Categories
Con l’ondata di automazione industriale e produzione intelligente, le esigenze di Sicurezza dell’ambiente OT (Operational Technology) stanno aumentando giorno dopo giorno. In passato, il dominio OT era relativamente isolato dal dominio IT Rete , facendo sì che i sistemi OT si concentrassero principalmente sulla disponibilità e stabilità delle funzionalità durante le fasi di distribuzione, adozione e progettazione, con meno considerazione per le minacce Sicurezza . In molti ambienti, le minacce Sicurezza erano persino non quantificabili. Tuttavia, poiché gli scambi Rete dati diventano più complessi e frequenti, varie unità OT nell’ambiente OT iniziano anche a connettersi a un Rete più ampio, insieme all’introduzione di dispositivi IoT, monitoraggio della produzione intelligente e unità di analisi, una volta mancanti di meccanismi di protezione appropriati nell’ambiente OT, vecchie unità OT, server di linea di produzione, computer industriali e macchine possono diventare bersagli di attacchi dannosi o diventare violazioni Sicurezza , infettando altre macchine nell’ambiente OT, causando interruzioni e perdite aziendali.
Questo articolo utilizza il QNAP QGD-1602P Sicurezza Rete Switch come esempio, Guida come stabilire un ambiente di protezione Sicurezza indipendente e sicuro nel dominio OT, facile da mantenere per il personale IT e Sicurezza , negli ambienti di computer industriali, ambienti di linea di produzione e altri Rete per ottenere l’isolamento fisico.
Sul livello Sicurezza , il dominio OT presenta le seguenti caratteristiche e sfide:
- Requisiti di alta disponibilità:unità e sistemi devono operare continuamente per 24 ore, evitando grandi perdite causate da interruzioni degli attacchi.
- Protocolli e sistemi proprietari:Molti protocolli di comunicazione industriale (come Modbus, PROFINET, ecc.) e sistemi di controllo mancano di misure di protezione Sicurezza mature.
- Mancanza di meccanismi di monitoraggio e allerta in tempo reale:Molte gestioni Rete delle fabbriche rimangono ancora in quadri tradizionali, mancando di meccanismi di monitoraggio e allerta in tempo reale per comportamenti anomali o programmi dannosi.
Pertanto, se un Switch con capacità di rilevazione di programmi dannosi e monitoraggio del comportamento di installazione può essere introdotto nel livello Rete del dominio OT, rafforzerà le capacità di protezione del dominio OT, in grado di intercettare comportamenti dannosi in tempo reale, consentendo alle minacce di essere automaticamente isolate in punti di connessione Rete specifici o aree designate, VLAN, garantendo la stabilità e la Sicurezza di vari sistemi nell’ambiente OT.
Abbiamo effettivamente installato questo QNAP QGD-1602P Sicurezza Rete Switch nell’ambiente OT e lo abbiamo collegato ad altri Rete Switch 2.5G, 1G, analizzando lo stato operativo delle unità nell’ambiente.
Prima di iniziare Impostazioni di sistema e l’installazione, è necessario prima installare dischi rigidi e SSD in questa unità, che è essa stessa anche un NAS , quindi è un NAS più Sicurezza Rete Switch a doppia funzione, il vantaggio è che tutto il software relativo a Sicurezza , i file di log, si possono mettere direttamente nell’area NAS di questa unità, fare la consolidazione dei file di log, quindi trasferire ad altre unità di raccolta log Sicurezza (come LogMaster o altre unità, impostare l’area WORM QNAP NAS , ecc.), e la piattaforma di gestione degli eventi di sicurezza SIEM (come Wazuh, ecc. SIEM).
Durante l’installazione iniziale, scoprirai che puoi utilizzare il software QNAP Qfinder per trovare questa unità nel Rete , e puoi vedere che essa stessa appartiene alla categoria di prodotti ADRA Scutity, con funzioni Sicurezza ADRA integrate.
Quando ti connetti alla pagina di installazione del sistema, ti dirà che puoi eseguire l’installazione intelligente o scegliere altre versioni del firmware da installare, perché questa unità può scegliere di avere funzioni firmware Sicurezza ADRA, o il sistema operativo standard QNAP QTS per operare.
Prendendo questa versione come esempio, il default può prima installare la versione QNE ADRA , e può anche caricare manualmente diverse versioni del firmware in questo sistema.
Se è un sistema QTS , puoi anche scegliere la versione da installare.
Questa è l’opzione per Switch all’interfaccia QNE ADRA , dopo aver selezionato OK, confermerà il processo di installazione e procederà.
Questa unità può scegliere di operare in modalità standalone o modalità di gestione cloud, nell’ambiente OT, scegliendo la modalità standalone può ancora connettersi alla rete, quindi inclusi aggiornamenti e funzioni di allerta possono operare, e supponendo che la tua politica dell’ambiente OT non preveda connessioni esterne, o necessiti di connettersi alla rete esterna solo durante gli aggiornamenti, di solito è consigliato scegliere l’operazione in modalità standalone. Per quanto riguarda la modalità di gestione cloud, è conveniente per il personale gestire attraverso il cloud, tutto deve utilizzare la chiave di Join cloud QNAP AMIZ per l’uso, e ha anche meccanismi Sicurezza corrispondenti.
Dopo aver impostato la password dell’account, puoi iniziare a configurare e utilizzare l’installazione.
Interfaccia di gestione predefinita dell’unità QGD.
Clicca myQNAPcloud per vedere lo stato del meccanismo di connessione cloud di questa unità, se non vuoi utilizzare la modalità di gestione cloud, puoi anche Switch indietro all’operazione in modalità standalone.
Quando si configura questo tipo di unità, la cosa più importante nell’ambiente OT è la funzione di allerta Sicurezza , quindi puoi scegliere di ricevere notifiche di allerta Sicurezza del sistema tramite email o SMS, IM, servizi Push su pagina web.
Dopo aver selezionato il metodo di notifica, puoi impostare le regole di notifica, si consiglia che gli eventi di minaccia ad alto rischio debbano essere notificati, altre informazioni a rischio medio, basso e altre, impostare le regole per notificare secondo necessità.
Dopo aver impostato le regole di allerta e l’email del destinatario, la configurazione della notifica è completa.
Caratteristiche Switch con funzioni di rilevazione di programmi dannosi e monitoraggio del comportamento
1.Ispezione Profonda dei Pacchetti (DPI)
Tradizionalmente, Switch gestisce principalmente scambi Rete L3 o L2, incapace di eseguire un’analisi approfondita sui protocolli industriali o sui livelli applicativi. Tuttavia, Switch con funzioni di rilevazione di programmi dannosi di solito hanno motori DPI integrati, capaci di confrontare firme comuni di programmi dannosi, il prodotto di QNAP adotta funzioni di protezione Sicurezza degli endpoint di rete ADRA NDR integrate, aggiornando regolarmente dati , può eseguire i seguenti compiti:
- Analizzare le firme dei file (firme di malware).
- Controllare se i pacchetti di protocollo contengono vulnerabilità note o comportamenti di attacco.
DPI può rilevare protocolli specifici industriali, se vengono trovati pacchetti sospetti o trasmissioni dati anomale, attiverà allerta o eseguirà rilevamenti avanzati, prevenendo la diffusione laterale di file dannosi all’interno dell’area OT.
2. Monitoraggio del comportamento e identificazione del dispositivo
Oltre alla rilevazione di programmi dannosi, Switch può anche eseguire il monitoraggio del comportamento, come:
- Monitoraggio dello stato del dispositivo: Rilevare comportamenti Rete anomali (come improvviso aumento o diminuzione del traffico, tipi di pacchetti anomali, ecc.), e segnalare.
- Monitoraggio del login anomalo e dell’utente Autorizzazione : Monitorare tentativi di login falliti continui, o IP sorgente/account utente anomalo, e attivare allerta o blocco.
3. Allerta in tempo reale e visualizzazione
I gestori Rete industriali spesso hanno bisogno di comprendere lo stato dell’ambiente di produzione in tempo reale, quindi Switch con capacità di allerta in tempo reale e visualizzazione dati sono molto importanti:
- Notifica in tempo reale degli eventi: Dopo aver rilevato file di programmi dannosi o login anomali, notificare immediatamente tramite email, SMS, software di messaggistica istantanea IM, o PUSH su pagina web, consentendo ai gestori di prendere misure reattive al primo momento.
- Dashboard di visualizzazione: Visualizzare lo stato di connessione del dispositivo, le tendenze del traffico e gli eventi di allerta in modo grafico, facilitando l’identificazione rapida delle aree sospette.
4. Distribuzione flessibile e integrazione
Gli ambienti OT sono solitamente complessi nella struttura, e i costi di inattività del sistema sono elevati. Switch con funzioni di rilevazione di programmi dannosi e monitoraggio del comportamento, se distribuiti o integrati nei seguenti modi, possono ridurre notevolmente la soglia di ingresso:
- Integrazione del sistema esistente: Compatibile con i principali protocolli di comunicazione industriale e vecchie unità, minimizzando la necessità di aggiornamenti alle strutture Rete esistenti o alle unità.
- Distribuzione graduale: Può essere introdotto dai punti chiave (come installazioni con requisiti di sicurezza elevati) prima, quindi espandersi gradualmente all’intera fabbrica.
Dopo aver aperto il Centro Sicurezza della pagina del sistema QGD, puoi vedere lo stato attuale del rischio Sicurezza del tuo sistema, che è per l’unità stessa, non per l’unità monitorata nell’ambiente OT, quindi riduci prima il rischio dell’unità qui secondo il valore raccomandato dal sistema.
Dal Pannello di controllo di QGD, puoi scegliere di aggiornare tutto il software relativo a ADRA NDR Rete funzioni di protezione degli endpoint Sicurezza all’ultima versione come priorità.
E il più importante QNE Sicurezza Rete Switch di questa serie di prodotti, deve essere gestito attraverso questo gestore Rete Network Manager per la gestione Switch QNE, ricorda che questa unità è effettivamente composta da NAS e Rete Switch , quindi Rete Switch stesso ha il proprio firmware del sistema operativo, che necessita anche di aggiornamenti.
Nell’interfaccia del sistema di QuNetSwitch , puoi vedere gli indicatori luminosi di diversi punti di connessione, il lato sinistro è il personale di gestione Rete familiare con l’uso della gestione dei punti di connessione, POE, VLAN, e altre funzioni di impostazione standard Rete Switch di gestione della rete.
La funzione chiave principale di questo prodotto è la funzione di protezione degli endpoint ADRA NDR Rete , quando apri questa pagina, puoi scegliere la scheda di analisi delle minacce, in grado di registrare azioni di programmi dannosi, login di hacker, e Guida che si verificano nell’attuale Rete dell’ambiente OT. Se ci sono comportamenti normali giudicati erroneamente dal sistema, possono anche essere esclusi, si consiglia di analizzare attentamente.
Nelle minacce Sicurezza , puoi anche vedere grafici visivi, elencando gli IP dei dispositivi principali di minaccia, e diverse tendenze di rischio nella rete OT.
Per la gestione del rischio nell’ambiente OT, puoi scegliere di continuare a monitorare o isolare dispositivi o unità problematiche, per evitare che connessioni laterali causino minacce Rete Sicurezza nell’ambiente OT.
In ADRA NDR , puoi vedere l’elenco delle unità elencate, e puoi impostare diverse azioni per loro.
Nell’analisi delle minacce Sicurezza , puoi conoscere il dati di minaccia di questa unità OT.
dati visualizzato può essere tracciato a lungo termine.
Meccanismi di protezione chiave forniti per l’area OT
1. Prevenire la manomissione del software dannoso e la diffusione laterale
A causa dei requisiti di alta stabilità dei sistemi OT, se attaccati da ransomware, trojan o worm, non solo causerà la paralisi della linea di produzione ma porterà anche a rischi e perdite Sicurezza .
- Intercettazione di programmi dannosi: Switch con funzioni di rilevazione di programmi dannosi integrate può intercettare file dannosi prima che vengano trasmessi all’unità endpoint, impedendo loro di diffondersi all’intera Rete della fabbrica.
- Rapida segnalazione degli incidenti: Quando vengono rilevati file o connessioni sospette, il sistema può segnalare immediatamente ai gestori, migliorando il tempo di gestione della risposta alle minacce.
2. Prevenire accessi non autorizzati Licenza o login dannosi
Se le unità nel sistema OT vengono loggate da hacker, le conseguenze sono inimmaginabili.
- Monitorare il comportamento di login: Attraverso Switch l’osservazione profonda del traffico e dei livelli di pacchetti, può identificare efficacemente comportamenti di login anomali (come IP insoliti, comportamento di scansione di punti di connessione su larga scala anomalo, o troppi tentativi di errore di input password).
3. Migliorare la visibilità complessiva Sicurezza e la conformità
Introdurre Switch con funzioni di rilevazione di programmi dannosi e monitoraggio del comportamento, oltre a rafforzare efficacemente la protezione Sicurezza , anche Guida i produttori a rispettare meglio i vari requisiti di conformità Sicurezza industriale (come IEC 62443).
- Funzioni di registrazione e audit: Switch può fornire rapporti completi sul traffico e sugli eventi di allerta, consentendo ai gestori e agli auditor di tracciare importanti attività Rete , migliorando così la conformità quando si introduce ISO 27001 o si conducono audit interni, audit esterni di terze parti o audit di Sicurezza della catena di fornitura.
4. Raccomandazioni pratiche per l’introduzione
Identificare le risorse chiave e le aree ad alto rischio
Di solito identifichiamo prima le unità chiave (come unità di controllo della linea di produzione, server chiave) e i punti che potrebbero essere minacciati da connessioni esterne nell’area OT, dando priorità all’introduzione o alla sostituzione delle posizioni ad alto rischio con Switch , in altre parole, sostituire Switch tradizionali con unità QDP-1602P è molto pratico, aumentando la protezione per le unità OT senza influire sull’operazione delle unità esistenti, mentre si monitora il traffico e il comportamento, registrando, aiutando la conformità Sicurezza futura, riducendo il carico sul personale di gestione della rete.
Distribuzione e verifica graduale
Può essere distribuito inizialmente in piccole quantità in ambienti di produzione o test, osservando il suo impatto sul traffico, sulle prestazioni e sulla stabilità; dopo aver confermato che le funzioni di monitoraggio, rilevazione e allerta sono corrette, quindi espandere gradualmente all’intera area OT.
Buona gestione dei log e processo di risposta alle allerte
Anche con capacità avanzate di rilevazione di programmi dannosi e monitoraggio del comportamento, senza processi chiari di gestione delle allerte e strumenti appropriati di gestione e analisi dei log, è ancora impossibile ottenere il massimo effetto.
Collaborare con i dipartimenti IT
Sebbene le esigenze OT e IT non siano completamente le stesse, come OT di solito cerca stabilità, non volendo troppi aggiornamenti di sistema o introduzioni di ambienti complessi, influenzando l’area di lavoro OT, la maggior parte delle situazioni OT non consente tempi di inattività. IT, d’altra parte, richiederà aggiornamenti più tempestivi, con meno disconnessioni o riavvii degli utenti finali più accettabili, ma OT è diverso.
Nell’ambiente OT dei computer industriali, Switch tradizionali svolgono principalmente il ruolo di trasmissione dati , mentre le minacce Sicurezza di oggi stanno diventando sempre più complesse, se il livello delle unità e il livello Rete possono introdurre Switch con funzioni di rilevazione di programmi dannosi e monitoraggio del comportamento di installazione, rafforzerà significativamente le capacità di difesa contro ransomware, attacchi trojan, accessi non autorizzati Licenza e altri rischi.
Questo tipo di Switch può iniziare dalla rilevazione di pacchetti più basilare e dal confronto del comportamento, combinato con allerte in tempo reale e informazioni visualizzate, fornendo una protezione Sicurezza superiore per l’ambiente OT rispetto al passato, che è il vantaggio dei prodotti della serie QNAP QGD.
