艾體寶干貨丨使用TAP和NPB安全監(jiān)控OT網絡：基于普渡模型的方法

引導語：

在工業(yè)控制系統(tǒng)（ICS）和運營技術（OT）網絡中，安全性和穩(wěn)定性是關鍵。本文探討了如何通過使用TAPs和網絡包分析器（NPBs）來保護這些網絡，基于經典的Purdue模型進行網絡分層，確保OT網絡的可視性和數(shù)據(jù)流量的有效監(jiān)控。無論是傳統(tǒng)的工業(yè)網絡還是更現(xiàn)代化的智能制造環(huán)境，本文將為您提供全面的解決方案和見解。

簡介：

隨著工業(yè)控制系統(tǒng)和運營技術網絡（ICS/OT）的復雜性與日俱增，保障網絡安全已成為一項至關重要的任務。本文深入探討了如何結合TAPs和網絡包分析器（NPBs）來為這些網絡提供更高的可見性與安全性。通過基于Purdue模型的架構，您將了解如何在各個網絡層次上實現(xiàn)高效的監(jiān)控與防護，防止?jié)撛诘木W絡威脅，確保工業(yè)網絡的高效運營。

運營技術(OT)網絡用于許多行業(yè)，如制造、能源、運輸和醫(yī)療運營。與傳統(tǒng)IT網絡不同，OT網絡的中斷或故障會直接影響物理資產、導致停機并危及安全。

由于其關鍵性，OT系統(tǒng)需要特殊的監(jiān)控方法。用于監(jiān)控的設備必須能夠處理實時數(shù)據(jù)，并且在任何情況下都不能影響所部署網絡的安全性和性能。

另一方面，OT網絡通常由具有專有工業(yè)網絡協(xié)議的傳統(tǒng)系統(tǒng)組成，使用傳統(tǒng)IT網絡監(jiān)控工具無法輕松監(jiān)控。要獲得這些數(shù)據(jù)的可見性，需要能夠捕捉和解釋這些獨特協(xié)議的專用設備。

普渡模型

普渡工業(yè)控制系統(tǒng)（ICS）安全模型是一個框架，概述了保護敏感工業(yè)環(huán)境的多層次方法。該模型最初由普渡大學開發(fā)，并作為ISA-99標準的一部分由國際自動化學會(ISA)進一步完善，它定義了六個不同的網絡分段層，每個層都旨在發(fā)揮保護和管理工業(yè)運行的特定功能。這些層級的范圍從企業(yè)級一直到實際物理流程。

普渡模型的主要目標是在企業(yè)各級網絡之間建立清晰、安全的界限，特別是將企業(yè)和生產運營分開。這種分隔有助于防止網絡威脅在不同業(yè)務領域傳播，從而增強整體安全態(tài)勢。通過實施這種結構化方法，企業(yè)可以更好地管理和降低與網絡安全威脅、未經授權的訪問和數(shù)據(jù)泄露相關的風險，確保工業(yè)控制系統(tǒng)持續(xù)可靠地運行。

按照這一模式，以下是使用TAP和NPB監(jiān)控工業(yè)網絡的步驟：

步驟1：識別關鍵資產

監(jiān)控工業(yè)網絡的第一步是確定需要保護的關鍵資產。這包括對工業(yè)流程運行至關重要的所有設備和系統(tǒng)。

步驟2：劃分網絡

下一步，應根據(jù)普渡模型的分層級別對網絡進行分段。這樣可以更好地進行監(jiān)控和分析，從而在需要調查時減少停機時間。

步驟3：部署TAP

網絡TAP是一種硬件設備，用于被動監(jiān)控網絡流量，而不會中斷流量。將其部署在網絡中的戰(zhàn)略點，如不同層級或區(qū)域之間，以捕獲通過的所有數(shù)據(jù)?？蔀镺T環(huán)境提供特殊的低延遲和24v型號。

我們曾撰文介紹如何使用銅纜TAP和IOTA加強OT網絡監(jiān)控。銅纜TAP（如艾體寶提供的產品）是一種非侵入式設備，可捕獲單根電纜中的所有網絡流量，提供獨立的TX/RX流，不會引入延遲或干擾現(xiàn)有流量。這樣就可以無縫、無交互地集成到現(xiàn)有網絡中，這對于時間要求嚴格、中斷可能會妨礙運營的工業(yè)環(huán)境來說至關重要。

步驟4：建立聚合層

網絡數(shù)據(jù)包代理（NPB）是一種智能設備，可接收來自多個TAP的流量，并將其匯聚成單一信息流進行分析。它們還提供高級過濾功能，以減少不重要的數(shù)據(jù)。網絡數(shù)據(jù)包代理還可以接收來自SPAN連接等其他來源的流量，從而為不同的部署方案提供靈活性。網絡數(shù)據(jù)包代理可在向監(jiān)控工具發(fā)送監(jiān)控數(shù)據(jù)之前幫助優(yōu)化數(shù)據(jù)，例如通過重復數(shù)據(jù)流。

步驟5：監(jiān)控流量

收集到的流量可由IOTA通過多個儀表板進行分析，并轉發(fā)給入侵檢測系統(tǒng)(IDS)或網絡檢測與響應(NDR)等監(jiān)控系統(tǒng)。

步驟6：識別異常

使用分析工具可以輕松檢測到硬件性能下降、網絡擁塞或組件故障等問題。然后，應用人員可以直接調查問題，并確定最佳行動方案。

第7步：優(yōu)化和實施

根據(jù)從流量監(jiān)控中獲得的洞察力，可以做出改變，使網絡和應用程序更具彈性。此外，在網絡TAP和網絡包代理層面，添加不同的捕獲位置和創(chuàng)建新的過濾規(guī)則，也有助于更好地了解網絡概況。

步驟8：定期更新

定期更新用于監(jiān)控工業(yè)網絡的安全工具至關重要。這將確保它們擁有最新的威脅情報和軟件功能，并能檢測和緩解新的攻擊或問題。

通過遵循這些步驟，企業(yè)可以使用TAP和NPB有效監(jiān)控其工業(yè)網絡，同時遵守普渡模型的分層安全方法。這有助于保護關鍵資產免受網絡威脅，確保平穩(wěn)運行，并保持合規(guī)性。

了解 ITT-IOTA 更多信息，歡迎前往【艾體寶】官方網站：https://www.itbigtec.com/iota

聯(lián)系艾體寶工程師：TEL：13533491614