跨域解决方案如何保护OT免受it级攻击
跨域解决方案(CDS)可以帮助确保信息技术(IT)域和操作技术(OT)域之间的通信安全。
学习目标
- 计划外停机是制造商和关键基础设施面临的主要问题,而网络安全漏洞是一个日益严重的原因。
- 跨域解决方案(CDS)管理IT域和OT域之间的安全通信。
- CDS的一个常见用例是将流程历史数据复制到企业(在业务网络上或云上)。
网络安全的见解
- 跨域解决方案(CDS)可以帮助管理信息技术(IT)域和操作技术(OT)域之间的安全通信,保护双方免受网络安全攻击。
- 随着针对OT的攻击增加,它们正在成为计划外停机的主要来源,根据行业和攻击类型的不同,其影响可能远远超出源头,延伸到日常生活,正如对Oldsmar和Colonial Pipeline的攻击所显示的那样。
网络攻击和事件正在成为工业和关键基础设施应用程序计划外停机的主要来源。针对商业网络的it级网络攻击可能会对运营产生负面影响。正如Colonial Pipeline事件所表明的那样,供应链的可视性丧失导致了运营关闭,导致公司损失了数百万美元。适当隔离IT和OT域可降低IT级攻击影响OT级操作的几率。
通过数字化和新的工业物联网(IIoT)技术,如云和边缘计算,消息队列遥测传输(MQTT)等物联网协议,分析和机器学习(ML), OT和工业控制系统(ICS)的世界正在与业务和企业级应用程序更加集成。这扩大了OT的威胁面,迫使最终用户确保OT域与IT和企业系统世界隔离。
今天需要的是“隔离与交流”。OT领域必须保持安全并与IT领域隔离,以确保工作人员的健康和安全,并减少计划外停机时间,这导致工业和关键基础设施部门每年损失超过1万亿美元的生产。然而,细分并不能消除交流;IT和OT领域之间的通信是实现工业物联网效益的必要条件。
图1:跨域解决方案(cds)有三个核心功能领域:数据流限制、硬件强制分离以及内容检查和过滤。猫头鹰网络防御公司提供
跨域解决方案(CDS)是管理IT和OT域之间安全通信的极好方法。ARC分析师最近与Owl Cyber Defense讨论了工业和关键基础设施领域的CDS产品。主要收获包括:
- 网络攻击现在是计划外停机的主要来源。
- 在最近的网络攻击中,大部分OT级别的停机时间都源于IT级别攻击造成的OT级别影响。
- 行业和关键基础设施需要保护OT领域,使其免受it级攻击的负面影响。
- CDS长期用于政府和国防部门,现在正被工业和关键基础设施应用,在保持双向通信能力的同时,在IT和OT领域之间提供隔离和安全通信。
网络攻击是计划外停机的主要来源
计划外停机是制造商和关键基础设施面临的主要问题。ARC估计,计划外停机对全球工业和关键基础设施部门造成的收入损失超过1万亿美元。在炼油厂,一次计划外的关闭可能会抹去全年利润。计划外停电会带来生命损失和基本服务中断等极端风险。在过去,大多数计划外停机可以归因于操作人员的错误或被控制过程中的一些意外或异常情况。
最近的网络攻击对运营的影响表明,网络攻击和事件现在是计划外停机的主要来源,这也给人类生命、安全和环境带来了风险。根据美国政府的说法,损失发生在NotPetya勒索软件攻击超过100亿美元。
it级攻击具有ot级后果
在NotPetya期间遭受的损失中,许多来自工业、制造业和关键基础设施公司,由于受到IT和企业级攻击,这些公司不得不关闭业务。本田、马士基、默克和亿滋国际等公司都遭受了与ot相关的损失和重大的计划外停机。由于不得不关闭航运业务,马士基损失了2亿至3亿美元。据报道,默克公司遭受了1.35亿美元的收入损失,并花费了8亿多美元来弥补NotPetya的影响并升级其网络安全。
操作必须对IT和企业安全
过去十年中,OT级系统的大多数技术进步都集中在OT和IT或业务/企业级功能之间的无缝集成。在过去的十年里,随着物联网的涌入,从OT世界到IT世界的数据流呈指数级增长。然而,网络安全保护却没有跟上步伐。尽管大规模部署了大量的网络安全产品和解决方案,但IT级的网络攻击仍然会产生ot级的后果。
跨域网络安全解决方案有利于OT
国防和高度敏感的政府应用程序长期使用CDS,在这些应用程序中绝对的安全性是必要的。cds确保可信域和不可信域之间的安全通信。
CDS是一个集成的信息保障系统,可以由硬件和软件组成。cds提供了一个受控接口,可以根据预定的安全策略手动或自动启用或限制两个或多个安全域之间的信息访问或传输。CDSs强制执行域分离,通常包括某种形式的内容过滤,用于指定未经授权的信息,以便在安全域或分类级别之间传输。
最初,cds被部署在军事、情报和关键基础设施部门,在这些部门,违约是不能容忍的,可能会造成生命损失。cds通常还通过了由国家安全局(NSA)下属的国家跨域战略管理办公室(NCDSMO)管理的严格测试过程。
图2:CDS为信息技术(IT)和操作技术(OT)安全域之间的通信提供了高级安全性。ARC咨询集团提供
CDS网络安全组件
CDS网络安全解决方案包括硬件和软件的组合,使用加固的操作系统和专门的工具,如安全增强Linux。cds提供多层过滤和内容检查,并提供“协议中断”(以数据二极管的形式),以支持可信和不可信网络域之间的安全连接。
网络安全:在cd或防火墙之间进行选择
工业防火墙在工业控制系统中无处不在。大多数工业设施使用防火墙来保护周边并提供区域隔离。然而,防火墙有许多漏洞,需要持续的配置和维护工作。防火墙是提供网络安全的好方法,不应将其与cd混淆。正是由于防火墙和其他安全产品固有的漏洞,cds才被开发出来。
CDS和防火墙之间的另一个关键区别是长期的操作和维护成本。防火墙需要持续维护。定期检查防火墙规则集,定期进行防火墙安全审计,备份防火墙规则集,定期检查防火墙日志。
cds具有较少的配置规则和较少的持续维护需求。防火墙更类似于拒绝列表策略,其中某些协议、端口和服务被阻止。CDS的操作更像一个允许列表,其中只允许某些类型的通信和服务。这就是为什么cds在支持强制访问控制(MAC)方案和基于角色的访问控制(RBAC)等方面如此有用。
图3:Owl Cyber Defense IXD跨域解决方案猫头鹰网络防御
许多行业都采用cds来帮助网络安全
信用违约互换正在超越国防和政府应用领域,被广泛应用于许多行业。从油气勘探和生产到管道和液化天然气(LNG)应用,碳氢化合物行业是当今最大的采用者。包括炼油和石化在内的下游行业也在采用这种技术。cds还被应用于化工、汽车和发电行业。
最终用户正在部署cds,以实现OT和IT域之间通信的最高级别的安全性。IT和企业级消耗的OT数据量继续呈指数级增长。防火墙本身不足以在OT和IT域之间提供适当的隔离级别。
工业和基础设施应用程序中cds的另一个常见用例是将流程历史数据复制到企业(在业务网络上或云上)。
CDS的网络安全优势
随着OT和IT世界之间对更安全通信的需求不断增加,最终用户应该考虑使用CDS在这两个领域之间提供更好的隔离和通信安全性。cds较低的操作和维护成本以及要求,再加上所提供的安全级别,可以形成一种具有成本效益的策略,以便在IT级别发生攻击时避免OT级别的计划外停机。cds还可以防止在OT级别向IT网络或云发起的攻击。
图4:IXD的特点是XML过滤和XML线性可靠管道。猫头鹰网络防御
拉里-奥布莱恩副总裁是ARC咨询集团,CFE媒体和技术内容合作伙伴。由网页内容经理克里斯·瓦夫拉编辑,控制工程, CFE媒体与技术,cvavra@cfemedia.com.
更多的答案
关键词:跨域解决方案,IT/OT收敛
在线
https://www.industrialcybersecuritypulse.com/
查看更多工业物联网和工业4.0的故事,请访问//www.globalelove.com/iiot-industrie-4-0/
考虑一下这个
CDS如何帮助提高工厂的OT安全性?
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
