn)控制）：提供對(duì)連接到網(wǎng)絡(luò)的設(shè)備的動(dòng)態(tài)和自動(dòng)化控制。它們適用于持續(xù)的設(shè)備合規(guī)性檢查，專為具有多種設(shè)備類型的環(huán)境設(shè)計(jì)。

在獲得設(shè)備及其網(wǎng)絡(luò)通信的可視化后，Claroty 的食品與飲料行業(yè)客戶發(fā)現(xiàn)：基于資產(chǎn)類型的區(qū)域劃分是最適合的分段方式。他們使用了 Claroty 推薦的區(qū)域來(lái)建立最能定義每個(gè)資產(chǎn)組的設(shè)備條件。

Claroty 的推薦區(qū)域（CLAROTY'S RECOMMENDED ZONES）為資產(chǎn)分組提供了明智的選項(xiàng)，并在團(tuán)隊(duì)推動(dòng) CPS 安全進(jìn)程時(shí)，提供更多洞察

3. 模擬通信以監(jiān)察行為

創(chuàng)建區(qū)域之間的通信策略，并監(jiān)察設(shè)備行為。

建立安全區(qū)域后，安全團(tuán)隊(duì)可以觀察區(qū)域之間的正常通信行為。隨后創(chuàng)建一個(gè)基準(zhǔn)，以此為基礎(chǔ)制定相關(guān)策略。

為每臺(tái)設(shè)備單獨(dú)創(chuàng)建策略，是不切實(shí)際的。但針對(duì)設(shè)備類型或設(shè)備組創(chuàng)建策略，可以使分段既有效又可擴(kuò)展。

有助于理解設(shè)備之間交互的通信映射類型，包括：

• 圖形設(shè)備通信（Graph Device Communications）：可視化展示網(wǎng)絡(luò)中的所有站點(diǎn)、設(shè)備類型、區(qū)域和設(shè)備之間的連接和通信方式。

• 可視化設(shè)備通信（Visualize Device Communications）：以列表或矩陣的形式查看設(shè)備如何通信，包括協(xié)議和通信類型。

這種細(xì)粒度的映射，讓管理員能夠清晰地識(shí)別通信流、評(píng)估風(fēng)險(xiǎn)，并設(shè)計(jì)適合其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的有效分段策略。您可能會(huì)發(fā)現(xiàn)某個(gè)設(shè)備允許了不應(yīng)有的外部通信，或者發(fā)現(xiàn)某個(gè)工程工作站（Engineering Workstation, EWS）與樓宇管理系統(tǒng)（Building Management System, BMS）頻繁通信，又或者發(fā)現(xiàn)某個(gè) PLC 正在與 SCADA 服務(wù)器進(jìn)行不正常的通信。

創(chuàng)建安全區(qū)域后，Claroty 的食品與飲料行業(yè)客戶就開(kāi)始監(jiān)察區(qū)域之間的通信，以制定策略。對(duì)于客戶的團(tuán)隊(duì)來(lái)說(shuō)，這是一個(gè)激動(dòng)人心的時(shí)刻，因?yàn)樗麄儷@得的所有情報(bào)和分析得到了應(yīng)用。使用 Claroty 推薦的策略，大大減少了手動(dòng)工作和多余的猜測(cè)，例如，設(shè)置機(jī)械臂如何與 PLC 通信、任何 EWS 是否可以與互聯(lián)網(wǎng)通信、以及控制器可以通過(guò)哪些端口接收輸入。

網(wǎng)絡(luò)圖中的詳細(xì)通信信息，可幫助安全團(tuán)隊(duì)識(shí)別異常，并了解 CPS 環(huán)境中的正常情況

通信策略的技巧

您不僅要防止惡意活動(dòng)破壞關(guān)鍵系統(tǒng)，還必須確保安全策略不會(huì)破壞這些系統(tǒng)。

網(wǎng)絡(luò)策略的設(shè)計(jì)必須避免對(duì)系統(tǒng)功能產(chǎn)生負(fù)面影響。在實(shí)施策略之前，務(wù)必在非生產(chǎn)環(huán)境中測(cè)試策略，以確定任何未預(yù)見(jiàn)的后果。

Claroty 根據(jù)每個(gè)資產(chǎn)組的通信基準(zhǔn)，自動(dòng)推薦專家定義的策略，最大限度地減少這種不確定性。您可以隨后測(cè)試、監(jiān)察并進(jìn)一步完善這些策略，然后再實(shí)施。那么，您可以確保您的 OT 網(wǎng)絡(luò)策略充分考慮了環(huán)境的獨(dú)特要求和潛在限制，能夠自信地實(shí)施網(wǎng)絡(luò)分段，而不會(huì)帶來(lái)額外的風(fēng)險(xiǎn)。

區(qū)域矩陣（ZONE MATRIX）支持團(tuán)隊(duì)評(píng)估已應(yīng)用策略的有效性，可直接修改應(yīng)用于區(qū)域?qū)Γ╖ONE PAIRS）的策略

4. 偏差警報(bào)

針對(duì)偏離預(yù)期行為的異常情況，發(fā)出警報(bào)，并隨時(shí)間調(diào)整策略。

策略實(shí)施后，必須對(duì)其進(jìn)行監(jiān)察，以確保行為持續(xù)符合預(yù)期。也許每個(gè)月都會(huì)發(fā)生一次網(wǎng)絡(luò)流量事件，在測(cè)試期間并未發(fā)生。雖然是細(xì)微偏差，但也需要調(diào)整策略，以確保系統(tǒng)性能持續(xù)符合預(yù)期。

在觀察和調(diào)查偏離正常通信行為的報(bào)警時(shí)，您可能會(huì)遇到需要復(fù)雜策略的情況。這些網(wǎng)絡(luò)策略會(huì)使用通信條件（例如，協(xié)議或端口）來(lái)制定“if，then”類型的決策。例如，如果通信設(shè)備通過(guò)端口 37020 使用 OPAD，則允許 IoT 服務(wù)器和 BMS 之間的通信。

自定義策略有助于滿足每個(gè)企業(yè)和環(huán)境的獨(dú)特需求，適當(dāng)降低風(fēng)險(xiǎn)，不影響生產(chǎn)

接收實(shí)時(shí)警報(bào)，讓安全團(tuán)隊(duì)能夠在實(shí)施的早期階段測(cè)試策略的執(zhí)行情況。同時(shí)，也便于調(diào)查和修復(fù)任何入侵或攻擊的跡象。

這些警報(bào)是網(wǎng)絡(luò)中心風(fēng)險(xiǎn)降低計(jì)劃中 PDP 重要的一部分。當(dāng)某事或某人改變了預(yù)期的設(shè)備通信行為時(shí)，會(huì)發(fā)出警告信號(hào)。許多威脅向量，包括：橫向移動(dòng)、惡意軟件、中間人（man-in-the-middle, MitM）攻擊、漏洞利用鏈，都可能導(dǎo)致設(shè)備通信發(fā)生變化。

警報(bào)（ALERTS）使團(tuán)隊(duì)能夠在策略執(zhí)行之前進(jìn)行測(cè)試，并進(jìn)行微調(diào)，以實(shí)現(xiàn)限制與生產(chǎn)持續(xù)運(yùn)行之間的最佳平衡

在測(cè)試其既定策略時(shí)，Claroty 的食品與飲料行業(yè)客戶發(fā)現(xiàn)了兩個(gè)重要問(wèn)題。首先，他們有一類交換機(jī)暴露在互聯(lián)網(wǎng)上，這顯著增加了攻擊面和影響整體風(fēng)險(xiǎn)評(píng)分。其次，他們最重要的生產(chǎn)線上的一臺(tái) Rockwell HMI在端口 3389 上接收流量。根據(jù)他們最初的策略，拒絕與該端口進(jìn)行通信，但該 HMI需要從特定服務(wù)器接收數(shù)據(jù)，因此他們對(duì)策略進(jìn)行了定制，以更好地適應(yīng)其環(huán)境。

5. 執(zhí)行策略

與 NAC 或防火墻集成，以執(zhí)行網(wǎng)絡(luò)通信策略。

正如上述，基于策略的網(wǎng)絡(luò)保護(hù)方法需要 PDP 和 PEP。我們已經(jīng)通過(guò)警報(bào)測(cè)試，初步完善了策略，終于到了執(zhí)行策略的階段。

PEP 接受 PDP 的決策，并嚴(yán)格執(zhí)行。PEP 包括 NAC、防火墻和 VLAN，它們會(huì)根據(jù)您創(chuàng)建的策略，允許或阻止設(shè)備通信。

集成 PDP 和 PEP，有助于簡(jiǎn)化這一流程，使策略能夠應(yīng)用于 NAC 或防火墻。這種集成還使策略能夠根據(jù)執(zhí)行點(diǎn)的反饋進(jìn)行動(dòng)態(tài)優(yōu)化。

Gartner 認(rèn)為：“PDP 和 PEP 都是構(gòu)建基本零信任架構(gòu)的基礎(chǔ)。”PDP 會(huì)根據(jù)已定義的策略，評(píng)估訪問(wèn)請(qǐng)求；并根據(jù)上下文信息做出授權(quán)決策。PDP 相當(dāng)于整個(gè)操作的“大腦”，指導(dǎo) PEP 行動(dòng)。

Claroty 的食品與飲料行業(yè)客戶，其團(tuán)隊(duì)已準(zhǔn)備好將經(jīng)過(guò)測(cè)試的策略添加到其 Palo Alto 防火墻中，以開(kāi)始控制其分段網(wǎng)絡(luò)中的流量。執(zhí)行策略后，他們繼續(xù)在 xDome中監(jiān)察偏差警報(bào)（Deviation Alerts），將其作為威脅的早期預(yù)警系統(tǒng)，并識(shí)別設(shè)備變更帶來(lái)的意外后果。此后，他們成功阻止了一次針對(duì)性勒索軟件攻擊的早期跡象，通過(guò)識(shí)別橫向移動(dòng)企圖，避免了企業(yè)遭受重大財(cái)務(wù)和聲譽(yù)損失。

Gartner于2023年12月15日發(fā)布的《預(yù)測(cè)2024年：零信任走向成熟（PREDICTS 2024: ZERO TRUST JOURNEY TO MATURITY）》

Claroty 深知 PDP 的重要性，提供根據(jù)您的 NAC 或防火墻預(yù)先編寫的策略，同時(shí)提供可以直接推送到防火墻的區(qū)域，以進(jìn)一步簡(jiǎn)化此工作流程。

總結(jié)

網(wǎng)絡(luò)分段可消除各類風(fēng)險(xiǎn)。

然而，這并非易事。需要投入時(shí)間和精力才能做好，而且風(fēng)險(xiǎn)影響巨大。Claroty 發(fā)現(xiàn)：在所有修復(fù)措施中，網(wǎng)絡(luò)分段最能降低風(fēng)險(xiǎn)，比修復(fù)數(shù)百臺(tái)設(shè)備上的 CVE 的效果高出 12 倍。

網(wǎng)絡(luò)保護(hù)控制措施，可顯著降低擁有 CPS 的企業(yè)所面臨的風(fēng)險(xiǎn)