根据卡巴斯基实验室题为 “2017 年上半年工业自动化系统威胁情况” 报告,2017年上半年,遭受攻击的工业控制系统计算机中,来自制造业的占三分之一,在所有行业中排第一,中国工业系统遭受攻击的比例(57.1%)有所增加,在所有国家中位列第五位。
你以为支持了灵活的组织机构、管理了规模空前的网络、简化了运维就能实现工厂智能化?
还缺少关键一环——保护网络安全!
制造商面临的威胁状况演变图
事实上,对网络安全的担忧已经成为企业推进数字化转型的掣肘。抵御网络攻击的一个难点在于近半数的网络攻击隐藏在加密流量中,并且这一比例还在持续增长。目前,大多数组织都不具有可检测到加密流量中恶意内容的解决方案。如果采用批量解密、分析和重加密的传统威胁检测手段,即要消耗大量资源,又严重影响性能,所以也不可行。
思科推荐 |“深度防御”策略
为了在新的威胁格局下安全地运营,制造商需要实施新策略和架构。通过防火墙和访问管理 “防护网络边缘” 与强有力的 OT 分段策略一样必要,两者在现今的 ICS 网络中均普遍缺乏。
不过,这只是现今脆弱工业环境下安全解决方案的一部分,因为在这样的环境中,威胁可能自工厂内和工厂外而生,可能因无意的人为错误所致。实际上,当今的制造商还需要整合多层独立安全控制(物理控制、程序控制和电子控制)的 “深度防御” 策略。在当今融合 IT 和 OT 网络、云计算、移动性和 IoT 平台盛行的时代,整体数据安全保护方法必不可少。
整体策咯 | 思科安全解决方案
思科全数字化网络架构 (DNA) 解决以上挑战的办法是部署包括 Stealthwatch 系统和身份服务引擎 (Identity Services Engine,ISE)的网络安全解决方案。
- 思科 Stealthwatch 系统的加密流量分析(Encrypted Traffic Analytics)功能解决了 此前被认为无法解决的网络安全挑战——它可以接收来自交换机和路由器的 Cisco IOS? NetFlow 数据,再使用思科 Talos 团队提供的网络情报以及机器流量模式,在无需解密流量的情况下发现加密数据中的威胁。
- 思科身份服务引擎 (ISE)可收集所有试图访问网络的用户和设备的身份信息。Stealthwatch 一旦在加密数据流中发现异常行为,便会利用 ISE 隔离可疑的设备,从而避免损失扩大,为补救措施争取时间。
思科能够实现对加密流量进行准确性高达 99%的威胁检测,同时实现低于 0.01% 的误报率。因此,思科新一代网络将在可靠保护隐私的同时为企业带来更高安全性!
实践分享 | 农夫山泉有点甜
为了应对越来越多的网络威胁,农夫山泉部署了思科 Firepower 防护墙和身份服务引擎(ISE)保护自己的网络。
案例详情:https://mp.weixin.qq.com/s?__biz=MjM5NjY2NDgwMQ==&mid=2649800142&idx=1&sn=d83951bf2544d6fc1115755d2bde2514&chksm=bee1d94089965056abf993ef894267534cbf0f4b7b6bd19a892c379ac1969edb62e506e4b5a5&scene=21#wechat_redirect
案例详情:https://mp.weixin.qq.com/s?__biz=MjM5NjY2NDgwMQ==&mid=2649800142&idx=1&sn=d83951bf2544d6fc1115755d2bde2514&chksm=bee1d94089965056abf993ef894267534cbf0f4b7b6bd19a892c379ac1969edb62e506e4b5a5&scene=21#wechat_redirect
