2023 年 4 月 5 日
.png)
作者: Karen Lambrechts
在我们之前的博客“您的端到端网络资产清单有多好”中,我们注意到负责保护它们的企业 IT 和网络安全经理通常对工业 OT/ICS 网络和工业资产知之甚少。 通常,企业的 OT 端对 IT 人员来说就像一个黑匣子,因为他们无法看到工业资产的很大一部分,而且他们常常不愿意进入 OT 网络来找出答案。 网络扫描的“传统方法”在 OT/ICS 环境中可能是灾难性的,因为某些资产可能对这些“主动”方法非常敏感。 OT 与 IT 是一个完全不同的世界。 在这篇博客中,我们将打开 OT 黑匣子并解释里面的内容。
操作或生产环境中的网络扫描有时会产生意想不到的后果,例如系统故障或设备物理损坏。 OT/ICS 系统旨在实时运行,系统的任何中断都可能导致一连串故障,从而导致生产停机甚至设备物理损坏。 此外,网络扫描会导致网络流量过大,从而扰乱系统的正常运行。 到目前为止,发现 OT 资产最安全的方法是在资产已知和预期的节奏边界内以其本机协议与它们进行通信。
一般来说,IT 网络安全观点侧重于保护公司的知识产权、信息系统、客户数据等——机密性、完整性和可用性是指导原则。 旧约的观点完全不同。 这不是对或错的问题; 相反,它是一种识别与企业风险偏好相关的固有网络风险的客观方法。
OT 系统用于控制和监视物理过程,例如工业控制系统 (ICS) 和监控和数据采集 (SCADA) 系统。 这些系统可以包括传感器、可编程逻辑控制器 (PLC) 以及与物理设备交互的其他设备。 对于工程师和 OT 网络安全从业者而言,重点是这些系统及其直接环境的可靠性、生产力和安全性。 该方法在很大程度上是一种工程方法。
OT/ICS 网络构成了一个高度专业化的环境,具有专用资产(PLC、RTU、传感器、HMI 等)和专用语言(协议),这对工业流程和生产至关重要。 必须保护这些操作技术的完整性和连续性,使其免受可能扰乱工业流程并导致停机的任何和所有威胁。
下面的“普渡模型”图显示了典型 OT 网络环境中的不同级别。 普渡模型的 0-3 级包括运营/生产环境中的“OT/ICS”技术,而 4-5 级被认为是“企业”或通用 IT。
在制造设施、风电场、输电网、水处理厂等“地面”(0 层),在整个端到端工业流程中部署了大量实物资产。 此级别是找到定义实际物理过程的物理设备的地方。
每项物理资产都有专用仪器检测其实时状态、条件和行为,并将其报告给第 1 层的实时控制器。在这一层,人们可以找到基本的控制设备,例如传感器、泵和执行器,它们可以感知 并操纵物理过程以提高效率。 典型的 OT 环境可能会部署数百甚至数千个传感器和控制器。
在第 2 级,HMI 和 SCADA 系统为操作人员提供图形用户界面和仪表板,以可视化、监视和控制 OT 资产及其执行的实时 OT 流程。
第 3 级是在制造车间管理生产工作流的地方,使用定制系统实现批次管理、数据记录以及运营和工厂绩效管理等各种功能。 这些系统还编译较低级别的数据,然后将这些数据推送到更高级别的业务系统。
仅这些元素的数量和种类就使 OT 资产库存和管理成为一项艰巨的任务。 当我们考虑 OT 资产的专有工业协议和通信敏感性时,它变得更加复杂。
在 IT 网络和系统中,连接是理所当然的。 IT 专为数字数据通信而设计,并围绕标准协议构建。 相比之下,OT 系统,尤其是较旧的系统,并不是为互连而设计的。 他们专注于专门的物理设备、过程和结果,并通过封闭协议进行通信。 事实上,较旧的 OT/ICS 控制系统甚至可能无法在串行连接之外联网,这使得它们很难共享信息或通过网络扫描被发现。
即使 OT 资产已联网并且企业正在使用集中式 OT/ICS 控制系统,您也不能仅将商用网络资产扫描仪指向 OT 环境。 这样做可能会使网络饱和,导致 PLC 等关键资产倒塌或产生其他不可预见的不利影响。 您需要在每个专有协议的边界内进行通信。 资产扫描器必须能够发现资产、逐项列出该资产、了解其使用的网络协议,然后以资产预期的格式和节奏进行通信。
当 Lansweeper 决定将其领先的资产库存和资产管理解决方案扩展到 OT 领域时,我们很快了解到,分析工业协议并进行相应通信的能力必须成为 Lansweeper OT 的关键和核心竞争力。
在 IT 领域,一家公司的网络协议和设备与其他公司几乎相同。 以太网和 IP 协议无处不在,虽然可能存在细微差异,例如 PC 与 Mac,但环境相当相似。 在 OT 世界中并非如此。 虽然工业运营都使用传感器、PLC、RTU、HMI 等,但它们监视和控制的资产和流程高度专业化且差异很大。 即使采用以 OT 为中心的资产库存和资产管理方法,也需要了解和考虑每个行业的具体情况。 例如,发电和输电部门使用的资产和协议与制造公司使用的资产和协议有很大不同。
在评估功能、OT 漏洞以及每项资产如何对整体网络风险做出贡献时,运营环境中的上下文也非常重要。
资产发现、库存和管理工具必须能够适应每个 OT 资产、协议和操作环境的细微差别。 在不影响 OT 网络中的任何协议或任何进程的情况下,能够访问设备(对其进行扫描)并将该信息带回库存数据库非常重要。 当我们考虑到复杂性、这种情况和所需的敏感性时,IT 人员回避(或保持一定距离)详细的 OT 资产发现和库存也就不足为奇了。 复杂性和上下文并不是唯一的问题。 成本也是工业企业不愿在其库存数据库中全面覆盖 OT 资产的原因之一。
虽然一些较大的 OEM 供应商可能拥有资产库存平台,但对于除了非常大的公司之外的所有公司来说,它们的成本可能过高,而且通常只涵盖特定供应商的资产。
虽然一些 OT 资产可能非常简单,但其他资产可能非常复杂。 当我们谈论在网络扫描期间发现 OT 资产时,我们经常谈论的是具有通过背板连接的多个模块的复合资产。 每个模块本身就是一项“资产”。 要管理此类资产,IT 经理需要对其硬件、背板和模块有一个全面且非常直观的视图。
此外,资产清单数据库需要将资产映射到基于 OT 空间中的硬件、软件或固件版本的 OT 漏洞。 与可以快速识别和修补漏洞的 IT 不同,许多 OT 漏洞存在于已存在多年的旧设备中,无法修补,也无法退出生产。 标记这些漏洞很重要,尤其是当资产位于关键流程路径中时。
大牌资产管理解决方案可以达到这种级别的粒度和覆盖范围,但对企业来说成本非常高——而且通常只针对一组有限的供应商资产。 只有拥有大量预算的大型组织才能为了 OT 资产管理的利益吸收这些成本。
尽管许多中小型工业企业可能与大型企业有着相同的复杂性并面临相同的网络威胁,但它们可能缺乏投资网络安全的资源。 缺乏资源对这些公司来说是一个重大问题,因为它可能难以维护有效的安全架构,从 IT/OT 资产发现和库存管理等基础开始。
当我们将 Lansweeper 平台扩展到 OT 领域时,我们致力于使 Lansweeper OT 成为小型、中型和大型企业都能负担得起的可扩展、模块化且具有成本效益的资产库存和管理解决方案。 因为从合规性或网络安全或风险管理的角度来看,没有一个框架不是从资产可见性和管理开始的。 Lansweeper 为 IT 和 OT 资产库存和资产智能提供了一种统一的方法,即使是最小的工业运营商也能轻松实现。
Lansweeper OT 是一个旨在发现 OT 环境中库存的平台,包括 ICS/OT 设备(PLC、RTU、DCS)、IT/OT(HMI、工程工作站、PC)和 IIoT(IP 摄像头、智能建筑系统等) 在生产环境中。
多年来,Lansweeper 为中小企业提供了一个非常成功的工具来进行 IT 硬件和软件资产盘点。 最近,Lansweeper 将这种专业知识扩展到了 OT 领域。
Lansweeper OT 的独特定位是帮助企业 IT 和网络安全经理搭建通往“另一端”——企业 OT 端的桥梁。 无需满足于有限的资产可见性,或因 OT 资产情报不足而损害您的网络安全计划。
Lansweeper OT 了解 OT/ICS 环境不同; 使用专有协议,并需要对 OT 敏感的方法来进行资产发现和管理。 我们利用我们的经验以 IT 专业人员易于使用和理解的方式提供统一的 IT/OT/IoT 资产可见性和管理。
最重要的是,Lansweeper OT 非常实惠。 中小型和大型工业企业在不超出预算的情况下获得 100% 的资产库存覆盖和有价值的资产情报。
.webp)
