Categories
Con la ola de automatización industrial y fabricación inteligente, las necesidades de Seguridad del entorno OT (Tecnología Operacional) están aumentando día a día. En el pasado, el dominio OT estaba relativamente aislado del dominio IT Redes , haciendo que los sistemas OT se centraran principalmente en la disponibilidad y estabilidad de la funcionalidad durante las etapas de implementación, adopción y diseño, con menos consideración por las amenazas de Seguridad . En muchos entornos, las amenazas de Seguridad eran incluso incuantificables. Sin embargo, a medida que los intercambios de Redes datos se vuelven más complejos y frecuentes, varias unidades OT en el entorno OT también comienzan a conectarse a un Redes más amplio, junto con la introducción de dispositivos IoT, monitoreo de fabricación inteligente y unidad de análisis, una vez que faltan mecanismos de protección adecuados en el entorno OT, las antiguas unidades OT, servidores de línea de producción, computadoras industriales y máquinas pueden convertirse en objetivos de ataques maliciosos o convertirse en brechas de Seguridad , infectando otras máquinas en el entorno OT, causando interrupciones y pérdidas en el negocio.
Este artículo utiliza el QNAP QGD-1602P Seguridad Redes Conmutador como ejemplo, Ayuda cómo establecer un entorno de protección Seguridad independiente y seguro en el dominio OT, que sea fácil de mantener para el personal de IT y Seguridad , en entornos de computadoras industriales, entornos de líneas de producción y otros Redes para lograr el aislamiento físico.
En la capa de Seguridad , el dominio OT tiene las siguientes características y desafíos:
- Requisitos de alta disponibilidad:las unidades y sistemas deben operar continuamente durante 24 horas, necesitando evitar grandes pérdidas causadas por interrupciones de ataques.
- Protocolos y sistemas propietarios:Muchos protocolos de comunicación industrial (como Modbus, PROFINET, etc.) y sistemas de control carecen de medidas maduras de protección Seguridad .
- Falta de mecanismos de monitoreo y alerta en tiempo real:Muchos gestiones de Redes de fábricas aún permanecen en marcos tradicionales, careciendo de mecanismos de monitoreo y alerta en tiempo real para comportamientos anormales o programas maliciosos.
Por lo tanto, si se puede introducir un Conmutador con capacidades de detección de programas maliciosos y monitoreo de comportamiento de instalación en la capa de Redes del dominio OT, fortalecerá las capacidades de protección del dominio OT, pudiendo interceptar comportamientos maliciosos en tiempo real, permitiendo que las amenazas sean automáticamente aisladas en puntos de conexión específicos de Redes o áreas designadas, VLAN, asegurando la estabilidad y Seguridad de varios sistemas en el entorno OT.
De hecho, instalamos este QNAP QGD-1602P Seguridad Redes Conmutador en el entorno OT, y lo conectamos a otros Redes Conmutador de 2.5G, 1G, analizando el estado de operación de las unidades en el entorno.
Antes de comenzar Configuración del sistema e instalación, primero debe instalar discos duros y SSD en esta unidad, que en sí misma también es un NAS , por lo que es un NAS más Seguridad Redes Conmutador de doble función, la ventaja es que todo el software relacionado con Seguridad , archivos de registro, puede colocarse directamente en el área NAS de esta unidad, hacer consolidación de archivos de registro, luego transferir a otras unidades de recopilación de registros Seguridad (como LogMaster u otras unidades, establecer área WORM QNAP NAS , etc.), y plataforma de gestión de eventos de seguridad SIEM (como Wazuh, etc. SIEM).
Durante la instalación inicial, encontrará que puede usar el software QNAP Qfinder para encontrar esta unidad en el Redes , y puede ver que en sí misma pertenece a la categoría de productos ADRA Scutity, con funciones Seguridad ADRA integradas.
Al conectarse a la página de instalación del sistema, le dirá que puede realizar una instalación inteligente, o elegir otras versiones de firmware para instalar, porque esta unidad puede elegir tener funciones de firmware Seguridad ADRA, o el sistema operativo estándar QTS de QNAP para operar.
Tomando esta versión como ejemplo, el predeterminado puede primero instalar la versión QNE ADRA , y también puede cargar manualmente diferentes versiones de firmware en este sistema.
Si es un sistema QTS , también puede elegir la versión para instalar.
Esta es la opción para Conmutador a la interfaz QNE ADRA , después de seleccionar OK, confirmará el proceso de instalación y procederá.
Esta unidad puede elegir operar en modo independiente o modo de gestión en la nube, en el entorno OT, elegir el modo independiente aún puede conectarse a la red, por lo que incluyendo actualizaciones y funciones de alerta pueden operar, y suponiendo que su política de entorno OT no permite conexión a la red externa, o necesita conectarse a la red externa solo al actualizar, generalmente se recomienda elegir el modo de operación independiente. En cuanto al modo de gestión en la nube, es conveniente para el personal gestionar a través de la nube, todo necesita usar la clave de unión de la nube QNAP AMIZ para usar, y también tiene mecanismos de Seguridad correspondientes.
Después de configurar la contraseña de la cuenta, puede comenzar a configurar y usar la instalación.
Interfaz de gestión predeterminada de la unidad QGD.
Haga clic en myQNAPcloud para ver el estado del mecanismo de conexión en la nube de esta unidad, si no desea usar el modo de gestión en la nube, también puede Conmutador de nuevo al modo de operación independiente.
Al configurar este tipo de unidad, lo más importante en el entorno OT es la función de alerta Seguridad , por lo que puede elegir recibir notificaciones de alerta del sistema Seguridad a través de correo electrónico o SMS, IM, servicios de Push en la página web.
Después de seleccionar el método de notificación, puede configurar las reglas de notificación, se recomienda que los eventos de amenaza de alto riesgo sean notificados, otra información de riesgo medio, bajo y otra, establecer reglas para notificar según sea necesario.
Después de configurar las reglas de alerta y el correo electrónico del destinatario, la configuración de notificación está completa.
Características de Conmutador con funciones de detección de programas maliciosos y monitoreo de comportamiento
1.Inspección profunda de paquetes (DPI)
El Conmutador tradicional maneja principalmente intercambios de Redes L3 o L2, incapaz de realizar un análisis profundo de protocolos industriales o capas de aplicación. Sin embargo, Conmutador con funciones de detección de programas maliciosos generalmente tienen motores DPI integrados, capaces de comparar firmas comunes de programas maliciosos, el producto de QNAP adopta funciones de protección Seguridad de punto final de red ADRA NDR integradas, actualizando regularmente datos , puede realizar las siguientes tareas:
- Analizar firmas de archivos (firmas de malware).
- Verificar si los paquetes de protocolo contienen vulnerabilidades conocidas o comportamientos de ataque.
DPI puede detectar protocolos específicos industriales, si se encuentran paquetes sospechosos o transmisiones anormales de datos , activará alertas o realizará detección avanzada, previniendo que los archivos maliciosos se propaguen lateralmente dentro del área OT.
2. Monitoreo de comportamiento e identificación de dispositivos
Además de la detección de programas maliciosos, Conmutador también puede realizar monitoreo de comportamiento, como:
- Monitoreo del estado del dispositivo: Detectar comportamientos anormales de Redes (como aumento o disminución repentina del tráfico, tipos de paquetes anormales, etc.), y reportar.
- Monitoreo de inicio de sesión anormal y Permiso de usuario: Monitorear intentos fallidos de inicio de sesión continuos, o IP de origen/usuario anormal, y activar alertas o bloqueo.
3. Alertas en tiempo real y visualización
Los gestores de Redes industriales a menudo necesitan comprender el estado del entorno de producción en tiempo real, por lo que Conmutador con capacidades de alerta en tiempo real y visualización de datos son muy importantes:
- Notificación en tiempo real de eventos: Después de detectar archivos de programas maliciosos o inicios de sesión anormales, notificar inmediatamente a través de correo electrónico, SMS, software de mensajería instantánea IM, o PUSH en la página web, permitiendo a los gestores tomar medidas de respuesta en el primer momento.
- Panel de visualización: Mostrar el estado de conexión del dispositivo, tendencias de tráfico y eventos de alerta de manera gráfica, facilitando la identificación rápida de áreas sospechosas.
4. Despliegue flexible e integración
Los entornos OT suelen ser complejos en estructura, y los costos de inactividad del sistema son altos. Conmutador con funciones de detección de programas maliciosos y monitoreo de comportamiento, si se despliegan o integran de las siguientes maneras, pueden reducir en gran medida el umbral de entrada:
- Integración con sistemas existentes: Compatible con protocolos de comunicación industrial principales y unidades antiguas, minimizando la necesidad de actualizaciones a estructuras de Redes existentes o unidades.
- Despliegue gradual: Puede introducirse desde puntos clave (como instalaciones con requisitos de alta seguridad) primero, luego expandirse gradualmente a toda la fábrica.
Después de abrir el Centro de Seguridad de la página del sistema QGD, puede ver el estado de riesgo Seguridad actual de su sistema, que es para la unidad en sí, no para la unidad monitoreada en el entorno OT, por lo que primero reduzca el riesgo de la unidad aquí según el valor recomendado del sistema.
Desde el Panel de control de QGD, puede elegir actualizar todo el software relacionado con las funciones de protección Seguridad de punto final de ADRA NDR Redes a la última versión como prioridad.
Y el más importante QNE Seguridad Redes Conmutador de esta serie de productos, necesita ser gestionado a través de este gestor de Redes Network Manager para la gestión de Conmutador QNE, recuerde que esta unidad está compuesta en realidad por NAS y Redes Conmutador , por lo que Redes Conmutador en sí tiene su propio firmware de sistema operativo, que también necesita actualización.
En la interfaz del sistema de QuNetSwitch , puede ver los indicadores de luz de diferentes puntos de conexión, el lado izquierdo es el personal de gestión de Redes familiarizado con el uso de la gestión de puntos de conexión, POE, VLAN y otras funciones estándar comunes de Redes Conmutador de gestión de red.
La función clave central de este producto es la función de protección de punto final de Redes ADRA NDR , al abrir esta página, puede elegir la pestaña de análisis de amenazas, capaz de registrar acciones de programas maliciosos, inicios de sesión de hackers y Ayuda que ocurren en el Redes del entorno OT actual. Si hay comportamientos normales malinterpretados por el sistema, también pueden ser excluidos, se recomienda analizar cuidadosamente.
En amenazas de Seguridad , también puede ver gráficos visuales, listando las principales IPs de dispositivos de amenaza, y diferentes tendencias de riesgo en la red OT.
Para la gestión de riesgos en el entorno OT, puede elegir continuar monitoreando o aislar dispositivos o unidades problemáticas, para evitar conexiones laterales que causen amenazas de Seguridad Redes en el entorno OT.
En ADRA NDR , puede ver la lista de unidades enumeradas, y puede establecer diferentes acciones para ellas.
En el análisis de amenazas de Seguridad , puede conocer el datos de amenaza de esta unidad OT.
El datos visualizado puede ser rastreado a largo plazo.
Mecanismos de protección clave proporcionados para el área OT
1. Prevenir la manipulación de software malicioso y la propagación lateral
Debido a los altos requisitos de estabilidad de los sistemas OT, si son atacados por ransomware, troyanos o gusanos, no solo causará parálisis de la línea de producción, sino que también conducirá a riesgos y pérdidas de Seguridad .
- Intercepción de programas maliciosos: Conmutador con funciones de detección de programas maliciosos integradas puede interceptar archivos maliciosos antes de que sean transmitidos a la unidad de punto final, evitando que se propaguen a toda la Redes de la fábrica.
- Informe rápido de incidentes: Cuando se detectan archivos o conexiones sospechosas, el sistema puede informar inmediatamente a los gestores, mejorando el tiempo de manejo de respuesta a amenazas.
2. Prevenir Licencia no autorizados o inicios de sesión maliciosos
Si las unidades en el sistema OT son iniciadas por hackers, las consecuencias son inimaginables.
- Monitorear el comportamiento de inicio de sesión: A través de la observación profunda de tráfico y capas de paquetes de Conmutador , puede identificar efectivamente comportamientos de inicio de sesión anormales (como IP inusual, comportamiento de conexión de punto de escaneo a gran escala anormal, o demasiados intentos de errores de entrada de contraseña).
3. Mejorar la visibilidad y el cumplimiento general de Seguridad
Introducir Conmutador con funciones de detección de programas maliciosos y monitoreo de comportamiento, además de fortalecer efectivamente la protección de Seguridad , también Ayuda a los fabricantes a cumplir mejor con varios requisitos de cumplimiento de Seguridad industrial (como IEC 62443).
- Funciones de registro y auditoría: Conmutador puede proporcionar informes completos de tráfico y eventos de alerta, permitiendo a los gestores y auditores rastrear actividades importantes de Redes , mejorando así el cumplimiento al introducir ISO 27001 o realizar auditorías internas, auditorías externas de terceros o auditorías de Seguridad de la cadena de suministro.
4. Recomendaciones prácticas de introducción
Identificar activos clave y áreas de alto riesgo
Usualmente primero identificamos unidades clave (como unidades de control de línea de producción, servidores clave) y puntos que pueden ser amenazados por conexiones externas en el área OT, priorizando la introducción o reemplazo de posiciones de alto riesgo con Conmutador , en otras palabras, reemplazar Conmutador tradicionales con unidades QDP-1602P es muy práctico, aumentando la protección para unidades OT sin afectar la operación de unidades existentes, mientras monitorea el tráfico y el comportamiento, registrando, ayudando al cumplimiento de Seguridad futuro, reduciendo la carga en el personal de gestión de redes.
Despliegue y verificación paso a paso
Puede desplegarse primero en pequeñas cantidades en entornos de producción o prueba, observar su impacto en el tráfico, rendimiento y estabilidad; después de confirmar que las funciones de monitoreo, detección y alerta son correctas, luego expandirse gradualmente a toda el área OT.
Buena gestión de registros y proceso de respuesta a alertas
Incluso con capacidades avanzadas de detección de programas maliciosos y monitoreo de comportamiento, sin procesos claros de manejo de alertas, y herramientas adecuadas de gestión y análisis de registros, aún es imposible ejercer el máximo efecto.
Cooperar con departamentos de IT
Aunque los requisitos de OT e IT no son completamente los mismos, como OT generalmente busca estabilidad, no queriendo demasiadas actualizaciones del sistema o introducciones de entornos complejos, afectando el área de trabajo OT, la mayoría de las situaciones OT no permiten inactividad. IT, por otro lado, requerirá actualizaciones más oportunas, con menos desconexiones o reinicios de usuario final siendo más aceptables, pero OT es diferente.
En el entorno OT de computadoras industriales, el Conmutador tradicional juega principalmente el papel de transmisión de datos , mientras que las amenazas de Seguridad de hoy son cada vez más complejas, si la capa de unidad y la capa de Redes pueden introducir Conmutador con funciones de detección de programas maliciosos y monitoreo de comportamiento de instalación, fortalecerá significativamente las capacidades de defensa contra ransomware, ataques de troyanos, acceso no autorizado de Licencia y otros riesgos.
Este tipo de Conmutador puede comenzar desde la detección de paquetes más básica y la comparación de comportamiento, combinada con alertas en tiempo real e información visualizada, proporcionando una protección Seguridad superior para el entorno OT en comparación con el pasado, que es la ventaja de los productos de la serie QNAP QGD.
