我参加了瑞典工业网络安全会议4SICS上个月,我在哪里也在分析网络流量的情况下给了一天的课程。4SICS是欧洲领先的工业控制系统(ICS)安全会议,从而为来自世界各地的发言者和与会者带来。
以下是我对会议的总结,以及欧洲和世界工业控制系统的现状。
已经好几年了鼓励连续运行ICS的公司在他们的网络中捕获全部内容的网络流量。这样做的主要好处是在存在的情况下启用对网络流量的法医分析在他们的网络中侵入。这不适用于黑客攻击,还可以通过捕获的网络流量的帮助来检测和调查恶意软件感染。很遗憾,ICS字段中很少有公司在控制系统中部署了嗅探器,但似乎好像这一切即将改变。在今年的4SICS会议上,几位演讲者做了关于捕获网络流量的成功故事用于查找入侵和ICS网络中的恶意软件。
“如果你知道你的流量是什么样子的,这些东西就像一个疼痛的拇指”——Chris Sistrunk和Robert Caldwell在2015 4SICS
Chris Sistrunk和Robert Caldwell举行了题为“缺少明显:网络安全监测ICS。”他们提到了一个网络安全是驱动因素的案例在植物中部署数据包嗅探器。稍后它证明IT运营也有很多才能获取访问捕获的网络流量,因为它允许它们在其网络上检测错误配置的服务器,客户端和嵌入式设备。Chris和Robert还指出,ICS网络流量的确定性性质使其易于找到由恶意软件引起的恶意流量。
另一个使用类似策略的演讲者是Robert M. Lee,他做了一个很棒的演讲,“IC网络中的资产识别与网络安全监控。“在他的谈话中,Robert提到他可以通过寻找网络流量的偏差来发现ICS网络中的恶意软件。Robert还提到了将安全补丁应用于控制系统中的机器的问题。罗伯特说“如果您无法修补它,至少监控它,”这是处理关键系统无法修补的情况的一种非常明智的方法。
4SICS会议在每次谈话中使用了应用程序调查,这给了一些有趣的反应。例如,我们可以看到13%的人回答说他们已经在他们的控制系统中实现了网络安全监控的解决方案。那么,是什么阻止了其他87%的ICS网络所有者获取他们的网络流量呢?
恶劣的环境只是IC网络的一个问题
有人可能会说,许多ICS网络运行的恶劣环境(水处理厂、发电厂、变电站、石油钻井平台等)不适合为气候控制的数据中心设计的传统IT设备。但是,不需要购买设备来捕获网络流量。所需要的只是一个基本的linux服务器运行一个开源数据包嗅探器。
对于像我这样的人,在捕获设置中具有高要求和最小的数据包丢失的丢失,交换机上的监视器端口不是访问网络流量的首选方法。我始终更喜欢合适的网络挖掘,通过带有监视器端口的开关。
工业以太网部门对网络接入有独特的要求,包括35mm DIN导轨支持和24V电源连接器,湿度、灰尘和工业设置的其他环境问题的IP评级。
我一直在与Garland Technology乐动体育菠菜合作,对其目前的10M/100M和10M/100M/1000M无源龙头进行调整,以适应工业网络的功能和物理特性,到本文发表时,该产品计划于2016年初发布。
我真的很期待看到这样一个DIN导轨安装的网络挖掘ICS实验室4中心2016 !
要了解更多网络接入的不同之处,读一读Tim O'Neill的白皮书,题为“TAP vs. SPAN”。