中文字幕在线视频第一页,黄色毛片在线看,日本爱爱网站,亚洲系列中文字幕一区二区

您當前的位置是：首頁 > 資訊 > 國內 >

首頁|資訊|文章精選|商城|黃頁|會展|訪談|人才|資源|專家團隊|周刊|呼叫中心|企業(yè)通信|通信業(yè)務

首頁 > 資訊 > 國內 >

思科探究工業(yè)物聯網安全防御之道

2020-09-22 09:37:56 作者：來源：CTI論壇評論：0 　點擊：

　　物聯網（ IoT ）無處不在－這已然成為我們無法忽視的一大事實。即使您堅決抵制像智能揚聲器、聯網型溫控器或智能手表等消費型物聯網設備，依然無法阻止工業(yè)物聯網（ IIoT ）設備的發(fā)展－物聯網領域的一個子集－因為它們已經構成我們日常生活不可或缺的一部分。從水電供應到生產制造，再到休閑娛樂（比如游樂設施），工業(yè)物聯網設備已成為更多行業(yè)的一部分，而且這種情況已經存在了一段時間。根據 Gartner 近期所作的估計，到 2019 年底，全球工業(yè)物聯網資產總量已達到 48 億臺，并預計這一數字在 2020 年將增長 21 個百分點。

　　許多負責托管工業(yè)物聯網資產的運營技術（ OT ）環(huán)境都面臨一個最大的問題：不僅要應對工業(yè)物聯網設備數量的不斷增長，還要支撐一些比較陳舊的工業(yè)控制系統（ ICS ），其中有些系統的運行歷史已長達 30 年之久。多年來，這其中的許多資產均已實現聯網，并很容易成為網絡惡意攻擊者的潛在目標。這些老舊的設備通常部署在只強調高可用性和性能的平面網絡上，而安全方面卻考慮的很少。

　　在這些系統中發(fā)現漏洞并不總是意味著我們可通過推出補丁予以修復。對大批工業(yè)物聯網資產進行修復，就意味著大批設備需要下線－而這對于嚴重依賴設備高可用性的關鍵基礎設施或生產線來說，絕對是不可取的。所以最終的結果就是，補丁程序往往被扔在一邊，而且隨著設備的老化，漏洞日積月累，由此給惡意攻擊者留下了可借以破壞工業(yè)物聯網資產的大量漏洞。

　　此外，思科 Talos 安全研究團隊（這個團隊的任務即在惡意攻擊者之前發(fā)現漏洞）的研究結果也表明，在工業(yè)物聯網設備中發(fā)現的漏洞數量正呈增長趨勢。回顧整個 2019 年，Talos 指出，他們全年一共發(fā)布了 87 篇有關 IoT 和 ICS 設備漏洞的報告－這也是 2019 年迄今為止報告發(fā)布數最多的類別。事實上，Talos 針對該領域發(fā)布的報告數量比排在第二位、同時也一直被惡意攻擊者視為主要目標之一的桌面操作系統的報告數量高出了 23 個百分點。

　　在一個極速發(fā)展的領域中，出現這種情況并不值得驚訝。但是有一點很值得我們去思考：在 OT 網絡中如何新增設備時，也同時考慮如何保護好 OT 網絡，以免這些設備帶來了新的挑戰(zhàn)導致攻擊面的擴大。

　　所以，如果您所在的企業(yè)正在使用工業(yè)物聯網資產，那么有哪些威脅值得您加倍留意？您又該如何對設備進行有效保護呢？

　　惡意攻擊者如何開始發(fā)起攻擊

　　好的方面是大多數工業(yè)物聯網資產并非直接暴露在互聯網空間，這意味著惡意攻擊者必須依靠其他方法才能訪問它們。事實上，在其他攻擊上使用的技術同樣也可被用于攻擊工業(yè)物聯網資產。

　　最常見的攻擊載體－電子郵件－在發(fā)動此類攻擊時自然也適用。惡意攻擊者會試著收集有工業(yè)物聯網資產系統訪問權限的工程師、工廠負責人以及開發(fā)人員的相關信息，并將他們設定為網絡釣魚郵件的攻擊目標。對這部分用戶中任何一位的電腦進行攻擊，就算是找到了攻擊工業(yè)物聯網資產的最直接途徑。

　　未打過補丁的系統、設置過于簡單或默認的設備密碼、以及網絡維護承包商過于寬松的遠程訪問策略，都為惡意攻擊者提供了入侵途徑。透過其中任意一個薄弱環(huán)節(jié)，惡意攻擊者都能找到若干種進行橫向移動以及獲取訪問權限的方法。

　　然而專門針對 IoT 設備發(fā)起的威脅在現實中并不常見。有些威脅已經對普通的物聯網設備發(fā)起了大規(guī)模攻擊，例如 Mirai 和 VPNFilter 。還有一些威脅，比如 Stuxnet ，專門以 PLC 為攻擊目標。這類針對性較高的威脅當然值得關注。但是，工業(yè)物聯網設備被攻擊者入侵并修改配置的可能性，遠比被木馬或蠕蟲病毒感染的可能性要大得多。

　　如何讓企業(yè)運營陷入癱瘓？

　　假設惡意攻擊者的目標是使某個特定企業(yè)陷入癱瘓，他或她首先會制作一封包含惡意 PDF 文件且具有迷惑性的釣魚郵件，然后將其偽裝成求職申請發(fā)送給公司的人力資源部門。當負責求職申請的員工打開這個 PDF 文件時，這臺電腦就可能遭到入侵。

　　惡意攻擊者在被入侵的網絡中橫向移動，持續(xù)監(jiān)控網絡流量并掃描易受攻擊的系統，抓取用戶的登錄和認證信息。如果沒有啟用 MFA 多因素認證，攻擊者就會有機可乘。最后，攻擊者會想辦法控制域控服務器，并使用組策略對象（ GPO ）的方式向所有終端下發(fā)惡意軟件，從而在整個 IT 網絡中進行實施入侵。

　　由于在網絡分段上不夠完善，惡意攻擊者最終摸爬滾打地進入了目標企業(yè)的 OT 網絡。攻擊者進入 OT 網絡后會立即執(zhí)行偵察，以便對網絡中的工業(yè)物聯網資產進行標記。這樣一來，它們就有機會發(fā)現這些資產中存在漏洞的服務，然后對其進行攻擊，將其下線。

　　正常生產陷入停頓，企業(yè)經營被迫中斷。

　　我們如何防御？

　　那么，如何從整體上保護您的物聯網資產和整個 OT 網絡免受惡意攻擊，尤其是那些無法快速修復的高可用性資產？

　　網絡監(jiān)控通常是您可采取的最有效措施。但是一旦涉及工業(yè)物聯網資產，對網絡流量進行被動監(jiān)控就顯得尤為重要。主動式監(jiān)控的方法由于會產生流量，還要通過網絡專門發(fā)送這些流量才能對其進行觀察，因此會增大網絡負載，從而使設備性能受到影響，甚至發(fā)生故障。相比之下，被動式掃描則是通過流量監(jiān)聽并記錄流量的特征，而不會將新的流量引入 OT 環(huán)境。

　　及時盤點網絡上的資產對于保障 IT 和 OT 網絡的安全也非常重要。被動式監(jiān)控可幫助企業(yè)了解網絡上的資產，包括存在漏洞的設備以及非法設備。在對網絡設備進行綜合全面地清點之后，您就能針對不同的資產組創(chuàng)建相應的策略。

　　此外，對網絡進行合理的分段也很重要。如果您還不清楚該如何對工業(yè)物聯網資產和 OT 網絡進行合理的分段，那么全面的資產盤點以及相應的策略會為您提供很大的幫助。但是對于攻擊意圖明確的攻擊者來說，那么這項措施對于阻止它們突破不同網區(qū)間的邊界可能起不到什么作用，但是起碼可以減緩它們的進攻速度，從而為企業(yè)爭取更多的時間以采取應對策略。

　　根據 ISA 99 和 IEC 62443 的相關內容，尋求您所在企業(yè)的可實施區(qū)域和渠道。

　　然而值得一提的是，許多工業(yè)物聯網資產都采用廣播和組播的網絡通信方式，參與此類通信的一臺或多臺設備會向網絡上的其他所有設備發(fā)送流量。如果采用過于激進的網絡分段策略，則可能會帶來麻煩。要解決這個問題，就必須對網絡上的資產進行全面的清點。此外，采用數據流鏡像的方法，能為我們了解哪些資產正在彼此通信，以及這些資產在整體上如何交互提供很大幫助。

　　為此我們強烈建議在發(fā)現漏洞后盡快對工業(yè)物聯網資產進行修復。但是，如果無法在脫機狀態(tài)下修復設備，就務必強化對設備的洞察。所以要明確哪些設備絕對需要修復，您必須搞清楚您的網絡資產狀況以及具體的網絡布局。此外，分析工業(yè)物聯網的冗余度也是有意義的，因為在維護過程中，您可參考這個數據關閉某臺設備，與此同時安排其他設備接管這臺設備的負載。

　　工業(yè)物聯網流量異常檢測也是一種非常有用的方法。這種方法能幫您找到不應該發(fā)生的網絡異常行為，比如兩臺本不應相互通信的工業(yè)物聯網設備、計劃外的固件更新、意外的配置更改等一系列異常情況。

　　最后介紹一種在 OT 環(huán)境中搜索和清除威脅的好方法－威脅追蹤。您首先主動出擊尋找網絡中的惡意行為者，然后制定相應的策略，并自動執(zhí)行策略，經過這一系列過程，您的網絡安全狀況將得到大幅改善。

　　思科安全防御之道

　　保護工業(yè)物聯網資產無疑是網絡安全領域比較棘手的任務之一。它不但涉及類型繁多的設備，且其中很多設備的運行方式極具個性化，因此無法有效應對因多個安全流程和程序引起的中斷。

　　但幸運的是，思科推出的網絡安全系列產品，能夠為您有效解除這方面的憂患。

思科 Cyber Vision 方案旨在幫助 OT 團隊和網絡管理員全面洞察其網絡中的工業(yè)資產和應用流程。這套方案內嵌在思科工業(yè)網絡設備中，通過解碼各種工業(yè)協議對您的 OT 網絡進行映射，并檢測異常流程或不應該發(fā)生的資產修改行為。
思科身份服務引擎（ ISE ）借助基于思科 Cyber Vision 構建起的資產清單來創(chuàng)建動態(tài)安全組，并通過 TrustSec 自動執(zhí)行分段策略。
ISA 3000 是一款適用于惡劣環(huán)境的加固耐用型工業(yè)防火墻設備，可幫您執(zhí)行區(qū)域網路分段、檢測入侵行為并有效阻斷網絡威脅。
思科安全分析解決方案 Stealthwatch 通過整合行為建模、機器學習和全網威脅情報來檢測各種高級威脅。與思科 Cyber Vision 集成后，原本通過 Stealthwatch 獲得的全網可視性得以在工業(yè)物聯網基礎設施中廣泛延伸。
思科終端安全方案（ AMP for Endpoints ）專門用于保障 OT 環(huán)境中每個工程設計工作站的安全。
思科 Duo 多因素身份驗證功能可防止惡意攻擊者通過橫向移動獲取網絡上的系統訪問權限。
思科電子郵件安全解決方案可檢測專門針對工業(yè)物聯網設備操作者等角色發(fā)起的定向網絡釣魚電子郵件，從而防止惡意有效載荷訪問預期目標。

　　最后，思科通過一套分層防護方案為您提供最出色的安全體驗。例如，通過思科 Cyber Vision 自動洞察所有工業(yè)設備，確保操作流程安全可靠。在與思科網絡安全系列產品集成后，它就能為 Stealthwatch 系統提供用于深入分析工業(yè)設備的上下文信息，同時梳理網絡流量的通信模式，以便借助基于 ISE 的細粒度的分段功能來實現策略的定義和執(zhí)行。

　　掃描二維碼免費測試網絡可視性，幫助您了解企業(yè)網絡中存在哪些風險。