网络化物理系统（CPS）中网络分段的 5 个步骤

保护关键基础设施和系统

网络分段，可让网络化物理系统（Cyber Physical Systems, CPS）网络抵御不断演变的攻击

制造业和其他关键基础设施领域正蓬勃发展，自动化和互联互通成为热门话题。各企业纷纷推进数字化转型，以提高效率，但也面临一个严峻的挑战：如何保护那些原本设计为离线运行、现已连接的系统？

负责保护 CPS 的 IT 或 OT 安全团队成员，每天面对日益扩张、有针对性的威胁活动，他们发现：现有的 IT 解决方案在保护 CPS 方面存在不足。系统设计有其独特性，比如特殊的架构、专有协议，以及环境和运营上的限制。这些特性导致传统的 IT 安全工具无法很好地适配这些系统，功能受限，效果不佳。

安全分析师和工程师在日常工作中经常遇到技术不匹配的问题。他们尝试对现有 IT 工具进行逆向工程，以使其能够在特殊的环境中运行，比如 Air Gap 环境、或者高延迟和地理位置分散的网络。

为什么保护 CPS 网络需要不一样的方法？

旧系统

工业 CPS 环境与 IT 环境不同，IT 环境的系统每隔几年就会更新一次，而工业 CPS 环境充满了生命周期长达数十年的旧式设备、旧系统。这些环境中的旧工业控制系统（Industrial Control Systems, ICS）大多在设计时未考虑任何安全概念。当时，尚未设想联网问题。这些系统缺乏支持网络分段或接受新安全控制的所需功能。

与 IT 系统集成

如今，IT 和 OT 网络需要交换数据和信息。若要在分段的 OT 网络与 IT 基础设施之间进行特定通信，就需要企业内部历来各自为政的不同部门进行协作。就像 IT 和 OT 之间的技术差距一样，人力和流程上的差距也可能导致疏忽、增加复杂性、重复工作、运营成本上升、安全风险。

分段策略容易出错

在工业环境中实施有效的网络分段策略并非易事。资产可视化不足、复杂的架构、众多专有协议，使得这一过程容易出错且成本高昂。此外，这通常需要大量手动操作，对架构师和工程师来说成本高、耗时长，还容易因无意的人为错误导致疏忽、误解和失误。

合规性执行不一致

关键基础设施企业需要遵守许多复杂的、行业或地区特定的法规和标准。要监控并确保符合这些法规，通常要制定精细的、经过适当调整的策略。而许多企业缺乏这些策略。这可能导致网络分段不理想，虽然表面上满足了合规的最低要求，但执行不一致，实际上并没有改善网络安全态势。

不安全的远程访问普遍存在

所有工业环境都依赖远程访问，让内部和第三方人员能够维护资产。但常见的 IT 实践存在风险，效率低下。远程访问需要严格的安全管理，否则会削弱网络分段的效果，甚至让原本就缺乏分段的网络变得更易受攻击。

这对安全团队意味着什么？

虽然许多网络安全专业人员对 IT 环境非常熟悉，制定安全策略得心应手，但在 CPS 环境中，他们的经验和工具并不完全适用。IT 安全分析师和 OT 安全工程师利用所能获取的、有限的信息，尽可能制定最佳的网络分段策略，以保护关键基础设施，但他们在工作中仍面临许多困难：

缺乏深入的资产信息，无法确定哪些现有通信是正常的、必要的；

设计和实施的策略可能无法有效保护网络，甚至可能因错误阻止通信，导致网络中断；

由于设备之间的依赖关系未知。如果设备出现故障，则需要面对复杂的恢复步骤。

专门为 CPS 设计的网络保护，如何帮助安全团队更有效地工作？

当 IT 和 OT 安全分析师及工程师全面了解其网络中的资产、以及内部和外部通信方式时，他们就能更轻松地开展工作。弥补可视化差距会带来显著的改善，使合理的网络分段基于准确的信息，而非直觉或经验猜测。

除了可视化，CPS 保护平台基于策略的方法，可提供关于允许和禁止通信的明智建议，并具备适应环境变化的能力，同时深入了解 CPS 网络的复杂性，以提供更高效的安全防护。基于策略的方法包括：策略决策点（Policy Decision Points, PDP）、策略执行点（Policy Enforcement Points, PEP）。

如何利用 CPS 保护平台做出明智的网络保护决策，并降低企业风险。

1. 从可视化开始

网络保护的第一步：获得网络上所有设备的完整可视化。

在 CPS 中，可视化已成为被动发现（Passive Discovery）技术的代名词。长期以来，这是唯一的选择。尽管它对于了解网络流量和通信模式仍然必不可少，但这种基于硬件的数据包嗅探方法带来了资源挑战，需要投入时间和金钱。

尽管需要被动发现来实现网络保护目标，但从非被动技术开始仍有其价值。部署安全查询（Safe Query）可执行文件、或利用现有集成，获取环境中详细的资产信息，可以在数小时内而不是数月内提供可视化的基础，无需硬件部署，无需停机。

Claroty 的一家食品与饮料行业客户，在全球范围内运营数据中心。他们的网络分段始于结合使用多种发现方法，包括：被动发现、非被动发现。动态发现（Dynamic Discovery）为他们提供了详细的资产信息，并确定了适合的中央交换机（Central Switches），在这些交换机上，被动监察（Passive Monitoring）可以丰富数据，从而最大限度地降低风险。

为了实现网络保护，这种快速的可视化，可帮助企业确定在哪个物理位置部署被动深度包检测（Deep Packet Inspection, DPI）技术。根据特定需求和架构定制可视化，加快价值实现速度，即使在部署被动发现硬件的情况下也是如此。

DPI 与 Claroty 支持最全面的 CPS 协议相结合，提供分析设备通信所需的详细信息，并为用户提供网络通信模式的可视化视图。

DPI 和主动查询（ACTIVE QUERIES）可以提供设备位置、关系和通信的上下文，用于创建网络图（NETWORK GRAPH）

2. 建立安全区域

为系统内需要隔离的资产定义安全区域。

了解系统中存在的所有资产及其物理位置后，下一步就是建立安全区域。通过划分或隔离网络，限制横向移动，减少攻击面，为关键资产提供多层保护。

Claroty 的客户常用以下几种方法，对资产进行分类以定义分割区域：

按网络架构

按地理位置

按安全敏感度或风险容忍度

按访问敏感度

Claroty 还会根据您的网络拓扑结构，提供推荐的安全区域。您还可以利用现有基础设施内的技术来实现分段，包括：

防火墙：适用于精确控制网段之间、以及与外部通信之间的网络流量。它们专注于流量管理，旨在防止横向移动。

VLAN（虚拟局域网）：根据角色、功能或安全级别进行逻辑分段。当环境中某些部分物理分离时，通常更容易部署。

NAC（网络访问控制）：提供对连接到网络的设备的动态和自动化控制。它们适用于持续的设备合规性检查，专为具有多种设备类型的环境设计。

在获得设备及其网络通信的可视化后，Claroty 的食品与饮料行业客户发现：基于资产类型的区域划分是最适合的分段方式。他们使用了 Claroty 推荐的区域来建立最能定义每个资产组的设备条件。

Claroty 的推荐区域（CLAROTY'S RECOMMENDED ZONES）为资产分组提供了明智的选项，并在团队推动 CPS 安全进程时，提供更多洞察

3. 模拟通信以监察行为

创建区域之间的通信策略，并监察设备行为。

建立安全区域后，安全团队可以观察区域之间的正常通信行为。随后创建一个基准，以此为基础制定相关策略。

为每台设备单独创建策略，是不切实际的。但针对设备类型或设备组创建策略，可以使分段既有效又可扩展。

有助于理解设备之间交互的通信映射类型，包括：

图形设备通信（Graph Device Communications）：可视化展示网络中的所有站点、设备类型、区域和设备之间的连接和通信方式。

可视化设备通信（Visualize Device Communications）：以列表或矩阵的形式查看设备如何通信，包括协议和通信类型。

这种细粒度的映射，让管理员能够清晰地识别通信流、评估风险，并设计适合其网络拓扑结构的有效分段策略。您可能会发现某个设备允许了不应有的外部通信，或者发现某个工程工作站（Engineering Workstation, EWS）与楼宇管理系统（Building Management System, BMS）频繁通信，又或者发现某个 PLC 正在与 SCADA 服务器进行不正常的通信。

创建安全区域后，Claroty 的食品与饮料行业客户就开始监察区域之间的通信，以制定策略。对于客户的团队来说，这是一个激动人心的时刻，因为他们获得的所有情报和分析得到了应用。使用 Claroty 推荐的策略，大大减少了手动工作和多余的猜测，例如，设置机械臂如何与 PLC 通信、任何 EWS 是否可以与互联网通信、以及控制器可以通过哪些端口接收输入。

网络图中的详细通信信息，可帮助安全团队识别异常，并了解 CPS 环境中的正常情况

通信策略的技巧

您不仅要防止恶意活动破坏关键系统，还必须确保安全策略不会破坏这些系统。

网络策略的设计必须避免对系统功能产生负面影响。在实施策略之前，务必在非生产环境中测试策略，以确定任何未预见的后果。

Claroty 根据每个资产组的通信基准，自动推荐专家定义的策略，最大限度地减少这种不确定性。您可以随后测试、监察并进一步完善这些策略，然后再实施。那么，您可以确保您的 OT 网络策略充分考虑了环境的独特要求和潜在限制，能够自信地实施网络分段，而不会带来额外的风险。

区域矩阵（ZONE MATRIX）支持团队评估已应用策略的有效性，可直接修改应用于区域对（ZONE PAIRS）的策略

4. 偏差警报

针对偏离预期行为的异常情况，发出警报，并随时间调整策略。

策略实施后，必须对其进行监察，以确保行为持续符合预期。也许每个月都会发生一次网络流量事件，在测试期间并未发生。虽然是细微偏差，但也需要调整策略，以确保系统性能持续符合预期。

在观察和调查偏离正常通信行为的报警时，您可能会遇到需要复杂策略的情况。这些网络策略会使用通信条件（例如，协议或端口）来制定“if，then”类型的决策。例如，如果通信设备通过端口 37020 使用 OPAD，则允许 IoT 服务器和 BMS 之间的通信。

自定义策略有助于满足每个企业和环境的独特需求，适当降低风险，不影响生产

接收实时警报，让安全团队能够在实施的早期阶段测试策略的执行情况。同时，也便于调查和修复任何入侵或攻击的迹象。

这些警报是网络中心风险降低计划中 PDP 重要的一部分。当某事或某人改变了预期的设备通信行为时，会发出警告信号。许多威胁向量，包括：横向移动、恶意软件、中间人（man-in-the-middle, MitM）攻击、漏洞利用链，都可能导致设备通信发生变化。

警报（ALERTS）使团队能够在策略执行之前进行测试，并进行微调，以实现限制与生产持续运行之间的最佳平衡

在测试其既定策略时，Claroty 的食品与饮料行业客户发现了两个重要问题。首先，他们有一类交换机暴露在互联网上，这显著增加了攻击面和影响整体风险评分。其次，他们最重要的生产线上的一台 Rockwell HMI在端口 3389 上接收流量。根据他们最初的策略，拒绝与该端口进行通信，但该 HMI需要从特定服务器接收数据，因此他们对策略进行了定制，以更好地适应其环境。

5. 执行策略

与 NAC 或防火墙集成，以执行网络通信策略。

正如上述，基于策略的网络保护方法需要 PDP 和 PEP。我们已经通过警报测试，初步完善了策略，终于到了执行策略的阶段。

PEP 接受 PDP 的决策，并严格执行。PEP 包括 NAC、防火墙和 VLAN，它们会根据您创建的策略，允许或阻止设备通信。

集成 PDP 和 PEP，有助于简化这一流程，使策略能够应用于 NAC 或防火墙。这种集成还使策略能够根据执行点的反馈进行动态优化。

Gartner 认为：“PDP 和 PEP 都是构建基本零信任架构的基础。”PDP 会根据已定义的策略，评估访问请求；并根据上下文信息做出授权决策。PDP 相当于整个操作的“大脑”，指导 PEP 行动。

Claroty 的食品与饮料行业客户，其团队已准备好将经过测试的策略添加到其 Palo Alto 防火墙中，以开始控制其分段网络中的流量。执行策略后，他们继续在 xDome中监察偏差警报（Deviation Alerts），将其作为威胁的早期预警系统，并识别设备变更带来的意外后果。此后，他们成功阻止了一次针对性勒索软件攻击的早期迹象，通过识别横向移动企图，避免了企业遭受重大财务和声誉损失。

Gartner于2023年12月15日发布的《预测2024年：零信任走向成熟（PREDICTS 2024: ZERO TRUST JOURNEY TO MATURITY）》

Claroty 深知 PDP 的重要性，提供根据您的 NAC 或防火墙预先编写的策略，同时提供可以直接推送到防火墙的区域，以进一步简化此工作流程。

总结

网络分段可消除各类风险。

然而，这并非易事。需要投入时间和精力才能做好，而且风险影响巨大。Claroty 发现：在所有修复措施中，网络分段最能降低风险，比修复数百台设备上的 CVE 的效果高出 12 倍。

网络保护控制措施，可显著降低拥有 CPS 的企业所面临的风险

与提供 CPS 保护平台的供应商合作，为您提供网络和设备通信的可视化、上下文信息、分析，能够实施有效的、以网络为中心的风险降低策略。Claroty 获评 2025 年 Gartner® CPS 保护平台魔力象限™ 领导者，可保障 CPS 安全。

关于 Claroty

Claroty 凭借无与伦比的、以工业为主的平台，重新定义了网络化物理系统（Cyber Physical Systems, CPS）防护。Claroty 平台旨在保护关键任务型基础设施，提供市场上最深入的资产可视化、最广泛的 CPS 安全解决方案，涵盖了风险管理、网络保护、安全访问、威胁检测，可以在云端使用 Claroty xDome，也可以在本地部署 Claroty CTD。Claroty 平台以屡获殊荣的威胁研究和技术联盟为后盾，让企业有效地降低 CPS 风险，以最快的时间实现价值并降低总拥有成本。在全球范围内，已有数百家企业在数千个站点部署了 Claroty。

本文来源：Claroty 白皮书 《 5 Steps for Network Segmentation in Cyber-Physical Systems 》

审核编辑 黄宇