网络安全建议:ICS环境中的微分割

在工业网络安全中，微分割作为工业控制系统(ICS)网络的有效防御策略的重要性经常被忽视。到目前为止，所有资产所有者都应该知道，在关键操作技术(OT)网络上实现单一的外围防火墙只是实现整体安全的一小步;然而，它不应该是唯一的一个。

微分割的关键概念是粒度。微细分将组织(在这种情况下是OT网络)分解到用户感到舒适的最细粒度级别。在大多数情况下，这会导致一小组关键资产在TCP/UDP流量级别上相互通信。

[小头]ICS宏分割，然后是微分割

与所有网络安全战略一样，“纵深防御”的总体计划应该是各个技术适用的保护伞。对于微分割，典型的第一步是“宏观分割”。这将引入整个基础设施安全边界，并从信息技术(IT)到OT细分的大图景。正如在IEC 62443甚至普渡模型下定义的网络一样，将网络定义为区域和管道。

纵深防御的例子:水处理厂

例如，在水处理厂中，已经存在的不同防御层可能包括:

• 为现场工程师提供安全的远程连接，例如VPN (virtual private network)。
• 远程员工在家工作。
• 针对本地和远程用户，甚至“无头”进程的基于角色的访问控制。
• 监控外部流量和web应用程序的IT系统和解决方案。
• 网络或安全运营中心(NOC/SOC)，
• 自动化系统保护与反病毒工作站。
• 带摄像头的物理安全系统。
• 水处理厂内不同工艺操作所需的隔离。

微分割的目标是通过将安全边界置于具有不同访问权限的小而隔离的区域来减少攻击面。这提供了更好和更细粒度的保护，并通过将其包含在一个非常小的单元中来减轻事故造成的损害。然而，微分段ICS网络的挑战是成本、复杂性和可管理性。

ICS微分割的成本和复杂性，以提高网络安全

微分割依赖于部署保护，并将一个大型网络分解为许多较小的单元或段。由于部署大量安全设备的成本过高，因此使用能够以合理的价格提供高水平集中保护的设备非常重要。

资产所有者或OT人员面临的一个巨大挑战是对复杂防火墙规则的设置或配置的限制。IP地址，第4层端口和协议可能会令人困惑，不是很直观，并且可能会出错。OT保护的一个关键特性是防火墙，它可以帮助创建和验证所需的网络防火墙规则。

例如，像“简单保护模式”这样的功能可以隔离所需的网络，而不需要设备配置。通过简单的离散输入或干接点控制，用户友好的有状态检查防火墙规则集被激活。基于传入和传出的数据流量，集成防火墙助手可以自动创建现有网络连接的列表和防火墙规则，供用户选择允许或阻止哪些网络连接。“测试模式”还可以识别未定义的通信连接。在防火墙助手被禁用后，它会报告这些并建议补充的防火墙规则。

ICS网络安全微分割的可管理性

要考虑的最后一项是管理网络上的所有这些安全设备，这对于微分段所需的大量设备来说变得更加重要。管理工具在日常任务中是必不可少的，比如部署新配置、推送固件更新、更改密码等。这些工具无需手动“接触”数百台设备，并允许管理员快速一致地批量执行任务。

虽然IT部门长期以来一直有专有和开放的软件套件来帮助完成这些任务，但它们在OT领域仍然不太常见，有时功能也不太丰富。选择具有中央管理工具的防火墙或安全设备，或者可以与第三方工具一起工作的设备，对于维护网络至关重要。支持SNMP和REST api等特性的防火墙是可以由第三方软件管理甚至自动化的良好指标，并且适合广泛使用。

资产所有者和利益相关者必须将微分割视为更广泛的安全架构的一部分，而不是当前安全架构的替代品。这个过程减少了对工业环境的攻击向量。同样重要的是，它有助于确保对给定易受攻击的进程的一次破坏不会让攻击者甚至恶意软件传播到环境的其他部分。实现工业级别的安全设备和防火墙有助于解决成本、复杂性和可管理性的挑战，这是确保微细分战略成功的关键。

玛利亚姆Coladonato是美国凤凰联络公司的高级网络安全产品专家。丹·谢弗他是美国凤凰联络公司的高级产品营销经理。由内容经理马克·霍斯克编辑，控制工程 ，CFE媒体和技术， mhoske@cfemedia.com．

关键词:ICS微分割网络安全建议，工程师选择奖

考虑一下这个

你好吗利用ICS微分割提高运营网络安全?

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。