保护和监视您的网络是最终目标。为了实现这个目标,团队利用ICS安全解决方案旨在有效地响应和管理OT环境中的威胁。为了正确识别、检测和响应安全威胁和违规,大多数ICS安全工具关注于可见性、威胁检测和监控,以及资产可见性和管理。
在实现这些安全解决方案时,OT团队面临着复杂的挑战,当涉及到在这些大型且有时老化的基础设施中设计连接性时,这些基础设施最初并没有考虑到网络安全,包括:
- 依赖于遗留交换机SPAN端口的可见性,这是不安全、可靠或可用的
- 面对不同介质或速度的网络与各种工具之间的连接
- 网络扩张需要降低网络的复杂性
- 可能需要其监测工具的单向连接
- 需要一个安全的气隙解决方案的虚拟环境
幸运的是,这些挑战都有解决方案。优化的安全性和性能策略始于对网络流量的100%可见性。可见性从数据包开始。
在OT环境中,网络可见性的一个常见接入点是网络交换机上的SPAN端口。工程师经常会直接连接到入侵检测系统(IDS)或网络监控工具。
但是今天,在现代ICS网络中,有一个更可靠的选择来访问网络数据包,以获得安全和监控解决方案,以正确地分析威胁和异常——网络tap。
在OT环境中的TAP vs SPAN
确定何时使用SPAN端口或网络tap归结为许多问题。许多时候,两者的结合是可见性架构的现实。但是存在一些显著的差异,这些差异会影响所分析的流量的完整性,以及网络流量的性能。让我们回顾一下它们的优缺点,帮助你决定最适合你的人际关系网的是什么。
1.开关跨度港口
一个常见的可见性用例是将镜像流量从交换机上的SPAN端口路由到安全或监控工具。端口镜像也被称为SPAN(交换端口分析器),是网络交换机上的一个指定端口,它被编程来镜像或发送一个在特定端口上看到的网络数据包的副本,在那里数据包可以被分析。
- 提供对用于监控的数据包的访问
- SPAN会话不会干扰交换机的正常操作
- 可从任何连接到交换机的系统配置
这个概念非常简单——交换机已经被构建到环境中。只需连接您的安全解决方案。完成了。但是很多时候最简单的方法并不是最好的方法。
高层次的SPAN挑战包括:
- SPAN占用交换机上价值较高的端口
- 一些遗留交换机甚至没有SPAN端口可用
- SPAN端口可能丢弃数据包,这是安全性和监管解决方案的额外风险
安全团队不喜欢使用SPAN的一个根本原因是数据包丢失。这通常发生在端口被大量利用或过度使用时。在OT环境中,网络交换机倾向于运行10M、100M到1G,因此您可能认为这永远不会发生。不幸的是,即使网络链路没有饱和,ICS交换机也容易以较低的速度丢弃数据包。这种情况的发生有多种原因:
- 由于内存不足,数据包有时无法存储
- “暂停”框架的攻击。一个坏的参与者可以伪装成一个环回,淹没SPAN,隐藏坏数据并强制丢弃数据包
- 显示破环冗余校验(CRC)的数据包将被丢弃
- 对于小于64字节或大于配置的MTU (maximum transmission unit)的帧,可能会因为入速率限制而被丢弃
如果丢弃数据包并不能让你大开眼界,你知道SPAN:
- 不会传递损坏的数据包或错误
- 如果使用多个vlan,报文是否可以重复
- 可以改变帧交互的时间,改变响应时间吗
SPAN的概念可能听起来很简单,因为它是可用的,但在权衡了丢包和改变帧后,额外的SPAN安全考虑包括:
- 双向流量打开了流入网络的流量回流,使交换机容易受到黑客攻击
- SPAN的管理/编程成本逐渐变得更加时间密集和昂贵
2.网络利用
数据包可见性的行业最佳实践是网络tap(测试接入点)。网络利用是专门设计的硬件设备,可以创建流量的精确的全双工副本,连续,24/7,不影响网络完整性。
网络TAP不是将两个网段(如路由器和交换机)直接连接在一起,而是放在两个网段之间,以获得对流量的完全访问。tap在单独的专用通道上同时传输发送和接收数据流,确保所有数据实时到达监控或安全设备。
- 网络tap将生成网络流量的100%全双工副本
- 网络轻拍不会改变数据或丢弃数据包
- Network tap是可伸缩的,可以提供单个副本、多个副本(再生)或合并通信流(聚合),以最大限度地提高监视工具的产量
|
|
遵循关键基础设施的指导原则——您希望将网络构建为持久的,同时确保网络停机时间最小到没有。这些概念基于网络基础设施和可见性架构。在您的网络中结合像网络tap这样的最佳实践将帮助您实现这些目标。
想添加OT可视性,但不确定从哪里开始?加入我们一个简短的网络设计- it咨询或演示。没有义务,这是我们喜欢做的。
