• <abbr id="ogqwo"></abbr>
    <ul id="ogqwo"></ul>
    <ul id="ogqwo"><sup id="ogqwo"></sup></ul> 
      <dfn id="ogqwo"></dfn>
      <abbr id="ogqwo"></abbr>
    • <ul id="ogqwo"></ul>
      

      • 



      


      

      


      

      


      

      




      




      




      

      長(zhǎng)揚(yáng)科技:零信任安全架構(gòu)在IT、OT和IOT領(lǐng)域的應(yīng)用
      

      

      文章來(lái)源:
      

      字體:  
      

      發(fā)布時(shí)間:2022-08-01
      

      



      

      



      

      第2步:定義和驗(yàn)證訪問(wèn)策略
      

      在網(wǎng)絡(luò)中定義有效的訪問(wèn)策略需要IT和OT團(tuán)隊(duì)之間的協(xié)作。
      

      ISA99/IEC 62443工業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將區(qū)域定義為具有類似安全要求、清晰物理邊界和需要相互對(duì)話的設(shè)備組。例如,汽車工廠可能有一條焊接生產(chǎn)線和一條噴漆生產(chǎn)線。焊接設(shè)備沒(méi)有理由需要與油漆車間的設(shè)備交互。如果一個(gè)區(qū)域內(nèi)的設(shè)備受到感染,將每個(gè)設(shè)備放置在自己的區(qū)域內(nèi)可以限制任何損壞。如果不同區(qū)域的設(shè)備確實(shí)需要相互通信,則管道定義了允許的有限交互。訪問(wèn)策略將OT網(wǎng)絡(luò)中的區(qū)域和管道形式化。
      

      Cyber Vision可以直接與ISE集成。一旦OT管理員在Cyber Vision中對(duì)資產(chǎn)進(jìn)行分組,該信息將自動(dòng)與ISE共享。ISE可以利用資產(chǎn)詳細(xì)信息和分組來(lái)確定必須應(yīng)用的安全策略。可以將端點(diǎn)分配到適當(dāng)?shù)膮^(qū)域,并使用可擴(kuò)展組標(biāo)簽標(biāo)記其通信,該標(biāo)簽使網(wǎng)絡(luò)設(shè)備能夠定義和實(shí)施適當(dāng)?shù)脑L問(wèn)策略。
      

      第3步:驗(yàn)證合規(guī)性策略
      

      在執(zhí)行策略之前,需要對(duì)其進(jìn)行驗(yàn)證。DNA Center提供了一個(gè)儀表板,用于可視化從ISE學(xué)習(xí)到的組之間的交互。DNA Center還為每個(gè)交互提供了詳細(xì)信息,如應(yīng)用程序、協(xié)議、端口號(hào)等。有了這些信息,用戶可以根據(jù)需要調(diào)整定義的策略,以確保它們不會(huì)妨礙任何合法的交互。
      

      

      圖7、DNA中心提供組間流量的可視化映射
      

      第4步:通過(guò)網(wǎng)絡(luò)分段加強(qiáng)信任
      

      一旦策略得到驗(yàn)證,用戶可以使用易用的矩陣在DNA Center或ISE中編寫它們,其中每個(gè)單元定義了源和目標(biāo)組之間允許的通信。在該矩陣中,同一區(qū)域內(nèi)的端點(diǎn)可以彼此自由交互,但不能與其他區(qū)域中的端點(diǎn)交互。例如,雖然制造車間區(qū)域中的端點(diǎn)可以相互通信,但它們不能與焊接車間區(qū)域中的端點(diǎn)通信。每個(gè)分區(qū)中的端點(diǎn)可以與制造執(zhí)行系統(tǒng)通信,但僅受管道定義的約束。
      


      
圖8、DNA中心使用矩陣定義策略
      

      定義的策略現(xiàn)在發(fā)送給ISE,ISE依次配置工業(yè)交換機(jī)和路由器,以根據(jù)連接到該端口的端點(diǎn)的情況,對(duì)其每個(gè)端口強(qiáng)制執(zhí)行策略限制。應(yīng)用這些策略對(duì)網(wǎng)絡(luò)進(jìn)行分段,使每個(gè)分區(qū)都受到保護(hù),分區(qū)之間的通信通過(guò)定義的管道得到嚴(yán)格控制。
      

      定義、驗(yàn)證和強(qiáng)制執(zhí)行訪問(wèn)規(guī)則的過(guò)程使OT能夠控制其安全標(biāo)準(zhǔn)。一旦實(shí)現(xiàn)了這個(gè)過(guò)程,添加新的端點(diǎn)和根據(jù)需求變化修改策略就變得很容易了。例如,如果未來(lái)需要在生產(chǎn)車間和裝配線之間進(jìn)行某些通信,則可以在策略矩陣中定義新策略,并輕松地重新配置基礎(chǔ)設(shè)施。
      

      第5步:不斷驗(yàn)證信任
      

      Cyber Vision不斷評(píng)估連接端點(diǎn)的安全狀況。它會(huì)自動(dòng)計(jì)算每個(gè)端點(diǎn)的風(fēng)險(xiǎn)評(píng)分,以幫助安全管理員主動(dòng)限制對(duì)工業(yè)過(guò)程的威脅。風(fēng)險(xiǎn)評(píng)分是威脅的可能性及其潛在影響的乘積,其中可能性取決于資產(chǎn)類型、漏洞和對(duì)外部 IP 地址的暴露,影響取決于資產(chǎn)類型及其對(duì)工業(yè)過(guò)程的重要性。
      

      匯總各個(gè)風(fēng)險(xiǎn)評(píng)分以評(píng)估工業(yè)區(qū)的安全狀況,并更容易確定糾正措施的優(yōu)先級(jí),例如應(yīng)用漏洞補(bǔ)丁或安裝工業(yè)防火墻,從而確保工業(yè)端點(diǎn)的安全。
      


      
圖9、Cyber Vision根據(jù)其潛在影響和發(fā)生的可能性評(píng)估風(fēng)險(xiǎn)
      

      但是,即使將風(fēng)險(xiǎn)保持在最低水平并且正確執(zhí)行了訪問(wèn)策略,后續(xù)攻擊也有可能突破區(qū)域,感染SCADA、PLC和HMI等控制系統(tǒng)。此類感染可能導(dǎo)致這些控制器對(duì)工業(yè)設(shè)備的控制行為發(fā)生改變,導(dǎo)致生產(chǎn)質(zhì)量問(wèn)題、停產(chǎn),甚至損壞機(jī)器和生產(chǎn)基礎(chǔ)設(shè)施。因此,必須持續(xù)監(jiān)控所有此類控制器,以發(fā)現(xiàn)任何可能表明它們已被入侵的異常行為的跡象。Cyber Vision 分析所有工業(yè)通信內(nèi)容,并使用先進(jìn)的基線引擎跟蹤異常行為。

      

      






      


      



      


      

      



      



      

	
      



      

      

      



      
 
      
  
  

  
 
      







  
      
   
      
    
      新聞爆料
      
   
      
   
   
      

  
      
    
      
    
      圖片精選