OPSWAT 关键基础设施,但这不仅限于政府所定义的“关键基础设施”,更包括您认为至关重要的部分。
该基础设施的核心是关键数据——这些数据确保了运营的安全、稳定和持续。
Industrial (ICS)和运营技术(OT)环境中,这些数据反映了企业的核心功能和流程。但一旦发生网络安全事件,首要任务之一便是实施隔离。
“封控困境”
遏制攻击的第一步是隔离受影响的系统,并切断可能导致攻击扩散的连接路径。例如,美国网络安全与基础设施安全局(CISA)关于应对勒索软件的指南明确要求,应立即隔离受影响的系统,并在可能的情况下断开设备连接(1)。这是一条中肯的建议——但在工业环境中,这可能会造成运营上的两难境地:
| 安全需要隔离 | 运营需要透明度 |
|---|---|
| 停止横向移动 | 系统是否仍在安全运行? |
| 停止命令与控制 | 系统运行稳定,还是已超出容差范围? |
| 防止传播 | 我们是停运,还是可以继续正常运营? |
光二极管消除了所有疑虑
光数据二极管使组织能够关闭双向通道(例如防火墙、VPN、远程访问和信任关系),同时仍允许关键遥测数据向外传输。这种方法提供了一种机制,有助于实现流程感知、提升安全性,并基于实时数据做出更明智的决策。
Core
即使在隔离期间“关闭”了IT与OT之间的“大门”,您仍可保留一个“投递口”,让只读的工艺数据能够从OT环境中输出——同时完全不提供任何回传网络通道。
作为事件响应(IR)的一部分,隔离措施符合美国国家标准与技术研究院(NIST)长期以来的运营技术(OT)安全指南。NIST指出,防火墙的替代方案是单向网关/数据二极管,它仅允许经过授权和配置的单向通信(2)。
当一切陷入黑暗时会发生什么
如果没有自动化和基础设施,制造业该如何运转?“通过断开连接实现隔离”这一策略的一个广为引用的例子是挪威海德鲁公司(Norsk Hydro)2019年的勒索软件事件,当时该公司切断了网络访问以防止病毒扩散,并在一段时间内转而采用手动流程。 LockerGoga勒索软件对该公司部分铝加工厂的冲击最为严重,造成的财务损失预计将高达7100万美元。一些熟悉旧纸质系统的退休员工自愿返回工厂,以维持生产(3)。
这个案例值得深入了解,因为它生动地说明了在响应事件(IR)期间,如果自动化流程失去数字连接和集中化可视性,将会带来哪些运营和财务成本。这是一个正确的决定。
基于隔离的决策级可视性
在许多工业企业中,流程可视化依赖于来自运营技术(OT)源的数据流,例如:
- OPC UA 服务器(实时值、告警、上下文相关数据)
- 历史数据(时间序列 + 事件 + 资产框架背景)
在隔离期间,通常会禁用防火墙和相关规则,或阻止远程访问,以防止运营技术(OT)遥测数据连接到企业工具。二极管架构改变了这种故障模式:
- 您可以关闭防火墙/服务器路由以防范入站风险。
- 您仍然可以获取单向遥测数据,以保持态势感知并加快事件的实时分级处理。
- 如果您正在使用其他依赖网络流量可视化功能进行威胁检测的工具,您可以让这些数据通过二极管继续传输
示例场景
事件
勒索软件在企业网络中爆发。事件响应团队隔离并切断了IT与OT之间的流量,以防止OT基础设施受到感染。
问题
中央团队无法访问OT仪表盘和历史数据视图,而这些视图本可提供“是否安全?是否稳定?”等环境可见性信息。
借助二极管,运营技术(OT)系统会持续将只读遥测数据流传输至接收网络,使系统运营中心(SOC)及运营管理层能够查看关键趋势、告警和安全数据点——同时不会向运营技术(OT)环境发送任何控制通信。
虽然二极管无法“解决勒索软件问题”(请了解MetaDefender Core 中的预防性技术),但它通过阻止来自高风险区域的入站网络访问,同时保持最低限度的运营可视性,从而有效缩小了影响范围。
需发送的实际数据
为保持行动效能,请在响应计划的规划阶段定义一套“危机可视化数据集”。其中应包含以下数据:
- 安全关键型工艺参数(压力、温度、液位、联锁)
- 模式/状态指示灯(自动/手动、许可、跳闸)
- 告警摘要(数量 + 主要告警)
- 网络健康状况遥测(关键交换机/路由器、设备/端口上线/下线、Historian 健康数据)
- 基本背景信息(资产名称/单位,以便团队能快速理解)
参考资料
1. CISA。https://www.cisa.gov/ransomware-response-checklist;CISA。[在线]
2. NIST. SP800-82r3. NIST. [在线]https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. 布里格斯,比尔。《黑客对挪威海德鲁公司发起勒索软件攻击,该公司以透明态度应对》。Microsoft.com。[在线] 2019年12月16日。https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/。
