OptoBlog

5基本工业资产必须具有安全特性

发布的 马特·牛顿2017年1月13日8:00:00

在之前的博文我写了物联网被砍。随着IIoT增加和我们继续将更多的设备连接到网络,我们增加我们的工业资产暴露在网络攻击。我们都需要开始思考网络安全第一,不是马后炮。

这是每个人的责任为网络安全计划,当你第一次开始评估工业资产购买。

这里有五个需要考虑物品清单在任何工业设备连接到网络。不,这不是一个详尽的清单,但坦白地说我不想占用你太多的时间。(欢迎你!)不过,这是很好的起点。

1。确保您的数据:加密

工业和过程控制数据进行加密在早期的互联网,通信发送在万维网往往是传播人类可读的文本。

但纯文本容易恶意黑客和恶意脚本kiddy拦截网络流量和提取敏感信息,比如奶奶的银行账号,你爸爸的高度机密密码,等等。

最终系统开发商和运营商IT(信息技术)行业转换到使用加密数据传输。在工业上,是时候我们做同样的事情。请尽快。

条款密码学加密往往交替使用,但事实上,他们是不同的。密码学是秘密的科学通信或数据传输。加密是科学的一个组成部分。就像伟大的电影模仿游戏恩尼格玛密码机。

工业资产之间安全地传输数据,数据必须使用加密传输,一个难以破解的密码。大致翻译:你的密码或密码不应该这个词密码,甚至密码拼写向后或任何其他单词在字典,你会发现你的生日,或者任何容易猜到的。

密码是一个过程或算法使得信息隐藏或秘密。再次使信息可访问需要一个代码或密钥才能解密。从本质上讲,加密密码人类可读的数据转换成错误的数据,只能转换后使用正确的键或代码。

今天的最普遍形式的加密TLS(传输层安全)和SSL(安全套接字层)。TLS本质上是一个新版本的SSL。TLS是用来封装在HTTP和SMTP流量,用于网页浏览和发送电子邮件的协议,分别。

所以当你考虑收购工业资产,将会在您的网络,确保数据安全已占和资产支持的最新形式的TLS或SSL加密数据传输和通信。

2。锁下来:端口和服务配置

互联网通信功能被添加到工业资产,资产可以做你想做的多。限制互联网通信服务是很重要的,只有那些应用程序要求。Automation.com有一个很好的文章讨论一些额外的想法在安全过程控制(请不要你的PLC或PAC直接连接到互联网,曾经)。

例如,如果工业资产的简单网络管理协议(SNMP)启用,但运营商不需要协议,禁用它,关闭TCP或UDP协议使用的端口。

关闭港口和关闭不使用的服务在你的公司或PAC

你可以安全进一步通过禁用Internet控制消息协议(ICMP)之类的协议,该协议用于ping或识别网络上的节点。

如果攻击者无法ping一个系统发现,攻击减速,这不大可能会利用一个弱点在您的网络入侵检测系统发现攻击者破坏。什么! ?你的工业网络没有一个入侵检测系统吗?上帝啊,伙计,这就像玩游戏的烫手山芋与自己点燃的炸药。看看这篇文章TechTarget.com在几个免费的入侵检测系统(我知道,自由软件,一个奇怪的和陌生的概念)。

相同的概念适用于工业上运行服务资产。如果您的应用程序不需要的服务,锁定了工业资产通过禁用不必要的网络服务。换句话说,如果您的应用程序不需要它,把它关掉。

再次,从的角度把所有电器都关上,然后只让你绝对需要的…在你安装入侵检测系统。D能使供应商评估和资格,确保所有可用的端口,可以启用或禁用服务和协议取决于您的应用程序要求。

3所示。让他们出:网络访问

不允许访问所有人,为业务流程添加例外在网络上交流,现代IT系统可以配置为只允许访问特定IP地址或范围的IP地址。

一些系统再进一步通过允许在特定端口上连接仅从特定的IP地址或者使用特定的协议。你可以得到非常细粒度的这个东西。

在评估新的工业资产,确认锁定连接的系统有一些方法基于源IP地址和/或TCP或UDP端口号。

4所示。知道谁在敲你的门:身份验证

在网络安全,我们需要达成一个小心安全性和可用性之间的平衡。我们的目标在部署网络安全实践,并使信息完全无法访问,而是为了降低风险,减少威胁,减少执行攻击者利用工业资产的机会。

两个相关的方法来降低风险的用户身份验证和记录访问资产。

工业资产必须包括某种形式的用户身份验证。不仅用户试图访问资产应提示输入密码或密码验证的工业资产本身,但这身份验证也应该与中央服务器的身份验证。

两个最常见的认证服务器可用的今天从微软活动目录,它使用一种轻量级目录访问协议(LDAP、常用在Linux / Unix环境中),半径和SecurID /服务器。

在这种情况下,一个非常高水平的用户身份验证是必需的,用户名和密码是不够的。相反,实现三因子认证机制。三因子认证是基于:

  • 一些用户,比如SecurID令牌,一个小玩意通常戴在用户的物理访问徽章。(什么! ?你没有一个物理访问控制系统! ?看到我注意以上杂耍炸药。)令牌自动生成一个访问代码验证,例如,一个半径服务器。
  • 用户知道的东西,如密码或密码。
  • 一些用户,如指纹或视网膜扫描。认为生物authenticaton这里。
在供应商评估和资格,确保工业资产你评估认证。

网络安全取证需要数据记录和信息跟踪

5。网络取证:日志记录

除了身份验证、用户活动的记录。跟踪日志可以减轻风险,因为用户知道他们的行为,这有助于确定损伤的程度,如果出现安全漏洞。

如果违反,法医信息安全专业人员将使用日志数据,以帮助确定暴露水平和风险资产或组织面临违约的结果。

当你选择工业资产,寻找某种类型的用户日志记录。如果它不是资产本身,确保您可以提供在本地日志。

总结起来

如果你在炸药,是时候采取一种新的方法。上面的信息当然不是一个详尽的清单使用工业资产安全的最佳实践,也不是一个特性包括在产品设计的完整列表。但这是一个坚实的基础来确定供应商的尽职调查相关的网络安全水平。

网络安全厂商的雷达上吗?通过询问他们了解上面的功能。如果你想要更深入学习攻击者如何违反您的网络防御,看一看渗透测试的基本知识SANS研究所。

这是一个很好的起点发展中一个评价矩阵,当你正在寻找未来的工业资产投资。想要了解更多关于密码、安全等。吗?

阅读安全博客系列

主题:物联网,物联网,安全,IIoT,工业物联网

    订阅电子邮件更新

    最近的帖子

      文章的主题

      看到所有