Martin Jenker, head of cybersecurity at MOXA, offers advice about securing converged IT/OT networks. "> 确保IT/OT融合网络安全 - 必威betway西

确保IT/OT融合网络安全

2021年9月20日

马丁JenkerMOXA的网络安全主管提供了关于保护融合IT/OT网络的建议。

IT和OT领域之间的差距必须被弥合。为了增强操作弹性,OT网络必须确保其网络安全措施与IT网络中使用的措施一样成熟。

步骤1:管理OT网络
你无法保护你不知道自己拥有的资产。因此,增强运营弹性的第一步需要OT操作员以类似IT网络管理员通常具有完全可见性的方式监控其网络上的所有内容。所有的东西都应该在你们的OT网络上吗?你的网络上是否有不应该出现的内容?

例如,OT运营商可以通过利用ACL或其他身份验证机制来确定谁可以访问网络,谁不能访问网络。此外,OT操作员可以建立简单的机制来定义哪些PLC可以通过端口访问控制或sticky MAC连接到网络。换句话说,允许可信列表上的所有东西通过网络,而阻止可信列表上没有指定的任何东西。管理OT网络,而不是依赖于IT部门,还可以让OT运营商更快地对停机时间做出反应,更快地解决问题。

步骤2:划分OT网络
IT网络可以通过将网络划分为具有各自权限的不同部门来进行分割,而OT网络本质上是一个巨大的内部网,所有东西都连接在其中。这使得OT网络更加困难,但仍然不是不可能分割。OT网络有两种划分方式:

•垂直细分包括在IT网络和OT网络之间添加一个工业非军事区。尽管这种分离应该是强制性的,但许多公司仍然没有将OT网络从IT网络中分离出来。

•水平或横向分割包括创建和分离OT网络上的单元、区域和站点。cell实际上是一个储存所有设备的小地方,如橱柜。几个单元可以形成一个区域,多个区域可以形成一个站点。

使用其中一种方法或两种方法对OT网络进行分割,可以使运营商防止网络威胁扩散到网络的其他部分。

步骤3:修补漏洞
由于OT网络中运行的设备和设备无法像IT网络中的端点那样频繁升级或更换,OT网络中仍然有许多遗留设备。其中一些甚至可能在Windows 95等过时的操作系统上运行。许多传统OT设备仍未打补丁,相对容易被黑客利用。如果原设备厂商没有提供补丁,可以考虑在旧设备前面插入紧凑的工业IPS设备。这将创建一个“虚拟补丁”,保护未打补丁的设备免受已知的攻击。

步骤4:保护远程连接
保护从工厂或远程站点传输回监视和控制中心的数据至关重要。确保每个到OT网络的远程连接都经过认证和加密。身份验证验证请求访问的用户的身份,而加密确保传输的数据是安全编码的,不容易被窥探的眼睛破译。

除了管理和分割OT网络,OT运营商还需要确保他们的系统打了正确的补丁,远程连接是安全的。这些措施不仅有助于减少OT和IT部门之间的差距,还可以保护越来越多连接到互联网的工业控制系统免受网络攻击。


联系方式和档案…

列印本页|通过电子邮件发送此页面