第2步:定義和驗證訪問策略
在網絡中定義有效的訪問策略需要IT和OT團隊之間的協作。
ISA99/IEC 62443工業網絡安全標準將區域定義為具有類似安全要求、清晰物理邊界和需要相互對話的設備組。例如,汽車工廠可能有一條焊接生產線和一條噴漆生產線。焊接設備沒有理由需要與油漆車間的設備交互。如果一個區域內的設備受到感染,將每個設備放置在自己的區域內可以限制任何損壞。如果不同區域的設備確實需要相互通信,則管道定義了允許的有限交互。訪問策略將OT網絡中的區域和管道形式化。
Cyber Vision可以直接與ISE集成。一旦OT管理員在Cyber Vision中對資產進行分組,該信息將自動與ISE共享。ISE可以利用資產詳細信息和分組來確定必須應用的安全策略。可以將端點分配到適當的區域,并使用可擴展組標簽標記其通信,該標簽使網絡設備能夠定義和實施適當的訪問策略。
第3步:驗證合規性策略
在執行策略之前,需要對其進行驗證。DNA Center提供了一個儀表板,用于可視化從ISE學習到的組之間的交互。DNA Center還為每個交互提供了詳細信息,如應用程序、協議、端口號等。有了這些信息,用戶可以根據需要調整定義的策略,以確保它們不會妨礙任何合法的交互。
圖7、DNA中心提供組間流量的可視化映射
第4步:通過網絡分段加強信任
一旦策略得到驗證,用戶可以使用易用的矩陣在DNA Center或ISE中編寫它們,其中每個單元定義了源和目標組之間允許的通信。在該矩陣中,同一區域內的端點可以彼此自由交互,但不能與其他區域中的端點交互。例如,雖然制造車間區域中的端點可以相互通信,但它們不能與焊接車間區域中的端點通信。每個分區中的端點可以與制造執行系統通信,但僅受管道定義的約束。
圖8、DNA中心使用矩陣定義策略
定義的策略現在發送給ISE,ISE依次配置工業交換機和路由器,以根據連接到該端口的端點的情況,對其每個端口強制執行策略限制。應用這些策略對網絡進行分段,使每個分區都受到保護,分區之間的通信通過定義的管道得到嚴格控制。
定義、驗證和強制執行訪問規則的過程使OT能夠控制其安全標準。一旦實現了這個過程,添加新的端點和根據需求變化修改策略就變得很容易了。例如,如果未來需要在生產車間和裝配線之間進行某些通信,則可以在策略矩陣中定義新策略,并輕松地重新配置基礎設施。
第5步:不斷驗證信任
Cyber Vision不斷評估連接端點的安全狀況。它會自動計算每個端點的風險評分,以幫助安全管理員主動限制對工業過程的威脅。風險評分是威脅的可能性及其潛在影響的乘積,其中可能性取決于資產類型、漏洞和對外部 IP 地址的暴露,影響取決于資產類型及其對工業過程的重要性。
匯總各個風險評分以評估工業區的安全狀況,并更容易確定糾正措施的優先級,例如應用漏洞補丁或安裝工業防火墻,從而確保工業端點的安全。
圖9、Cyber Vision根據其潛在影響和發生的可能性評估風險
但是,即使將風險保持在最低水平并且正確執行了訪問策略,后續攻擊也有可能突破區域,感染SCADA、PLC和HMI等控制系統。此類感染可能導致這些控制器對工業設備的控制行為發生改變,導致生產質量問題、停產,甚至損壞機器和生產基礎設施。因此,必須持續監控所有此類控制器,以發現任何可能表明它們已被入侵的異常行為的跡象。Cyber Vision 分析所有工業通信內容,并使用先進的基線引擎跟蹤異常行為。
