About Me

I am public blog

Hello word I am Public Blog

Menu
Categories
Dernières Nouvelles

Dans l’environnement OT, introduire la détection de programmes malveillants et la surveillance du comportement de la série QGD Sécurité Commutateur , créant une protection Sécurité plus complète.

15 mins read

Avec la vague d’automatisation industrielle et de fabrication intelligente, les besoins en Sécurité de l’environnement OT (Technologie Opérationnelle) augmentent de jour en jour. Dans le passé, le domaine OT était relativement isolé du domaine IT Réseau , ce qui faisait que les systèmes OT se concentraient principalement sur la disponibilité et la stabilité des fonctionnalités lors des étapes de déploiement, d’adoption et de conception, avec moins de considération pour les menaces Sécurité . Dans de nombreux environnements, les menaces Sécurité étaient même inquantifiables. Cependant, à mesure que les échanges Réseau données deviennent plus complexes et fréquents, diverses unités OT dans l’environnement OT commencent également à se connecter à un Réseau plus large, couplé à l’introduction de dispositifs IoT, de surveillance de fabrication intelligente et d’unités d’analyse, une fois dépourvues de mécanismes de protection appropriés dans l’environnement OT, les anciennes unités OT, les serveurs de ligne de production, les ordinateurs industriels et les machines peuvent devenir des cibles d’attaques malveillantes ou devenir des brèches Sécurité , infectant d’autres machines dans l’environnement OT, causant des interruptions d’activité et des pertes.

Cet article utilise le QNAP QGD-1602P Sécurité Réseau Commutateur comme exemple, Aide comment établir un environnement de protection Sécurité fondamental indépendant et sécurisé dans le domaine OT, facile à maintenir pour le personnel IT et Sécurité , dans les environnements d’ordinateurs industriels, les environnements de ligne de production et d’autres Réseau pour atteindre l’isolation physique.

Au niveau Sécurité , le domaine OT présente les caractéristiques et défis suivants :

  • Exigences de haute disponibilité :les unités et les systèmes doivent fonctionner en continu pendant 24 heures, nécessitant d’éviter les pertes majeures causées par les interruptions d’attaques.
  • Protocoles et systèmes propriétaires :De nombreux protocoles de communication industrielle (comme Modbus, PROFINET, etc.) et systèmes de contrôle manquent de mesures de protection Sécurité matures.
  • Manque de mécanismes de surveillance et d’alerte en temps réel :De nombreuses gestions de Réseau d’usine restent encore dans des cadres traditionnels, manquant de mécanismes de surveillance et d’alerte en temps réel pour les comportements anormaux ou les programmes malveillants.

Par conséquent, si un Commutateur avec des capacités de détection de programmes malveillants et de surveillance du comportement d’installation peut être introduit dans le domaine OT au niveau Réseau , cela renforcera les capacités de protection du domaine OT, capable d’intercepter les comportements malveillants en temps réel, permettant aux menaces d’être automatiquement isolées dans des points de connexion Réseau spécifiques ou des zones désignées, VLAN, assurant la stabilité et la Sécurité de divers systèmes dans l’environnement OT.

Nous avons effectivement installé ce QNAP QGD-1602P Sécurité Réseau Commutateur dans l’environnement OT, et l’avons connecté à d’autres Réseau Commutateur 2.5G, 1G, analysant l’état de fonctionnement des unités dans l’environnement.

Avant de commencer Paramètres système et l’installation, vous devez d’abord installer disques durs et SSD dans cette unité, qui elle-même est également un NAS , donc c’est un NAS plus Sécurité Réseau Commutateur à double fonction, l’avantage est que tous les logiciels liés à Sécurité , les fichiers journaux, vous pouvez les mettre directement dans la zone NAS de cette unité, faire la consolidation des fichiers journaux, puis transférer à d’autres unités de collecte de journaux Sécurité (comme LogMaster ou d’autres unités, définir la zone WORM QNAP NAS , etc.), et la plateforme de gestion des événements de sécurité SIEM (comme Wazuh, etc. SIEM).

Lors de l’installation initiale, vous constaterez que vous pouvez utiliser le logiciel QNAP Qfinder pour trouver cette unité dans le Réseau , et vous pouvez voir qu’elle appartient elle-même à la catégorie de produits ADRA Scutity, avec des fonctions Sécurité ADRA intégrées.

Lors de la connexion à la page d’installation du système, il vous indiquera que vous pouvez effectuer une installation intelligente, ou choisir d’autres versions de firmware à installer, car cette unité peut choisir d’avoir des fonctions de firmware Sécurité ADRA, ou le système d’exploitation standard QNAP QTS pour fonctionner.

En prenant cette version comme exemple, le défaut peut d’abord installer la version QNE ADRA , et peut également télécharger manuellement différentes versions de firmware dans ce système.

Si c’est un système QTS , vous pouvez également choisir la version à installer.

C’est l’option pour Commutateur à l’interface QNE ADRA , après avoir sélectionné OK, il confirmera le processus d’installation et procédera.

Cette unité peut choisir de fonctionner en mode autonome ou en mode de gestion cloud, dans l’environnement OT, choisir le mode autonome peut toujours se connecter au réseau, donc y compris les mises à jour et les fonctions d’alerte peuvent fonctionner, et en supposant que votre politique d’environnement OT est pas de connexion réseau externe, ou besoin de se connecter au réseau externe uniquement lors de la mise à jour, il est généralement recommandé de choisir le mode autonome. Quant au mode de gestion cloud, il est pratique pour le personnel de gérer via le cloud, tout doit utiliser la clé de connexion cloud QNAP AMIZ pour utiliser, et a également des mécanismes Sécurité correspondants.

Après avoir configuré le mot de passe du compte, vous pouvez commencer à configurer et à utiliser l’installation.

Interface de gestion par défaut de l’unité QGD.

Cliquez sur myQNAPcloud pour voir l’état du mécanisme de connexion cloud de cette unité, si vous ne souhaitez pas utiliser le mode de gestion cloud, vous pouvez également Commutateur le ramener au mode autonome.

Lors de la configuration de ce type d’unité, la chose la plus importante dans l’environnement OT est la fonction d’alerte Sécurité , vous pouvez donc choisir de recevoir des notifications d’alerte système Sécurité par e-mail ou SMS, IM, services Push de page web.

Après avoir sélectionné la méthode de notification, vous pouvez définir les règles de notification, il est recommandé que les événements de menace à haut risque soient notifiés, d’autres informations à risque moyen, faible et autres, définissez les règles pour notifier selon les besoins.

Après avoir configuré les règles d’alerte et l’e-mail du destinataire, la configuration de la notification est terminée.

Fonctionnalités Commutateur avec détection de programmes malveillants et fonctions de surveillance du comportement

1.Inspection approfondie des paquets (DPI)

Les Commutateur traditionnels traitent principalement des échanges Réseau L3 ou L2, incapables d’effectuer une analyse approfondie des protocoles industriels ou des couches d’application. Cependant, les Commutateur avec des fonctions de détection de programmes malveillants ont généralement des moteurs DPI intégrés, capables de comparer les signatures de programmes malveillants courants, le produit de QNAP adopte des fonctions de protection Sécurité des points de terminaison réseau ADRA NDR intégrées, mettant à jour régulièrement données , peut effectuer les tâches suivantes :

  • Analyser les signatures de fichiers (signatures de logiciels malveillants).
  • Vérifier si les paquets de protocole contiennent des vulnérabilités connues ou des comportements d’attaque.

Le DPI peut détecter les protocoles spécifiques à l’industrie, si des paquets suspects ou des transmissions données anormales sont trouvés, il déclenchera des alertes ou effectuera une détection avancée, empêchant les fichiers malveillants de se propager latéralement dans la zone OT.

2. Surveillance du comportement et identification des appareils

En plus de la détection de programmes malveillants, les Commutateur peuvent également effectuer une surveillance du comportement, comme :

  • Surveillance de l’état des appareils : Détecter les comportements Réseau anormaux (comme une augmentation ou une diminution soudaine du trafic, des types de paquets anormaux, etc.), et signaler.
  • Surveillance des connexions et des utilisateurs Autorisation anormaux : Surveiller les tentatives de connexion échouées en continu, ou les IP/source utilisateur anormales, et déclencher des alertes ou verrouiller.

3. Alertes en temps réel et visualisation

Les gestionnaires de Réseau industriels ont souvent besoin de saisir l’état de l’environnement de production en temps réel, donc les Commutateur avec des capacités d’alerte en temps réel et de visualisation données sont très importants :

  • Notification en temps réel des événements : Après avoir détecté des fichiers de programmes malveillants ou des connexions anormales, notifier immédiatement par e-mail, SMS, logiciel de messagerie instantanée IM, ou PUSH de page web, permettant aux gestionnaires de prendre des mesures réactives dès la première fois.
  • Tableau de bord de visualisation : Afficher l’état de connexion des appareils, les tendances du trafic, et les événements d’alerte de manière graphique, facilitant l’identification rapide des zones suspectes.

4. Déploiement flexible et intégration

Les environnements OT sont généralement complexes en structure, et les coûts d’arrêt du système sont élevés. Les Commutateur avec des fonctions de détection de programmes malveillants et de surveillance du comportement, s’ils sont déployés ou intégrés de la manière suivante, peuvent grandement réduire le seuil d’entrée :

  • Intégration du système existant : Compatible avec les protocoles de communication industrielle grand public et les anciennes unités, minimisant le besoin de mises à jour des structures Réseau existantes ou des unités.
  •   Déploiement progressif : Peut être introduit à partir de points clés (comme les installations à haute exigence de sécurité) d’abord, puis s’étendre progressivement à l’ensemble de l’usine.

Après avoir ouvert le Centre Sécurité de la page système QGD, vous pouvez voir l’état actuel du risque Sécurité de votre système, qui est pour l’unité elle-même, pas pour l’unité surveillée dans l’environnement OT, donc réduisez d’abord le risque de l’unité ici selon la valeur recommandée du système.

Depuis le Panneau de configuration de QGD, vous pouvez choisir de mettre à jour tous les logiciels liés aux fonctions de protection Sécurité des points de terminaison ADRA NDR Réseau à la dernière version en priorité.

Et le plus important QNE Sécurité Réseau Commutateur de cette série de produits, doit être géré via ce gestionnaire Réseau Network Manager pour la gestion Commutateur QNE, rappelez-vous que cette unité est en fait composée de NAS et de Réseau Commutateur , donc Réseau Commutateur lui-même a son propre firmware de système d’exploitation, qui nécessite également une mise à jour.

Dans l’interface système de QuNetSwitch , vous pouvez voir les indicateurs lumineux des différents points de connexion, le côté gauche est le personnel de gestion Réseau familier avec l’utilisation de la gestion des points de connexion, POE, VLAN, et d’autres fonctions de gestion Réseau Commutateur standard communes.

La fonction clé principale de ce produit est la fonction de protection des points de terminaison ADRA NDR Réseau , lors de l’ouverture de cette page, vous pouvez choisir l’onglet d’analyse des menaces, capable d’enregistrer les actions des programmes malveillants, les connexions de hackers, et Aide se produisant dans l’environnement OT actuel Réseau . S’il y a des comportements normaux mal jugés par le système, ils peuvent également être exclus, il est recommandé d’analyser attentivement.

Dans les menaces Sécurité , vous pouvez également voir des graphiques visuels, listant les principales IP des appareils menaçants, et les différentes tendances de risque dans le réseau OT.

Pour la gestion des risques dans l’environnement OT, vous pouvez choisir de continuer à surveiller ou d’isoler les appareils ou unités problématiques, pour éviter que les connexions latérales ne causent des menaces Sécurité Réseau dans l’environnement OT.

Dans ADRA NDR , vous pouvez voir la liste des unités répertoriées, et pouvez définir différentes actions pour elles.

Dans l’analyse des menaces Sécurité , vous pouvez connaître le données de menace de cette unité OT.

Les données visualisés peuvent être suivis à long terme.

Mécanismes de protection clés fournis pour la zone OT

1. Empêcher la falsification et la propagation latérale des logiciels malveillants

En raison des exigences de haute stabilité des systèmes OT, s’ils sont attaqués par des ransomwares, des chevaux de Troie ou des vers, cela ne causera pas seulement la paralysie de la ligne de production mais entraînera également des risques et des pertes Sécurité .

  • Interception de programmes malveillants : Les Commutateur avec des fonctions de détection de programmes malveillants intégrées peuvent intercepter les fichiers malveillants avant qu’ils ne soient transmis à l’unité de point de terminaison, les empêchant de se propager à l’ensemble du Réseau de l’usine.
  • Rapport rapide des incidents : Lors de la détection de fichiers ou de connexions suspects, le système peut immédiatement signaler aux gestionnaires, améliorant le temps de traitement de la réponse aux menaces.

2. Empêcher les Licence non autorisés ou les connexions malveillantes

Si les unités du système OT sont connectées par des hackers, les conséquences sont inimaginables.

  • Surveiller le comportement de connexion : Grâce à l’observation approfondie du trafic et des couches de paquets par les Commutateur , il peut identifier efficacement les comportements de connexion anormaux (comme une IP inhabituelle, un comportement de connexion de point de connexion à grande échelle anormal, ou trop de tentatives d’erreurs de saisie de mot de passe).

3. Améliorer la visibilité et la conformité globales Sécurité

L’introduction de Commutateur avec des fonctions de détection de programmes malveillants et de surveillance du comportement, en plus de renforcer efficacement la protection Sécurité , Aide également les fabricants à mieux se conformer aux diverses exigences de conformité Sécurité industrielles (comme IEC 62443).

  • Fonctions de journalisation et d’audit : Les Commutateur peuvent fournir des rapports complets sur le trafic et les événements d’alerte, permettant aux gestionnaires et aux auditeurs de suivre les activités importantes Réseau , améliorant ainsi la conformité lors de l’introduction de l’ISO 27001 ou de la réalisation d’audits internes, d’audits externes tiers, ou d’audits Sécurité de la chaîne d’approvisionnement.

4. Recommandations pratiques d’introduction

Identifier les actifs clés et les zones à haut risque

Nous identifions généralement d’abord les unités clés (comme les unités de contrôle de ligne de production, les serveurs clés) et les points qui peuvent être menacés par des connexions externes dans la zone OT, priorisant l’introduction ou le remplacement des positions à haut risque par des Commutateur , en d’autres termes, remplacer les Commutateur traditionnels par des unités QDP-1602P est très pratique, augmentant la protection des unités OT sans affecter le fonctionnement des unités existantes, tout en surveillant le trafic et le comportement, enregistrant, aidant à la conformité future Sécurité , réduisant la charge sur le personnel de gestion du réseau.

Déploiement et vérification progressifs

Peut d’abord être déployé en petites quantités dans des environnements de production ou de test, observer son impact sur le trafic, la performance et la stabilité ; après avoir confirmé que la surveillance, la détection et les fonctions d’alerte sont correctes, puis s’étendre progressivement à l’ensemble de la zone OT.

Bonne gestion des journaux et processus de réponse aux alertes

Même avec des capacités avancées de détection de programmes malveillants et de surveillance du comportement, sans processus clairs de gestion des alertes, et des outils appropriés de gestion et d’analyse des journaux, il est toujours impossible d’exercer un effet maximal.

Coopérer avec les départements IT

Bien que les exigences OT et IT ne soient pas entièrement les mêmes, comme OT recherche généralement la stabilité, ne voulant pas trop de mises à jour système ou d’introductions d’environnements complexes, affectant la zone de travail OT, la plupart des situations OT ne permettent pas d’arrêt. IT, en revanche, exigera des mises à jour plus rapides, avec moins de déconnexions ou de redémarrages d’utilisateurs finaux étant plus acceptables, mais OT est différent.

Dans l’environnement OT des ordinateurs industriels, les Commutateur traditionnels jouent principalement le rôle de transmission données , tandis qu’aujourd’hui les menaces Sécurité deviennent de plus en plus complexes, si la couche d’unité et la couche Réseau peuvent introduire des Commutateur avec des fonctions de détection de programmes malveillants et de surveillance du comportement d’installation, cela renforcera considérablement les capacités de défense contre les ransomwares, les attaques de chevaux de Troie, les accès Licence non autorisés, et d’autres risques.

Ce type de Commutateur peut commencer par la détection de paquets la plus basique et la comparaison de comportements, combiné avec des alertes en temps réel et des informations visualisées, offrant une protection Sécurité supérieure pour l’environnement OT par rapport au passé, ce qui est l’avantage des produits de la série QNAP QGD.

By QNAP marketing team

Leave a comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *