工控網(wǎng)首頁
>

應(yīng)用設(shè)計

>

深度防御策略與零信任架構(gòu)實用建議

深度防御策略與零信任架構(gòu)實用建議

摩莎1.png

隨著 OT/IT 融合的趨勢不斷普及,幾乎所有工業(yè)企業(yè)都開始著手加固網(wǎng)絡(luò)安全,采取預防措施保障正常運營。企業(yè)之所以這么做,主要是因為關(guān)鍵基礎(chǔ)設(shè)施和生產(chǎn)設(shè)備更容易成為網(wǎng)絡(luò)攻擊的目標。這并不是在杞人憂天。我們??吹竭@樣的新聞:某家企業(yè)由于遭受網(wǎng)絡(luò)攻擊,停產(chǎn)一天(甚至更久)。網(wǎng)絡(luò)攻擊不但會帶來資金損失,還有可能會讓公司成為新聞焦點,損害公司聲譽。勒索軟件攻擊的目標也在日益擴大,即使是已經(jīng)采取預防措施的大型企業(yè)也難以幸免。這些攻擊事件表明,如今高度互聯(lián)的世界充滿風險,沒有任何機構(gòu)可以高枕無憂。

毫無疑問,首席安全官 (CSO) 和首席信息安全官 (CISO) 亟需進一步理解 OT 環(huán)境,以及如何在不干擾正常生產(chǎn)運營的前提下有效部署網(wǎng)絡(luò)安全措施。這是個十分復雜的問題,公司在決定采用哪些措施和架構(gòu)之前需要審慎考慮。本文將探討當前最常用的兩個安全架構(gòu)并提供實用建議,幫助工業(yè)企業(yè)更好地將這些架構(gòu)應(yīng)用于各自的 OT 環(huán)境。

深度防御與零信任架構(gòu)

根據(jù)美國國家標準與技術(shù)研究院 (NIST) 特刊 800-207,零信任架構(gòu)的關(guān)鍵在于為需要操作網(wǎng)絡(luò)的人員開放最低限度的訪問權(quán)限。我們可以讓有正當事由的人員訪問網(wǎng)絡(luò),但沒有必要授予無限制訪問權(quán)限讓他們自由訪問所有網(wǎng)絡(luò),因為這會增加網(wǎng)絡(luò)遭遇攻擊的概率。零信任架構(gòu)則可以規(guī)避這一點。

我們還可以采取深度防御策略,其中包括多層安全防護,為生產(chǎn)運營網(wǎng)絡(luò)安全保駕護航。深度防御背后的原理是,即使第一層防護失效,還有第二次機會來保護其他區(qū)域和線路免受侵害。網(wǎng)絡(luò)安全標準 IEC 62443 建議,部署深度防御時應(yīng)根據(jù)所需防護等級為網(wǎng)絡(luò)分區(qū)。每個分區(qū)叫做區(qū)域 (Zone),區(qū)域內(nèi)的所有通信設(shè)備同屬一個安全等級,也就是說他們的防護等級相同。如果想要進一步加強保護,還可以將一個區(qū)域置于另一個具備額外安全措施的區(qū)域內(nèi)。

摩莎2.png

將上述兩個措施結(jié)合起來,我們可以在多層保護的基礎(chǔ)上進行生產(chǎn)運營,再利用零信任策略,確保根據(jù)具體情況授予有限的訪問權(quán)限,進一步增強網(wǎng)絡(luò)安全。對這兩種措施進行分析可以看出,網(wǎng)絡(luò)安全問題沒有絕佳方案,需要多角度全面考慮,確保網(wǎng)絡(luò)安全無虞。

零信任與深度防御網(wǎng)絡(luò)應(yīng)用示例

提高網(wǎng)絡(luò)安全意識

除了應(yīng)用零信任架構(gòu)和深度防御網(wǎng)絡(luò)以外,提高各部門的網(wǎng)絡(luò)安全意識、確保所有團隊成員以同樣的理念看待網(wǎng)絡(luò)安全也十分重要。應(yīng)鼓勵員工了解遵循技術(shù)安全要求的益處,從而提高他們遵守安全指南的意愿。

這需要:

統(tǒng)籌協(xié)調(diào)安全響應(yīng)及網(wǎng)絡(luò)監(jiān)管

假設(shè)所有設(shè)備和網(wǎng)絡(luò)都會遭受攻擊,為最壞的情況做準備

確保具備強大的恢復能力和響應(yīng)流程

對用戶和網(wǎng)絡(luò)設(shè)備執(zhí)行嚴格的授權(quán)認證

用戶憑證泄露是工業(yè)網(wǎng)絡(luò)面臨的一大險境。如果網(wǎng)絡(luò)訪問沒有遵循零信任原則,入侵者可能只需要一條用戶憑證就可以訪問整個網(wǎng)絡(luò)。但在零信任網(wǎng)絡(luò)架構(gòu)中,入侵者需要同時獲得設(shè)備訪問控制和用戶授權(quán)認證才能訪問網(wǎng)絡(luò)。此外,還可以利用信任列表對網(wǎng)絡(luò)進行更精細的控制。

設(shè)備訪問控制

通過信任列表、速率控制和故障注銷,可以只允許配備安全啟動功能的受信設(shè)備訪問網(wǎng)絡(luò)設(shè)備,防止遭受暴力破解和其他依靠反復嘗試達成的網(wǎng)絡(luò)攻擊。

用戶授權(quán)認證

登錄設(shè)備時驗證用戶憑證,網(wǎng)絡(luò)設(shè)備即可記錄所有用戶的訪問嘗試,并根據(jù)不同職位開放最低限度的訪問權(quán)限。

摩莎3.png

信任列表

如果企業(yè)想要加強網(wǎng)絡(luò)安全,信任列表是控制網(wǎng)絡(luò)流量的好方法。常用做法是為 IP 地址和設(shè)備端口建立信任列表,利用深層數(shù)據(jù)包檢測技術(shù)精準控制讀寫權(quán)限等網(wǎng)絡(luò)訪問行為。

摩莎4.png

利用網(wǎng)絡(luò)分區(qū)構(gòu)建深度防御

遠程連接是工業(yè)控制系統(tǒng)的關(guān)鍵組成部分,必須有效管理。同時,內(nèi)部威脅也會給網(wǎng)絡(luò)帶來風險。必須采取措施減少遠程連接和內(nèi)部威脅造成的風險。恰當?shù)木W(wǎng)絡(luò)分區(qū)能防止侵害遠程連接的入侵者和威脅系統(tǒng)安全的內(nèi)部人員訪問整個網(wǎng)絡(luò)。

網(wǎng)絡(luò)分區(qū)

網(wǎng)絡(luò)分區(qū)可以防止惡意數(shù)據(jù)在網(wǎng)絡(luò)中橫向移動。企業(yè)通常會在 IT 和 OT 網(wǎng)絡(luò)之間部署防火墻,創(chuàng)建高級別網(wǎng)絡(luò)分區(qū)。然而,如果網(wǎng)絡(luò)沒有正確分區(qū),一旦攻擊者獲得用戶憑證,就很有可能有權(quán)訪問 OT 網(wǎng)絡(luò)及其中的設(shè)備。有許多手段能幫助實現(xiàn)網(wǎng)絡(luò)分區(qū),部署防火墻就是其中之一。防火墻的優(yōu)勢之一在于它能幫助管理員為網(wǎng)絡(luò)分區(qū),只有通過許可的數(shù)據(jù)才能在區(qū)域之間傳輸。此外,利用 IP 地址、經(jīng)授權(quán)訪問啟用端口等安全策略和規(guī)則,能將網(wǎng)絡(luò)劃分為更小、更易管理的區(qū)域,確保只有特定數(shù)據(jù)能進入網(wǎng)絡(luò)。

網(wǎng)絡(luò)微分區(qū)

運動控制器是工業(yè)控制系統(tǒng)的關(guān)鍵資產(chǎn)之一。如果這些關(guān)鍵資產(chǎn)受到攻擊,企業(yè)生產(chǎn)可能會陷入停滯,甚至導致威脅人員生命安全等嚴重損害。因此,資產(chǎn)所有者應(yīng)部署工業(yè)入侵防御系統(tǒng),將網(wǎng)絡(luò)攻擊影響控制在遭受襲擊的區(qū)域內(nèi),從而保護關(guān)鍵資產(chǎn)。

摩莎5.png

此外,持續(xù)監(jiān)控網(wǎng)絡(luò)中用戶和設(shè)備的異常行為能阻止攻擊擴散,有利于專業(yè)人員快速恢復網(wǎng)絡(luò)。

選擇 Moxa 網(wǎng)絡(luò)安全解決方案,筑牢網(wǎng)絡(luò)安全防線 作為 35 年持續(xù)領(lǐng)跑工業(yè)網(wǎng)絡(luò)行業(yè)的先鋒,Moxa 致力于開發(fā)安全可靠的網(wǎng)絡(luò)解決方案,主動識別和消除 OT 環(huán)境中的網(wǎng)絡(luò)威脅。Moxa 信守承諾,嚴格遵守“安全始于設(shè)計”原則,根據(jù)網(wǎng)絡(luò)安全標準 IEC 62443-4-2 開發(fā)具備安全功能的網(wǎng)絡(luò)設(shè)備。實用的安全功能可以幫助企業(yè)建立零信任網(wǎng)絡(luò)。同時,Moxa 利用分布式 OT 入侵系統(tǒng)和具備深層 OT 數(shù)據(jù)包檢測功能的工業(yè)安全路由器打造深度防御工業(yè)網(wǎng)絡(luò)。

了解 Moxa 網(wǎng)絡(luò)安全解決方案的更多信息,請訪問 Moxa微網(wǎng)站。

審核編輯(
王靜
)
投訴建議

提交

查看更多評論
其他資訊

查看更多

TSN 技術(shù)助力家電制造自動化

喜訊!MGate 5123 榮獲 “數(shù)字化創(chuàng)新獎”

協(xié)議網(wǎng)關(guān)如何實現(xiàn)智能電網(wǎng)數(shù)位轉(zhuǎn)型

跨界融合的力量:BESS 如何實現(xiàn)電力流與數(shù)據(jù)流的完美相融

Moxa 喜獲全球首個 IEC 62443-4-2 工業(yè)安全路由器認證