万物联网时代来临 打破封闭内网提升网络安全
|
概念是把每一个运作的单元用防火墙区隔,要进出本区之外的网络都需要进行身分识别及留下存取纪录,并利用 VPN 的加密技术,把原本在网络上明码传递的信息加密。然后整体的 IT 网络跟 OT 网络也是用防火墙做切割,只有被允许的人才能存取另一边的网络。在这个架构下,OT 层的网络防护的机制说明如下: 网关安全防护 具备防火墙的防护机制(图 5),能够阻挡黑客的恶意扫描及碎片攻击等,能够阻挡的项目包含封锁 IP、封锁 Land 攻击、封锁Smurf、封锁 Trace Route、封锁 Fraggle、封锁 Tear Drop 攻击、封锁 ICMP / SYN / PIN of Death 等攻击。 保护后端的服务器或是 PLC 等工业连网设备,避免 ICMP / SYN(TCP) / UDP 等通讯协议的洪水攻击(DOS)跟分布式洪水攻击(DDOS),导致服务被中断或式瘫痪,针对每一个通讯协议可以设定保护的力道。
图 5:检视网络流量,降低内网恶意攻击行为 提高网络威胁能见度(图 6) 主要有三点: (1) 揭露隐藏的风险 加强对高风险活动、可疑流量和进阶型威胁的可见度。 (2) 阻止未知威胁 透过大数据分析、学习和系统漏洞补防,保护企业组织网络安全。 (3) 隔离受感染的系统 自动隔离网络中已经遭骇的系统,并阻止威胁扩散。
图 6:检测加密、非加密网络联机是否有恶意行为 管制 port 的建立联机机制 开越多的对外服务 Port,代表把自己暴露在外的风险因素增加,所以对于已知的联机对象,不管对方是使用动态或是固定 IP 地址,都可以利用防火墙普遍有的 IPSec VPN,建立安全的 VPN 信道传递信息(图 7),而不需要开 Port 的方式达成联机的需求。
图 7:透由 VPN 强化安全联机 建立白名单管理机制 由于恶意软件的变种速度太快,如果靠黑名单来做把关可能没那么可靠,所以对 IOT 设备的软件管理权限,应该都用白名单机制来进行控管。在 IOT 场域里具有极少变动的特性,通常系统在安装后,应用程序即维持不变。管理者可以决定哪些程序是允许被执行,其余的程序将被阻挡。当所有程序被允许执行时,应用程序白名单可以过滤内容或限定其带宽使用量。
图 8:ShareTech OTS 提供白名单防护机制 只允许特定的协议通过,避免非必要的数据泄出 在工控环境系统,有些单位为了远程管理的便利性,使用 SSH、Telnet、网页登入联机模式,如果没有采取任何安全管理措施,例如:只限定某些特定 IP 才能存取,或者必须经过身分认证后才能使用服务(图 9),否则让黑客轻易入侵系统管控设备,容易引起大灾难。SharTech OTS 防护设备可以与 AD/POP3/Radius 做认证授权机制,可协助管理人员与监控企业内部所有使用者账号,在确认使用者的 ID 的有效授权之后,才能允许其使用网络,让企业可以有效管理网络使用资源。
图 9 ShareTech OTS 防护设备提供身分识别机制 支持工业网络协议 ShareTech OTS 防护的设备要能支持常用的工业控制协议(图 10),例如,EtherCAT 使用 TCP/UDP 34980、EtherNet /IP 使用 TCP 44818 UDP 2222,管理者只要选取这一些协议名称,会自动对应出应该开放的 Port 号,至于其他的通讯 PORT 全部被关闭。 以计算机组装线为例,若封包夹带可疑的参数,要求机械手臂执行标准以外动作,ShareTech OT 防护设备在接获数据封包后,将进行封包分析、阻挡,降低计算机厂商蒙受巨额财物损失。
图 10:ShareTech OTS 支持工业协议埠 专属OPC入侵防御机制 导入OPC入侵防御机制(图 11),收集所有 IT、IOT 网络的封包与讯号,并且采用深度封包检测(DPI)的方式进行比对,分析通讯协议当中的每个层级,掌握出现异常数据的行为。让管理者可以在与关键工控设备连接的网络路径上,及时侦测到攻击事件的发生、并依照管理员的设定,中止或阻绝入侵行为,包括自动拦截弃置攻击封包,并依据设定,留下攻击的记录即通知管理者等连续的应变措施。
图 11:首创OPC入侵防御机制 日志 对于进出防火墙的事件有一个独立的地方可以查询,例如,何时、从哪里来的管理者,执行了哪一个动作,把这一些数据记录下来,方便管理者日后追踪。 统整成威胁情报 - 战情室 (编辑:新余站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
