Az ipari (OT) környezetek biztonsági felügyelete komoly kihívás. A régi hálózati infrastruktúrák gyakran nem ideálisak biztonsági szempontból, különösen, ha hálózati láthatóságról van szó. Sok szervezet még ma is a SPAN/porttükrözésre támaszkodik: a switch egy kijelölt portjáról másolat készül a forgalomról, és ezt egy behatolásészlelési rendszer (IDS) elemzi. A gyakorlatban azonban a SPAN-portok sokszor nem elérhetők a biztonsági csapat számára, illetve előfordulhat, hogy nem megbízhatóan gyűjtik vagy továbbítják a csomagokat, és ez rontja a fenyegetésfelderítés minőségét.

A legjobb alternatíva ipari IDS-ek kiszolgálására a hálózati TAP beépítése. A TAP két hálózati eszköz közé illesztett hardver, amely a forgalom pontos és teljes másolatát adja a monitorozó rendszerek felé.

TAP vs. SPAN:

• 100% megbízhatóság: a TAP teljes csomagmásolatot továbbít az IDS felé, nem ejt el csomagokat, még a hibás csomagokat is átadja elemzésre.
• Magas biztonság: nincs IP/MAC-cím, ezért a TAP önmagában nem támadható.
• Költséghatékony, skálázható: nincs konfigurációs teher, minimális a karbantartási igény. A meghibásodások közt átlagosan eltelt idő (MTBF) hosszú, és a csomagregenerálás/aggregálás révén más eszközök kihasználtsága is optimalizálható.
• Többfunkciós TAP üzemmódok ugyanazon eszközben: Breakout, Aggregation, Regeneration, Filtering.
• Beépített failsafe: a passzív optikai TAP áram nélkül is átengedi a forgalmat, míg az aktív, táppal működő TAP-ek „fail open” üzemmódja áramszünet esetén is fenntartja a kapcsolatot a két hálózati eszköz között.

Gyakori tévhitek a TAP-ekről

Tévhit: a TAP-ek sebezhetők a szoftveres sérülékenységek miatt.

Az állítással szemben egy TAP nem elérhető IP/MAC alapján, így a külső támadó nem képes célba venni. A hálózati eszközök persze támadhatók, de maga a TAP tőlük függetlenül működik, és a támadási próbálkozás csomagszintű nyomát is továbbítja az elemző eszközöknek.

Tévhit: a TAP-nek nincs megfelelő minősítése/akkreditációja.

Az állítással szemben a bűnüldözési szabványokat meghatározó CALEA (Commission on Accreditation for Law Enforcement Agencies) elismeri a TAP-eket mint megbízható, nyomozati szintű (adat + időbélyeg) rögzítési forrást. A csak egyirányú adatfolyamot megkövetelő esetekben az optikai adatdiódás TAP bizonyíthatóan egy irányba engedi csak a forgalmat a monitorport(ok) felé, megőrizve a láthatóságot, miközben kizárja a visszairányú „backdoor” kockázatokat.

Tévhit: a TAP csupán szűkkörű megoldás az OT-infrastruktúrák problémáira.

Az állítással szemben a TAP a teljes hálózati védelem preventív eleme lehet. Segíti az IPS, a tűzfalak, a WAF-ok megfelelő teljesítményét, miközben megszünteti az egyetlen hibapontot (SPOF), és megbízható adatokat szolgáltat a SIEM/NDR rendszereknek, csökkentve a „vakfoltokat”.

Tévhit: rengeteg TAP kell a megfelelő lefedettséghez.
Az állítással szemben az aggregáló TAP-ek több link forgalmát képesek egy feedbe összefogni, így a monitorozó eszközök jobban kihasználhatók, és több „out-of-band” módon bekötött eszköz kap pontos csomagmásolatot – vagyis kevesebb beruházással is többet lehet elérni.

Szeretné bevezetni a hálózati TAP-eket ipari környezetben? Kérjen tőlünk rövid, kötelezettségmentes konzultációt vagy demót! Segítünk a megfelelő topológia és eszköztípus kiválasztásában, hogy az OT-hálózata átlátható, auditálható és támadásbiztos legyen.

Forrás

Busting Myths About Network TAPs

Kapcsolódó tartalom

Garland Technology képzések a RelNet eLearning programban