工业网络安全风险可视化探讨
•0 recomendaciones•81 vistas
Descargar para leer sin conexión
Denunciar
工业网络安全风险可视化探讨
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente(19)
Similar a 工业网络安全风险可视化探讨
Similar a 工业网络安全风险可视化探讨(20)
工业网络安全风险可视化探讨
- 2. OT安全建设路线图 IT与OT边界隔离 资产发现与风险 管理 终端安全 限制非法接入 安全运维 • 使用单向网关,避免外部访问OT网络 • 设置DMZ区 • 仅允许特定协议和服务的流量通过 • 发现OT网络内的所有类型资产 • 发现异常工控指令及配置修改 • 识别恶意威胁传播 • 评估资产风险 • 监控网络异常(流量/会话情况) • 尽可能的修复安全补丁 • 实施应用程序白名单 • 卸载与工控无关的软件 • 禁用不安全的端口 • 实施系统备份和恢复计划 • 实施网络准入 • 限制USB设备的使用 • 使用堡垒机 • 监控OT网络中的边界/网络/终端发生 的安全事件 • 与SIEM系统对接 • 设置安全应急响应机制
- 4. Level 0 Level 1 Level 2 Level 3 排班 资产 IT 服务 Level 4 SIEM Web和App服务器 Level 5 云 容器 员工PC 应用程序 互联网服务 机器人 马达 水泵 Historian DNS PLC Program Repo Server 传感器 SCADA、HMI以及工程师站 PLC 、RTU、 DCS 企业网络 IT网络 应用监控层 控制层 控制器层 现场设备层 U盘杀毒系统 工厂入口 主动询问 被动侦听 补丁管理 OT信息传输 SOC 工业防火墙 网络访问控制 终端防病毒软件 应用白名单系统 OT安全最佳实践
- 6. OT安全保护从哪里开始? 1 2 3 4 清楚需要保护的对象 持续监控对其的访问和改动 评估风险 获取实时告警 识别 在网络中通讯 的资产 发现 不活跃的设备 分类 HMI, Historian, Router, PLC, Server, Switch... 收集 补丁, Hotfix 等级, 固件, 用户 , PLC 背板 追踪 资产状态 配置变化
- 7. • 自动发现OT网络中的非控制器 • 包括PC/服务器/工作站/网络设备/HMI/打印机等等 • 支持SNMP/WMI/DNS/NetBIOS等多种问询模式 • 可读取Windows主机上的软件列表/安装补丁/磁盘容量 • 可读取交换机的接口信息及连接状态 明确需要保护的对象 • 自动发现OT网络中的控制器 • 包括PLC/RTU/DCS及连接在其上的I/O设备、通讯板卡 • 不论处于静默状态还是通讯状态 • 识别厂家/型号/Model/固件版本/运行状态/背板信息 • 读取控制器内存中正在运行的逻辑控制代码快照 • 发现控制器的开放端口 • 发现控制器上存在的漏洞
- 8. 工控OT资产发现 • 自动发现PLC/RTU/DCS/HMI等一系列工控资产 • 综合与资产相关的高危事件、开放端口、CVE 漏洞等信息给出资产风险评分 • 自动显示工控设备上插入的板卡信息 • 获取工控设备上的更多深层次信息(型号/固 件版本/运行状态等等)
- 9. 资产安全风险评估分析 评估因素 • 与资产相关联事件的严重程度及发生时间 • 资产上发现的漏洞等级 • 开放端口、通讯协议等暴露的攻击面 • 资产重要程度(None/Low/Medium/High) • 控制器背板上插入的模块 None <40分 40-80分 >80分
- 10. 网络威胁检测 为什么需要网络威胁检测? 上位机或工作站上脆弱的安全防护以及未及时更新的补丁使其很 容易感染恶意软件,检测并告警OT网络中传输的恶意软件/木马/ 攻击流量可以帮助安全分析人员更快的发现正在发生的网络威胁, 及时做出响应,找出问题源头 使用场景 • 对告警事件的源目地址进行核查,确认受影响资产 • 对受影响的资产及时进行网络隔离,防止横向扩散 • 升级终端防护或网络防护产品的病毒库,在资产上安 装相应补丁
- 11. 资产地图 • 根据资产之间的通讯关系自动生成 • 每条连线都会自动标示出资产类型、IP地址、 流量大小、通讯协议以及源目资产信息 • 可以根据过滤条件筛选特定资产之间的通讯
- 12. USB使用告警 为什么需要USB检测? 在工作站上插入/移除USB设备可能会将风险带入OT 网络,因为USB设备绕过了网络层面的安全措施。因 此,应监测这种潜在违反安全策略的行为 使用场景 • 核实对某个资产的USB使用行为是否被管理员允许 • 检查在USB插入/移除前后该资产是否发生其他安全事件 • 确保资产上安装了终端防护产品,避免恶意软件在网络内肆意传播
- 13. 攻击事件自动关联分析 为什么需要自动关联? 安全分析师很难从某个独立的事件中掌握足够的信息 来判断攻击的深度和范围,进而难以实施有效的响应 手段 使用场景 • 将发生的事件按照资产和时间维度自动关联起来 • 呈现攻击的路径和上下文 • 更加快速的溯源和事件响应
- 14. 大型汽车制造商案例 客户背景 • 总部在欧洲的大型汽车制造商,有超过100个工厂 遍布30多个国家,包括美洲、亚洲和非洲 挑战 • 产线宕机:由于第三方外包商的操作失误,导致数 次生产事故 • 恢复时间长:定位问题慢,部分产线在受影响后甚 至数天后才恢复 • 没有审计记录:无法对事件责任人追责 解决方案 • 提供了详细的审计记录,使他们看得到工控网络中的所有活动 • 快速定位问题,快速找到责任人 • 获得实时告警,及时将问题解决在萌芽阶段 • 部署Tenable.ot后显著减少了产线的宕机次数以及宕机时间