Активное сетевое сканирование в среде OT

Активное сетевое сканирование в среде OT

Активное сетевое сканирование в среде OT

  • 12.11.2019
  • #статьи
Периодическое активное сканирование сети, как правило, необходимо для поддержания точной картины сети, поскольку значительная информация доступна только по запросу и в противном случае никогда не будет присутствовать в обычном трафике.

Причиной пассивного анализа трафика является то, что многие устройства промышленных систем управления (ICS) действительно были спроектированы так, чтобы функционировать только так, как ожидалось, и часто не тестировались на поддержание функции при получении трафика, отличного от проектного. Например, я видел, как контроллеры RFID и модули Anybus блокировались, просто получая пакеты, которые их смущали.

Активное сетевое сканирование может предоставить гораздо больше информации, чем пассивное сканирование, и может быть невероятно ценным инструментом в любой промышленной среде. Однако, как я отмечал в предыдущем сообщении в блоге, устройства в промышленной среде, включая VFD, ПЛК, блоки ввода-вывода, приводы и датчики, могут быть более чувствительными, чем устройства в офисной среде.

Стандартные методы ИТ для сканирования сети не могут быть использованы в промышленной среде без планирования и продуманной работы.

Меры предосторожности должны быть приняты; Например, сканирование должно выполняться деликатно, а машины не работают из-за того, что добавленный трафик может привести к задержкам и другим проблемам. Да, некоторые машины могут нормально работать во время активного сканирования, но для этого требуется дополнительное исследование.

Операторы могут получить все преимущества активного сканирования, не беспокоясь о своей сети, включив надлежащее упреждающее, ответственное и компетентное планирование перед выполнением активного сканирования. 

Пример: активное сканирование сети достигается через партнерство

Компанию Belden привлекли для активного сканирования сети, управляемой крупным производителем автомобилей. 

Они точно знали, чего хотят - активное сканирование сети, которое быстро и эффективно проникло бы в их сеть, чтобы идентифицировать каждое устройство и предоставить чрезвычайно подробную информацию. Их целью было получение подробных данных обо всех своих системах, а также тщательный анализ и рекомендации.

Belden запланировали сканирование на период, когда линия была отключена для планового обслуживания. Сканирование было разработано так, чтобы оно выполнялось медленно, аккуратно по всей сети.

Ожидалось, что воздействие на сеть будет эквивалентно легкому бризу. Тем не менее, вскоре было сообщено, что VFD сработал. 

Как оказалось, источником была существующая скрытая уязвимость в VFD, которая могла быть вызвана множеством разрушительных ситуаций, включая широковещательный шторм или серию искаженных пакетов. Было невероятно повезло, что он был запущен безвредно в этих обстоятельствах - если бы он был запущен, когда линия была запущена, это могло быть серьезной проблемой, потенциально останавливая производство.

Анализ подтвердил для клиента, откуда возникла проблема, и они обратились к производителю VFD. К их чести, производитель был благодарен за знание и согласился, что то, что произошло во время нашей деятельности по сканированию, не должно было произойти. Они тестировали VFD в своих лабораториях и решали проблемы, проактивно исправляя другие проблемы надежности с помощью модификаций и прошивок.

Конечный результат - лучший продукт и более надежная работа для всех.

Чтобы ты делал?

Активное сетевое сканирование все еще имеет плохую репутацию из-за ситуаций, когда ИТ-специалисты применяли методы активного мониторинга, распространенные в офисной среде, без адаптации к чувствительному характеру среды OT, вызывая нежелательные взаимодействия устройств.

Поскольку эта репутация все еще сохраняется, для оператора автомобильной сети вполне естественно было предположить, что при срабатывании VFD это было результатом плохо выполненного активного сканирования. К счастью, они были вовлечены и осведомлены об очень осторожных мерах предосторожности, принятых, чтобы смягчить любые потенциальные негативные воздействия, получая при этом все преимущества активного сканирования сети.

С открытыми глазами они исследовали ситуацию и точно определили источник проблемы. И это был первый шаг к решению проблемы и предотвращению ее повторения. Также нужно отдать должное производителю дисков, который воспользовался возможностью, чтобы исправить ситуацию и улучшить качество продукции. Правда в том, что это могла быть история, где все были злы и указывали пальцем. Но вместо этого это было партнерство, в котором все смотрели в правильном направлении и в конечном итоге выиграли от ситуации.

Если бы это произошло на вашем предприятии, что бы вы сделали? Вы бы сделали поспешные выводы или исследовали ситуацию? 



закрыть

Обратная связь

Если у Вас остались какие то вопросы, то мы в скором времени свяжемся с Вами.

Авторизация
Пожалуйста, авторизуйтесь:
Логин:
Пароль:

Забыли свой пароль?

Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов: