41
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Cisco IoT Security David Li
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco IoT Security
David Li
并不是所有的问题都来自异常
IoT安全攻击面
IOT 设备及控制系统的漏洞
IoT安全攻击面
通过恶意软件获取网络控制权
IoT安全攻击面
IOT网络的控制系统被用于攻击,网络入侵和勒索
IoT安全攻击面
自动化供应商仍在已经停止支持的Windows平台上发布更新
从2009年到2015年,工业系统中发现的漏洞增加了2400%
2015年秋季之前,几乎所有的基于以太网的OT协议缺乏认证机制
然而,三年前制造业的以太网增长了96%
IoT安全攻击面
IT 和 OT 覆盖范围
IT
• 保护IT资产机密性• 完整性,可用性• 数据,语音,视频• 网络身份验证• 威胁检测
OT
• 运营正常运行/安全• 高可用性• 诚信,保密• 控制协议/动作• 物理访问• 过程异常
安全 IT/OT 覆盖
IT与OT之间的不同需求
• 安全风险评估• 跨IT / OT的资产可见性• 分段访问控制• 不断发展的安全法规• 远程访问
IoT 威胁防御保护物联网环境, 减少停机时
间业务中断
思科IoT威胁防御
思科IoT威胁防御方案提供:
可视与分析
物联网设备的潜在危险行为
专业安全服务评估和基准风险,管理OT环境并执行事件响应
分割及接入控制同时IT 和OT 环境
安全远程接入进入OT 网络
• 风险评估和基线
• 部署服务
• 事件响应
• 解决方案支持
• 安全连接进入/退出OT环境
• 远程连接/设备的访问控制
• 对远程活动的可见性
• 分割IT和OT环境
• 在IT网络中划分OT设备
• 隔离危险设备
• 标识用户和设备
• 用户,设备,数据和流量的可见性
• 评估威胁的威胁分析可视与分
析
分割及安
全接入
IOT安
全服务
远程安全
接入
思科IoT威胁防御解决方案
降低OT 风险能力图
远程工程师配置设备
防病毒, DNS,VPN
网络分段流量分析 威胁情报 入侵检测 防火墙 VPN 汇聚 接入控制
设备识别
IOT警报和遥测
流量分析 威胁情报 入侵检测 防火墙网络分段接入控制
Talos 威胁情报
ISE 隔离感染的IOT设备
NGFW 隔离IT 与 OT 环境
ISE 标识并分类IOT设备
思科 IOT 威胁防御架构
MaliciousInfrastructur
e
零日攻击及感染NGFW 阻挡DMZ发生的向内和向外的连接
Stealthwatch学习流量基线,发现并记录异常行为
蠕虫/攻击传播
威胁分析& 发送隔离被感染IOT设备请求至ISE、
Umbrella和NGFW 阻止 C2 回拨
交换机执行隔离
安全的远程VPN接入到OT 环境
FIN HR
VEN
C2 回拨
保护: FirePower 下一代防火墙
Cisco FirePOWER™
ISA 3000)(Ot场景)Cisco Firepower Threat
Defense on ASA 5500-XCisco Firepower™ 4100, 2100, 9300 系列
及高端硬件…
亦可作为标准方案
Dedicated
AMPNGIPS
only
物理, 虚拟, 云
• AWS
• Azure
Industrial Security Appliance 3000 概览
传输制造 能源
状态检测工业防火墙
工业协议支持(DNP3, Modbus, IEC 60870, CIP)可视及漏洞防御规则
针对ICS, Windows, MES 组件, OT 应用, NW
infrastructure进行漏洞保护
高性能 VPN, DNS, DHCP, NAT
支持硬件逃生, alarm I/O, 双Dc电源, SD卡快速设置, 硬件支持PTP
工业协议分析, 协议控制滥用, 检测set-point 层面变化
Certified for power substations, industrial, and railway
and helps meet NERC-CIP, ISA99, IEC 62443
冗余及时延控制
Identity
Services
Engine
Who
What
When
Vulnerability
Threat
Compliance
How
Where
基于情景的分割控制
工业网络的可视& 分割
Bob
Rockwell PLC
11:00 AM EST on April 10th
Extrusion, Zone-2, Cell-1
Wired Access
Yes
None
CVSS score of 6
pxGrid
Industrial
Network
Director
Discover Industrial
Assets using CIP,
PROFINET, Modbus,
BACNet Protocols
Visualize connectivity
between automation and
networking assets
安全始于可视
IND 通过PxGrid共享工业网设备信息给ISE
… ISE基于设备信息针对不同情景进行网络分割及接入控制
1. 识别标识所有接入工业网络的IOT设备,建立策略对互访进行限制
2. 分段隔离不同系统的IOT设备,测试分割效果
3. 尽可能对设备接入进行认证 (设备, 远程接入, 企业内)
4. 监控IoT网络通讯,标识正常流量
5. 标识IoT设备的归属管理责权– 问题责任人
IoT设备集成最佳实践
