管理到操作技术(OT)环境的外部连接

Dragos最近发布了《Dragos 2021年度回顾报告》，重点介绍了运营技术(OT)网络威胁领域的四个关键发现。本博客将继续扩展这些发现的系列，重点关注内部工业控制系统(ICS)环境的外部连接。

报告指出，“70%的工业控制系统(ICS)环境具有从原始设备制造商(oem)、信息技术(IT)网络或互联网到运营技术(OT)网络的外部连接，这一数字比2020年增加了一倍多。”

到ICS环境的外部可路由连接有哪些?

自从工业基础设施出现以来，现场支持一直是管理或排除OT系统故障的唯一选择之一。对关键系统的任何更改都需要现场干预和相应的现场支持/响应条件。随着我们继续增加连接系统正在进行改造，以提供远程功能，而不是对整个系统进行更严格的重新设计。改造系统可以包括监控和提高这些关键系统的整体可见性、故障排除和/或维护活动，这也增加了恶意行为者这样做的机会。

外部连接被定义为任何超出预定义安全边界进行通信的internet协议(IP)和/或资产。ICS环境安全参数由网络架构和分段的实现级别或区域组成，通常遵循普渡模型。的普渡大学模式由分配给共享公共安全需求的逻辑或物理资产组的标准化级别或区域号组成。级别或区域的分配通常如下表所示。

级别或区域的安全策略通常由区域边缘和区域内的设备和进程组合执行。区域也可以被认为是分层的，因为它们可以由一组子区域组成。必须考虑双向通信，并应仅限于操作目的所需的内容。

外部访问可以描述为从区域安全边界外进行通信的任何用户。这个定义还可以扩展到来自公司边界之外的远程位置的通信，即第三方连接(3pc)的情况。

用网络分割/微分割保护环境

分割通常由OSI第三层网络设备实现，如防火墙、路由器、路由器等。这些设备允许一个大的、平面的网络被分解成离散的、分层的段，这些段可能允许也可能不允许段间通信。网络分割涉及开发和实施一个规则集，用于控制特定主机之间的通信和区域之间的服务。实现有效的网络分段是可防御的ICS/OT网络架构的关键组件。

每一层可以实现的安全控制越多，体系结构抵御攻击的弹性就越大。在物理分割和逻辑分割之间还有一个重要的区别。物理分割包括网段之间的气隙，确保不与任何其他网段通信。网络微分割是一种网络安全技术，它可以包括物理和逻辑分割，并基于一组不同的属性对内部网络进行分割，以描述网络区域。

Dragos团队77%的服务项目显示了网络分割的问题。进入OT环境的最常见的外部连接是第三方连接(3pc)或该组织的供应商。因此，组织可以继承其3pc的安全态势和伴随的风险。3PC连接应规定采用已识别的安全控制，以确保安全的远程访问连接，并应监控任何可疑活动。

改善网络安全的五个最佳实践

在可能的情况下，利用现有的行业指南，包括网络分割和远程访问的特定ICS建议，包括ISA/IEC, 62443, NIST SP 800-82和NERC CIP。

实现网络分段改进有助于识别并逐步将任何外部通信资产淘汰到OT环境中。以下是一些建议:

1. 首先，实现一个专用的VPN网关，或跳转主机，在企业DMZ内。这应该是远程用户进入工厂环境的唯一访问点，默认情况下永远不应该启用远程访问。
2. 实现默认的“拒绝所有”访问策略跨越外部到内部的通信边界(级别4到任何更低的普渡模型级别)。
3. 尽可能建立远程访问多因素身份验证(MFA)。否则，请考虑其他技术控制，例如增加日志记录和监视的跳转主机。
4. 跨IT/OT边界实现增强的日志记录和监控以及OT环境中任何高度关键的资产。这有助于确保您能够识别和确认来自非法设备的允许网络流量，这些设备可能已经访问了OT网络。
5. 实现网络微分割。例如，为不同的资产组创建不同的vlan(虚拟局域网)。微分割还允许更容易和更好的关键资产组的可见性，并提供了设计网络访问策略的灵活性。

与2020年相比，2021年的ICS/OT漏洞总数翻了一番，达到1665个。此外，漏洞分析表明，35%的漏洞可能会导致视图丢失和控制丢失，这是ICS/OT环境中最糟糕的操作场景之一。在这些已识别的漏洞中，约90%没有采取缓解措施。识别和减轻任何外部可路由连接的基本方法是锁定和监视Level 4/Level 3边界(进入ICS/OT环境的网关)。

-这最初出现在德拉格的网站．Dragos是CFE媒体和技术内容合作伙伴。

原始内容可以在德拉格．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。