ICS / SCADA智能扫描:发现和评估基于IT系统在聚合/环境

越来越多的操作技术(OT)环境是互相连接的,采用利用基于IT资产和协议。这意味着OT系统暴露在威胁。此外,它/不收敛性扩大网络攻击表面。演员有损害威胁网络可以访问OT系统从网络。这些聚合环境包含一个混合的OT设备和系统,其中一些可以很容易地破坏与传统主动扫描技术。

对于大多数工业环境,站得住脚的^®部署和使用连续的,被动监测、无干扰的网络。然而,有些情况下聚合/ OT网络,一个活跃的扫描是首选或必要,它可能很难段和扫描目标。

为了解决这个难题,站得住脚的介绍了ICS / SCADA智能扫描。这种独特的能力发现和彻底的评估基于it系统(如监督、现场操作控制、ERP或调度)在融合环境中,同时减少的风险,主动扫描将扰乱OT设备如果他们无意中遇到在扫描。

测量网络暴露在整个聚合/ OT环境

ICS的组合/ SCADA智能扫描和被动网络监控,站得住脚的安全措施网络曝光在整个聚合/ OT环境,提供网络的完全可见性风险。

OT设备可编程序逻辑控制器(plc)和远程终端装置(rtu)的活动和状态监测机械(如泵、阀门和电机)和环境因素(如温度、pH值和振动)需要清点和漏洞来衡量和管理风险的评估过程。然而,这些不能抵抗主动扫描设备可能过于敏感方法常用的环境。具体来说,他们可能会敏感,有以下原因:

• 有限的CPU:他们可以被太多的请求,因为他们为了一次只做一件事,比平板电脑可能不太强大。
• 实时通讯:所涉及的协议通常期望一个完整的数据流从一个设备。如果他们大幅推迟,他们可能重建通信问题。全漏洞扫描探测设备的许多领域非常快,可过度负担有限的CPU和延迟通信。
• 设计权衡:OT设备被设计成适应电力中断,振动或空气中的微粒。许多OT设备,特别是遗留设备,没有设计承受巨大的网络通信流。
• 定制的操作系统和软件:OT设备通常不广泛使用并被广泛测试运行操作系统,比如Windows或Linux。他们可能包括一个小的HTTP服务器,但是它是有限的特性。当漏洞扫描器试图检查SSL问题,嵌入式HTTP服务器可以崩溃。自设备只是为了做一件事,这通常意味着整个设备重新启动,导致昂贵的停机时间和潜在的不安全的工作条件。
• 建立和忘记:不像台式电脑,它可能是几个月或几年前有人看着一个物理设备。它可以操作略微覆盖着灰尘和接近失败。全漏洞扫描的附加载荷可以使它达到过载。

由于退化和/或中断的风险,在OT环境中常见的做法是避免使用主动扫描方法与设备。相反,被动监测使用,因为被动监测不与敏感设备,设备不受到它的影响。

/不收敛性是导致许多基于IT系统部署在OT的环境。这些基于it系统可能运行Windows电脑人机界面(HMI), SCADA监控和历史学家的应用程序。此外,这些系统越来越网络化的供应链管理和调度应用程序可能包括数据库和虚拟基础设施,这可能驻留在云中。

通常,这些基于it系统与主动扫描,因为主动发现和评估扫描可以提供更深了解安装软件(以及相关的漏洞),用户帐户、配置和恶意软件。

潜在的问题

敏感不理想的情况下,将逻辑上分开基于it OT系统,如Windows电脑。然而,在现实中,这种分割可能不存在。潜在的问题是,如果现有OT设备的IP地址更改或添加一个新的OT设备,设备是不省略主动扫描,扫描可能会导致停机。

解决方案:ICS / SCADA智能扫描

ICS / SCADA智能扫描是一个新的属性,可以应用于许多现有扫描模板。现有扫描参数(如IP范围扫描/不扫描,港口、时间表和其他设置)不需要修改。

当“扫描操作技术设备”框检查,全面扫描设备执行。当它不检查,ICS / SCADA智能扫描生效。

ICS / SCADA智能扫描谨慎识别OT设备和停止扫描他们一旦发现。它是如何工作的:

1. 智能扫描ping IP地址来确定设备是否使用这个地址。
2. 智能扫描探针对开放运行已知端口/协议。最初支持的协议是:
   • 西门子S7
   • 网络通讯协议
   • BACnet
   • 欧姆龙的鳍
   • 以太网CIP
   • 7 t igs
   • 组成COTP
     注意:ICS / SCADA智能扫描降低了插件与设备90%。这消除了插件,把设备上的最大负载,包括HTTP和SSH测试。
3. 当一个不确定端口/协议,Nessus^®将报告被确认是开放的端口和OT协议。许多协议包括信息或查询命令来获取关于该设备的基本信息。如果这是发现支持的协议,额外的信息,通常包括设备类型,将被记录下来。
4. 扫描停止设备。109142结果显示插件OT设备当一个OT协议识别和正常的扫描设备在不启用。
5. 用户可以使用插件109142年列出的设备将设备添加到“不要扫描”列表。

警告

站得住脚的不能保证ICS / SCADA智能扫描不会导致问题。因此,它应该只用于测试后与每个设备类型在实验室环境和已知时不与保修和服务协议冲突。