Martin Jenker, head of cybersecurity at MOXA, offers advice about securing converged IT/OT networks. "> 确保融合它/OT网络 - 必威betway西

确保融合它/OT网络

2021年9月20日

马丁·詹克(Martin Jenker),Moxa的网络安全负责人提供有关确保Contryed IT/OT网络的建议。

必须桥接IT和OT域之间的差距。为了增强运行弹性,OT网络必须确保其网络安全措施与IT网络中使用的措施一样成熟。

步骤1:管理您的OT网络
您无法保护自己不知道拥有的资产。因此,增强操作弹性的第一步要求OT操作员以与IT网络管理员通常具有完全可见性的方式相似的方式监视其网络上的所有内容。您的OT网络上应该存在的所有内容吗?您的网络上有什么不应该存在的吗?

例如,OT操作员可以开始确定谁可以通过利用ACL或其他身份验证机制来访问网络。此外,OT操作员可以设置一些简单的机制来定义可以通过端口访问控制或粘性MAC连接到网络的PLC。换句话说,受信任列表上的所有内容都可以通过网络进行,并且在受信任列表上未指定的任何内容都被阻止。管理您的OT网络,而不是依靠IT部门,还允许OT操作员更快地响应停机时间,并更快地解决问题。

步骤2:细分您的OT网络
与IT网络可以通过将网络分为自己的一组权限来分割的IT网络不同,OT网络本质上是一个巨大的Intranet。这使OT网络更加困难,但仍然不可能细分。分割OT网络有两种方法:

•垂直分割涉及在IT网络和OT网络之间添加工业非军事区。尽管这种分离应该是强制性的,但许多公司仍未从其IT网络中分割其OT网络。

•水平或横向分割涉及创建和分离OT网络上的单元格,区域和位点。单元基本上是一个存储所有设备的小地方,例如机柜。几个单元可以形成一个区域,多个区域可以形成位点。

使用方法或两者兼而有之对OT网络进行分割,允许操作员防止网络关键传播到网络的其他部分。

步骤3:补丁漏洞
由于无法像IT网络上的端点那样升级或更换OT网络上的设备和设备,因此OT网络仍然具有许多旧设备。其中一些甚至可能在Windows 95之类的过时操作系统上运行。许多旧的OT设备仍未拨动,并且对于黑客来说,相对容易利用。如果原始设备供应商没有可用的补丁,请考虑将紧凑型工业IPS设备插入旧设备。这会创建一个“虚拟补丁”,以保护未拨打的设备免受已知功能的影响。

步骤4:安全远程连接
保护从工厂或远程站点传输到监视和控制中心的数据至关重要。确保对与OT网络的每个远程连接进行身份验证和加密。身份验证验证用户请求访问的身份,而加密可确保牢固地编码数据,并且不能通过撬开眼睛轻松地解密。

除了管理和细分OT网络外,OT操作员还需要确保其系统正确修补并远程连接安全。这些步骤不仅有助于减少OT和IT部门之间的差距,还可以保护越来越多地连接到Internet的工业控制系统免受网络攻击。


联系方式和存档...

打印此页|通过电子邮件发送此页面