You are currently viewing 探讨IT和OT环境中网络安全的挑战

探讨IT和OT环境中网络安全的挑战

过去十年,针对关键基础设施的网络攻击呈上升趋势,近年来,新冠肺炎疫情和乌克兰战争更是加速了这一趋势。2021年,大约90%的制造企业的生产或能源供应受到某种形式的网络攻击。

 

在这种背景下,最大的谜团之一是:如何保护这些接口上的巨大技术免受无情的网络威胁?在您的服务器周围有一条护城河(众所周知的城堡方法)已经不够了。网络罪犯经常被描述为野蛮人,他们不仅仅在门口;他们已经在城堡里了,寻找分散注意力的机会来发动攻击。

 

我们在John Lynch销售总监采访了Garland Technology的首席执行官兼联合创始人Chris Bihary,Garland Technology是为全球企业、关键基础设施和政府机构提供IT和OT网络解决方案的行业领导者。

收听播客

Chris Bihary

cbiharyCHRIS BIHARY

GARLAND TECHNOLOGY首席执行官兼联合创始人

Chris Bihary是Garland Technology的首席执行官和联合创始人,他在网络表演行业已经工作了20多年。Bihary已经与技术公司建立了合作伙伴关系,通过集成网络TAP可见性来补充产品性能和安全性。

 

 

 

John K Lynch

jklJOHN LYNCH

EPS全球EMEA销售总监

JOHN LYNCH是EPS公司EMEA网络部的销售总监。自1999年公司成立以来,他一直在公司董事会任职。在过去的15年里,John管理着EMEA网络业务的发展。在加入EPS之前,John在IBM的都柏林办公室担任支持西班牙市场的技术职务。John拥有都柏林大学政治和西班牙文学士学位以及都柏林商学院财务管理文凭。

 

如果你对即将到来的项目有任何疑问或需要建议或技术支持,不要犹豫,请与我们联系。或者在这里查看我们的服务提供商解决方案。

 

播客文本

John: 我真的很期待这次谈话。如你所知,Chris,在EPS,我们经营传统的增值分销业务,在过去的五年半时间里,我们一直是Garland的合作伙伴。除了分销业务,我们还经营着最大的芯片编程、卷盘增值服务业务之一。我们在墨西哥、美国、整个欧洲、马来西亚、印度和中国等地设立了安全编程中心,为世界上大多数大型电子制造公司提供服务。因此,我们有两种不同的业务和两种不同的IT环境。随着现代网络安全的发展,这两个传统上分离的领域现在已经融合在一起。今天我想和大家谈谈Garland是如何站在这些挑战的最前沿的?我可以先问:当我们提到IT 环境和OT环境时,它意味着什么?

 

Chris: 谢谢John,很高兴今天能上你的播客。我是Chris Bihary,Garland Technology的联合创始人兼首席执行官,我们已经与EPS Global合作了五年多。

 

“IT”和“OT”是我们经常谈论的区别。我喜欢用一种简单的方式来描述这种差异,那就是它通常是非常复杂、干净的数据中心。你走进一家银行客户,看到一个原始的数据中心:电力、冷却、所有机架。一切都与数据有关,所以这显然是最重要的事情。您可能会在IT方面发生数据失窃和金钱损失,但这与OT完全不同。对于加班,我们谈论的是生死攸关的关键环境。一些例子:设施中的空调装置被关闭的漏洞;当我们在港口与起重机打交道时。毒素进入的水系统的缺口。显然,确保IT和OT的安全非常重要,但在IT领域,这是一种财务风险。你可能会失去IP,但OT是一个不同的场景,因为它可能是生与死。

 

John: 在您看来,无论网络的大小或规模如何,确保网络安全最重要的因素是什么?

 

Chris: 从我过去的经验来看,我在911中心和OT环境安全方面做过一些工作,从金融到SaaS都做过很多IT工作。我真的看基础。作为一家公司,Garland Technology在基础设施方面,我们在基础方面。网络上发生了什么,有两台设备在通信,有数据包在网络上流动。如果我们想分析我们的谈话,我们会想重复我说的每一句话和你说的每一句话,并得到一份副本。因此,不管它或OT,我总是喜欢回到最简单的东西-包,这意味着如果你可以访问你的网络上流动的流量,你可以做很多事情。如果公司有无限的预算,并且他们有能力复制曾经在他们的网络上流动的每一个单独的包,存储它并且能访问它,想想那力量。你可以看到发生的每一件事。如果有违规,您可以回头看看发生了什么。如果您有安全工具,您可以检查数据,并立即找出它发生的原因。因此,对我来说,为了能够有效地回去分析,你真的希望能够访问您的网络上的数据包和流量。我们公司的口号是“看到每个字节和数据包”我们总是说真相就在包里。

 

John: 我们与Chris相识多年,曾在多个部门工作,如托管服务提供商、金融、政府、军事和医疗保健。您认为哪个行业在这一领域的变化速度最快?

 

Chris: 在加班部门,对安全性的需求非常大。这可能是制造业,公用事业,在欧洲,在美国。许多法规正在生效,并且正在设定必须满足某些安全规范的时间框架。

 

发展非常迅速的一件事是,这些OT行业需要快速部署资产管理、安全和入侵检测系统。然而,这些环境中的许多都具有挑战性,因为在建立新的制造工厂时,IT和网络安全不一定是优先考虑的问题。重点往往是生产率、利润和安全性。网络和安全往往是事后的想法。

 

作为IT部门的网络工程师,通常会给你一份详细的网络图,并布置好机架。但在许多制造和公用事业部门,这种文档通常是不可用的。例如,我们与一家拥有数百个站点的制造公司合作,每个站点都有不同的路由器、交换机和设备。因此,当需要快速做某事时,部署就成了一个真正的挑战。

 

当前的形势耐人寻味,因为它发展迅速;然而,当个人冒险进入现场开始安装时,它提出了各种挑战。他们意识到每个站点可能需要不同的设备,这使得这个过程更加困难。虽然如果你在赚钱并且生产线在运行,使用100BASE-FX或100BASE-LX是可以接受的,但是连接到这些环境可能特别具有挑战性。我看到这些领域部署网络安全的增长非常迅速,但我也看到,一旦他们做出承诺,他们就会发现部署面临许多挑战。

 

John: 在与各行业部门打交道时,你是否注意到网络人员经常表达的一个共同挑战?有重复出现的紧急请求吗?

 

Chris: 是的。通常,紧迫性在于公司投入大量时间和精力为其安全解决方案选择供应商。购买设备后,部署成为一项重大挑战。OT这边尤其如此。

 

例如,几年前我与一家保险公司合作,购买了新的入侵防御系统。他们希望以线内方式部署它们,但没有意识到他们正在从1G迁移到10G。他们缺乏合适的分流基础设施——旁路分流。因此,他们投资的设备开始积灰,因为他们无法实际部署它。

 

这个问题在OT端越来越普遍。我们曾与一些公用事业公司合作,那里的安全工具被闲置在箱子里,积满灰尘。这通常是因为他们没有意识到一些站点有不受管理的交换机,或者没有办法将其连接到网络。在许多环境中,设备由ABB、霍尼韦尔、施耐德电气等供应商管理。安全总监的工作是确保他们所在位置的安全,但如果他们的设备由第三方管理,这可能会成为一个重大问题。

 

这就是我们引入窃听技术的地方。我们引入了一种非侵入式设备,您可以将其插在PLC(可编程逻辑控制器)和交换机之间,或者交换机和路由器之间。我们断开电缆,连接到窃听,然后采取另一条电缆。如果你有一个PLC,你把它接到水龙头上,然后水龙头接到开关上。这创建了一个被动连接,流量在其中流动,但窃听,如果通电,开始复制该段的所有数据包。这允许您访问数据包级数据并部署您的安全和监控工具。

 

急迫感往往是,“我花光了这些钱,现在出问题了。”预算问题经常出现,因为最初的预算中没有考虑网络窃听、数据二极管或聚合器。这可能会变得很混乱,尤其是如果你有很多设备不同、文档很差的站点。紧迫性是存在的,但是你必须想办法正确地装备你的网络来连接它们。

 

John: 我们讨论的是两种不同的环境,IT和OT。在您看来,哪种环境更难保护?

 

Chris: 我会说OT提供了更多的挑战,因为它是一个更干净的环境,一般来说,你是在和数据中心打交道。当你进入公用事业或制造业时,你在变电站与公用事业打交道,面临环境挑战。你也在处理许多旧技术。

 

例如,几年前,我与一家公司CyberX合作,该公司后来被微软收购。他们正在为超级碗做部署,以保护水的入口和出口。他们在几个连接上部署了传感器。当他们一周前到达时,他们意识到许多水处理设施呈环形布局。出现了两个问题。首先,他们不确定如何访问数据包来连接他们的传感器。另一个挑战是处理100BaseFX。

 

许多人可能甚至不知道那是什么。尝试为您的计算机找到一个可以接受100BaseFX流量的网络接口卡。你不会找到的。几年前,我们设计了一个无源tab,它可以接入100BaseFX LX,并且可以转换成标准的one gate铜线。我们接到了一个紧急电话,连夜监听了他们,他们把一切都联系起来了。一切都很顺利。

 

但是,所有这些独特的挑战都需要DIN导轨、DC电源来应对更高的温度范围。我们与一家生产橱柜的制造商合作,希望在一些加热机器附近进行监控。我们最近在一些核电厂做了一些工作,你必须通过的监管更具挑战性。人们不得不来到我们的制造工厂,验证生产过程,看看产品是如何制造的。只是还有更多的事情在发生。有时你不得不经历的严格性比在IT部门更具挑战性,因为在IT部门,每个人都知道标准。一般来说,它将在一个受监管的环境中进行。你的发电机、不间断电源、冷却系统等一切都将就绪。

 

有很多事情是不同的,比如布线挑战。如果你在一个石油钻塔上,仅仅是安装电线就非常昂贵。通常在IT部门,我们可以集中监控。然而,在一些作战试验环境中,可能需要在多个地点部署传感器,而在这些地方,不可能将所有东西都连接起来。这一领域不断发展,并提出了独特的挑战。

 

 

术语表

网络TAPs: 允许您通过复制数据包并将其发送到监控设备进行分析来访问和监控网络流量的硬件工具。

OT环境: 代表操作技术环境。它是指用于改变、监视或控制企业中的物理设备、过程和事件的硬件和软件。

IT环境: 指企业IT基础设施的存在、运行和管理所需的硬件、软件、网络资源和服务的组合。

网络安全: 保护系统、网络和程序免受数字攻击的实践。

数据包: 通过网络(如局域网或互联网)发送的少量数据。与现实生活中的包类似,每个包都包括源和目的地以及正在传输的内容(或数据)。

网络接口卡: 将计算机连接到网络的硬件组件。

零信任框架: 一种安全概念,其核心理念是组织不应该自动信任其边界内外的任何东西,而是必须在授权访问之前验证试图连接到其系统的任何东西。

在线闭塞设备: 直接置于网络流量中的安全设备,能够阻止、转移或改变流量。

带外设备: 独立于主网络数据路径运行的安全设备,用于网络管理和安全任务。

旁路分接头: 一种网络分路器,可在设备出现故障时重定向网络流量,确保网络可用性,即使在设备维护或停机期间也是如此。

窃听技术: 一种监控和记录网络通信的方法,通常用于安全和监控目的。

数据二极管: 一种只允许数据单向传输的网络设备或装置,用于保证信息只在一个方向上流动,从而确保网段隔离。

聚合器: 将多个网络连接组合成一个通道的设备,增加了带宽和冗余。

入侵防御系统(IPS): 网络安全设备,用于监控网络和/或系统活动中的恶意活动,并可以防止或阻止此类活动。

拒绝服务(DDoS)解决方案: 一种安全解决方案,旨在保护网络或服务器免受拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击,在这种攻击中,服务器因请求而过载,导致速度变慢或崩溃。

网络检测响应(NDR): 一种安全解决方案,使用人工智能(AI)来检测和响应网络中的威胁。

防火墙: 一种网络安全设备,根据组织先前建立的安全策略监控和过滤传入和传出的网络流量。

网络正常运行时间: 网络运行并可供用户使用的时间。

包级数据: 网络中传输的每个数据包的详细信息,包括其来源、目的地和包含的数据。

托管服务提供商(MSP): 远程管理客户IT基础架构和/或最终用户系统的公司,通常采用主动式和订阅模式。

Tags: , ,

发表回复