保護關鍵基礎設施和系統

網絡分段，可讓網絡化物理系統（Cyber Physical Systems, CPS）網絡抵御不斷演變的攻擊

制造業和其他關鍵基礎設施領域正蓬勃發展，自動化和互聯互通成為熱門話題。各企業紛紛推進數字化轉型，以提高效率，但也面臨一個嚴峻的挑戰：如何保護那些原本設計為離線運行、現已連接的系統？

負責保護 CPS 的 IT 或 OT 安全團隊成員，每天面對日益擴張、有針對性的威脅活動，他們發現：現有的 IT 解決方案在保護 CPS 方面存在不足。系統設計有其獨特性，比如特殊的架構、專有協議，以及環境和運營上的限制。這些特性導致傳統的 IT 安全工具無法很好地適配這些系統，功能受限，效果不佳。

安全分析師和工程師在日常工作中經常遇到技術不匹配的問題。他們嘗試對現有 IT 工具進行逆向工程，以使其能夠在特殊的環境中運行，比如 Air Gap 環境、或者高延遲和地理位置分散的網絡。

為什么保護 CPS 網絡需要不一樣的方法？

舊系統

工業 CPS 環境與 IT 環境不同，IT 環境的系統每隔幾年就會更新一次，而工業 CPS 環境充滿了生命周期長達數十年的舊式設備、舊系統。這些環境中的舊工業控制系統（Industrial Control Systems, ICS）大多在設計時未考慮任何安全概念。當時，尚未設想聯網問題。這些系統缺乏支持網絡分段或接受新安全控制的所需功能。

與 IT 系統集成

如今，IT 和 OT 網絡需要交換數據和信息。若要在分段的 OT 網絡與 IT 基礎設施之間進行特定通信，就需要企業內部歷來各自為政的不同部門進行協作。就像 IT 和 OT 之間的技術差距一樣，人力和流程上的差距也可能導致疏忽、增加復雜性、重復工作、運營成本上升、安全風險。

分段策略容易出錯

在工業環境中實施有效的網絡分段策略并非易事。資產可視化不足、復雜的架構、眾多專有協議，使得這一過程容易出錯且成本高昂。此外，這通常需要大量手動操作，對架構師和工程師來說成本高、耗時長，還容易因無意的人為錯誤導致疏忽、誤解和失誤。

合規性執行不一致

關鍵基礎設施企業需要遵守許多復雜的、行業或地區特定的法規和標準。要監控并確保符合這些法規，通常要制定精細的、經過適當調整的策略。而許多企業缺乏這些策略。這可能導致網絡分段不理想，雖然表面上滿足了合規的最低要求，但執行不一致，實際上并沒有改善網絡安全態勢。

不安全的遠程訪問普遍存在

所有工業環境都依賴遠程訪問，讓內部和第三方人員能夠維護資產。但常見的 IT 實踐存在風險，效率低下。遠程訪問需要嚴格的安全管理，否則會削弱網絡分段的效果，甚至讓原本就缺乏分段的網絡變得更易受攻擊。

這對安全團隊意味著什么？

雖然許多網絡安全專業人員對 IT 環境非常熟悉，制定安全策略得心應手，但在 CPS 環境中，他們的經驗和工具并不完全適用。IT 安全分析師和 OT 安全工程師利用所能獲取的、有限的信息，盡可能制定最佳的網絡分段策略，以保護關鍵基礎設施，但他們在工作中仍面臨許多困難：

缺乏深入的資產信息，無法確定哪些現有通信是正常的、必要的；

設計和實施的策略可能無法有效保護網絡，甚至可能因錯誤阻止通信，導致網絡中斷；

由于設備之間的依賴關系未知。如果設備出現故障，則需要面對復雜的恢復步驟。

專門為 CPS 設計的網絡保護，如何幫助安全團隊更有效地工作？

當 IT 和 OT 安全分析師及工程師全面了解其網絡中的資產、以及內部和外部通信方式時，他們就能更輕松地開展工作。彌補可視化差距會帶來顯著的改善，使合理的網絡分段基于準確的信息，而非直覺或經驗猜測。

除了可視化，CPS 保護平臺基于策略的方法，可提供關于允許和禁止通信的明智建議，并具備適應環境變化的能力，同時深入了解 CPS 網絡的復雜性，以提供更高效的安全防護。基于策略的方法包括：策略決策點（Policy Decision Points, PDP）、策略執行點（Policy Enforcement Points, PEP）。

如何利用 CPS 保護平臺做出明智的網絡保護決策，并降低企業風險。

1. 從可視化開始

網絡保護的第一步：獲得網絡上所有設備的完整可視化。

在 CPS 中，可視化已成為被動發現（Passive Discovery）技術的代名詞。長期以來，這是唯一的選擇。盡管它對于了解網絡流量和通信模式仍然必不可少，但這種基于硬件的數據包嗅探方法帶來了資源挑戰，需要投入時間和金錢。

盡管需要被動發現來實現網絡保護目標，但從非被動技術開始仍有其價值。部署安全查詢（Safe Query）可執行文件、或利用現有集成，獲取環境中詳細的資產信息，可以在數小時內而不是數月內提供可視化的基礎，無需硬件部署，無需停機。

Claroty 的一家食品與飲料行業客戶，在全球范圍內運營數據中心。他們的網絡分段始于結合使用多種發現方法，包括：被動發現、非被動發現。動態發現（Dynamic Discovery）為他們提供了詳細的資產信息，并確定了適合的中央交換機（Central Switches），在這些交換機上，被動監察（Passive Monitoring）可以豐富數據，從而最大限度地降低風險。

為了實現網絡保護，這種快速的可視化，可幫助企業確定在哪個物理位置部署被動深度包檢測（Deep Packet Inspection, DPI）技術。根據特定需求和架構定制可視化，加快價值實現速度，即使在部署被動發現硬件的情況下也是如此。

DPI 與 Claroty 支持最全面的 CPS 協議相結合，提供分析設備通信所需的詳細信息，并為用戶提供網絡通信模式的可視化視圖。

DPI 和主動查詢（ACTIVE QUERIES）可以提供設備位置、關系和通信的上下文，用于創建網絡圖（NETWORK GRAPH）

2. 建立安全區域

為系統內需要隔離的資產定義安全區域。

了解系統中存在的所有資產及其物理位置后，下一步就是建立安全區域。通過劃分或隔離網絡，限制橫向移動，減少攻擊面，為關鍵資產提供多層保護。

Claroty 的客戶常用以下幾種方法，對資產進行分類以定義分割區域：

按網絡架構

按地理位置

按安全敏感度或風險容忍度

按訪問敏感度

Claroty 還會根據您的網絡拓撲結構，提供推薦的安全區域。您還可以利用現有基礎設施內的技術來實現分段，包括：

防火墻：適用于精確控制網段之間、以及與外部通信之間的網絡流量。它們專注于流量管理，旨在防止橫向移動。

VLAN（虛擬局域網）：根據角色、功能或安全級別進行邏輯分段。當環境中某些部分物理分離時，通常更容易部署。

NAC（網絡訪問控制）：提供對連接到網絡的設備的動態和自動化控制。它們適用于持續的設備合規性檢查，專為具有多種設備類型的環境設計。

在獲得設備及其網絡通信的可視化后，Claroty 的食品與飲料行業客戶發現：基于資產類型的區域劃分是最適合的分段方式。他們使用了 Claroty 推薦的區域來建立最能定義每個資產組的設備條件。

Claroty 的推薦區域（CLAROTY'S RECOMMENDED ZONES）為資產分組提供了明智的選項，并在團隊推動 CPS 安全進程時，提供更多洞察

3. 模擬通信以監察行為

創建區域之間的通信策略，并監察設備行為。

建立安全區域后，安全團隊可以觀察區域之間的正常通信行為。隨后創建一個基準，以此為基礎制定相關策略。

為每臺設備單獨創建策略，是不切實際的。但針對設備類型或設備組創建策略，可以使分段既有效又可擴展。

有助于理解設備之間交互的通信映射類型，包括：

圖形設備通信（Graph Device Communications）：可視化展示網絡中的所有站點、設備類型、區域和設備之間的連接和通信方式。

可視化設備通信（Visualize Device Communications）：以列表或矩陣的形式查看設備如何通信，包括協議和通信類型。

這種細粒度的映射，讓管理員能夠清晰地識別通信流、評估風險，并設計適合其網絡拓撲結構的有效分段策略。您可能會發現某個設備允許了不應有的外部通信，或者發現某個工程工作站（Engineering Workstation, EWS）與樓宇管理系統（Building Management System, BMS）頻繁通信，又或者發現某個 PLC 正在與 SCADA 服務器進行不正常的通信。

創建安全區域后，Claroty 的食品與飲料行業客戶就開始監察區域之間的通信，以制定策略。對于客戶的團隊來說，這是一個激動人心的時刻，因為他們獲得的所有情報和分析得到了應用。使用 Claroty 推薦的策略，大大減少了手動工作和多余的猜測，例如，設置機械臂如何與 PLC 通信、任何 EWS 是否可以與互聯網通信、以及控制器可以通過哪些端口接收輸入。

網絡圖中的詳細通信信息，可幫助安全團隊識別異常，并了解 CPS 環境中的正常情況

通信策略的技巧

您不僅要防止惡意活動破壞關鍵系統，還必須確保安全策略不會破壞這些系統。

網絡策略的設計必須避免對系統功能產生負面影響。在實施策略之前，務必在非生產環境中測試策略，以確定任何未預見的后果。

Claroty 根據每個資產組的通信基準，自動推薦專家定義的策略，最大限度地減少這種不確定性。您可以隨后測試、監察并進一步完善這些策略，然后再實施。那么，您可以確保您的 OT 網絡策略充分考慮了環境的獨特要求和潛在限制，能夠自信地實施網絡分段，而不會帶來額外的風險。

區域矩陣（ZONE MATRIX）支持團隊評估已應用策略的有效性，可直接修改應用于區域對（ZONE PAIRS）的策略

4. 偏差警報

針對偏離預期行為的異常情況，發出警報，并隨時間調整策略。

策略實施后，必須對其進行監察，以確保行為持續符合預期。也許每個月都會發生一次網絡流量事件，在測試期間并未發生。雖然是細微偏差，但也需要調整策略，以確保系統性能持續符合預期。

在觀察和調查偏離正常通信行為的報警時，您可能會遇到需要復雜策略的情況。這些網絡策略會使用通信條件（例如，協議或端口）來制定“if，then”類型的決策。例如，如果通信設備通過端口 37020 使用 OPAD，則允許 IoT 服務器和 BMS 之間的通信。

自定義策略有助于滿足每個企業和環境的獨特需求，適當降低風險，不影響生產

接收實時警報，讓安全團隊能夠在實施的早期階段測試策略的執行情況。同時，也便于調查和修復任何入侵或攻擊的跡象。

這些警報是網絡中心風險降低計劃中 PDP 重要的一部分。當某事或某人改變了預期的設備通信行為時，會發出警告信號。許多威脅向量，包括：橫向移動、惡意軟件、中間人（man-in-the-middle, MitM）攻擊、漏洞利用鏈，都可能導致設備通信發生變化。

警報（ALERTS）使團隊能夠在策略執行之前進行測試，并進行微調，以實現限制與生產持續運行之間的最佳平衡

在測試其既定策略時，Claroty 的食品與飲料行業客戶發現了兩個重要問題。首先，他們有一類交換機暴露在互聯網上，這顯著增加了攻擊面和影響整體風險評分。其次，他們最重要的生產線上的一臺 Rockwell HMI在端口 3389 上接收流量。根據他們最初的策略，拒絕與該端口進行通信，但該 HMI需要從特定服務器接收數據，因此他們對策略進行了定制，以更好地適應其環境。

5. 執行策略

與 NAC 或防火墻集成，以執行網絡通信策略。

正如上述，基于策略的網絡保護方法需要 PDP 和 PEP。我們已經通過警報測試，初步完善了策略，終于到了執行策略的階段。

PEP 接受 PDP 的決策，并嚴格執行。PEP 包括 NAC、防火墻和 VLAN，它們會根據您創建的策略，允許或阻止設備通信。

集成 PDP 和 PEP，有助于簡化這一流程，使策略能夠應用于 NAC 或防火墻。這種集成還使策略能夠根據執行點的反饋進行動態優化。

Gartner 認為：“PDP 和 PEP 都是構建基本零信任架構的基礎。”PDP 會根據已定義的策略，評估訪問請求；并根據上下文信息做出授權決策。PDP 相當于整個操作的“大腦”，指導 PEP 行動。

Claroty 的食品與飲料行業客戶，其團隊已準備好將經過測試的策略添加到其 Palo Alto 防火墻中，以開始控制其分段網絡中的流量。執行策略后，他們繼續在 xDome中監察偏差警報（Deviation Alerts），將其作為威脅的早期預警系統，并識別設備變更帶來的意外后果。此后，他們成功阻止了一次針對性勒索軟件攻擊的早期跡象，通過識別橫向移動企圖，避免了企業遭受重大財務和聲譽損失。

Gartner于2023年12月15日發布的《預測2024年：零信任走向成熟（PREDICTS 2024: ZERO TRUST JOURNEY TO MATURITY）》

Claroty 深知 PDP 的重要性，提供根據您的 NAC 或防火墻預先編寫的策略，同時提供可以直接推送到防火墻的區域，以進一步簡化此工作流程。

總結

網絡分段可消除各類風險。

然而，這并非易事。需要投入時間和精力才能做好，而且風險影響巨大。Claroty 發現：在所有修復措施中，網絡分段最能降低風險，比修復數百臺設備上的 CVE 的效果高出 12 倍。

網絡保護控制措施，可顯著降低擁有 CPS 的企業所面臨的風險

與提供 CPS 保護平臺的供應商合作，為您提供網絡和設備通信的可視化、上下文信息、分析，能夠實施有效的、以網絡為中心的風險降低策略。Claroty 獲評 2025 年 Gartner? CPS 保護平臺魔力象限? 領導者，可保障 CPS 安全。

關于 Claroty

Claroty 憑借無與倫比的、以工業為主的平臺，重新定義了網絡化物理系統（Cyber Physical Systems, CPS）防護。Claroty 平臺旨在保護關鍵任務型基礎設施，提供市場上最深入的資產可視化、最廣泛的 CPS 安全解決方案，涵蓋了風險管理、網絡保護、安全訪問、威脅檢測，可以在云端使用 Claroty xDome，也可以在本地部署 Claroty CTD。Claroty 平臺以屢獲殊榮的威脅研究和技術聯盟為后盾，讓企業有效地降低 CPS 風險，以最快的時間實現價值并降低總擁有成本。在全球范圍內，已有數百家企業在數千個站點部署了 Claroty。

本文來源：Claroty 白皮書 《 5 Steps for Network Segmentation in Cyber-Physical Systems 》

審核編輯 黃宇