Download - Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,
![Page 1: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/1.jpg)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco IoT Security
David Li
![Page 2: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/2.jpg)
并不是所有的问题都来自异常
IoT安全攻击面
![Page 3: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/3.jpg)
IOT 设备及控制系统的漏洞
IoT安全攻击面
![Page 4: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/4.jpg)
通过恶意软件获取网络控制权
IoT安全攻击面
![Page 5: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/5.jpg)
IOT网络的控制系统被用于攻击,网络入侵和勒索
IoT安全攻击面
![Page 6: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/6.jpg)
自动化供应商仍在已经停止支持的Windows平台上发布更新
从2009年到2015年,工业系统中发现的漏洞增加了2400%
2015年秋季之前,几乎所有的基于以太网的OT协议缺乏认证机制
然而,三年前制造业的以太网增长了96%
IoT安全攻击面
![Page 7: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/7.jpg)
IT 和 OT 覆盖范围
IT
• 保护IT资产机密性• 完整性,可用性• 数据,语音,视频• 网络身份验证• 威胁检测
OT
• 运营正常运行/安全• 高可用性• 诚信,保密• 控制协议/动作• 物理访问• 过程异常
安全 IT/OT 覆盖
IT与OT之间的不同需求
• 安全风险评估• 跨IT / OT的资产可见性• 分段访问控制• 不断发展的安全法规• 远程访问
![Page 8: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/8.jpg)
IoT 威胁防御保护物联网环境, 减少停机时
间业务中断
思科IoT威胁防御
思科IoT威胁防御方案提供:
可视与分析
物联网设备的潜在危险行为
专业安全服务评估和基准风险,管理OT环境并执行事件响应
分割及接入控制同时IT 和OT 环境
安全远程接入进入OT 网络
![Page 9: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/9.jpg)
• 风险评估和基线
• 部署服务
• 事件响应
• 解决方案支持
• 安全连接进入/退出OT环境
• 远程连接/设备的访问控制
• 对远程活动的可见性
• 分割IT和OT环境
• 在IT网络中划分OT设备
• 隔离危险设备
• 标识用户和设备
• 用户,设备,数据和流量的可见性
• 评估威胁的威胁分析可视与分
析
分割及安
全接入
IOT安
全服务
远程安全
接入
思科IoT威胁防御解决方案
![Page 10: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/10.jpg)
降低OT 风险能力图
远程工程师配置设备
防病毒, DNS,VPN
网络分段流量分析 威胁情报 入侵检测 防火墙 VPN 汇聚 接入控制
设备识别
IOT警报和遥测
流量分析 威胁情报 入侵检测 防火墙网络分段接入控制
![Page 11: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/11.jpg)
Talos 威胁情报
ISE 隔离感染的IOT设备
NGFW 隔离IT 与 OT 环境
ISE 标识并分类IOT设备
思科 IOT 威胁防御架构
MaliciousInfrastructur
e
零日攻击及感染NGFW 阻挡DMZ发生的向内和向外的连接
Stealthwatch学习流量基线,发现并记录异常行为
蠕虫/攻击传播
威胁分析& 发送隔离被感染IOT设备请求至ISE、
Umbrella和NGFW 阻止 C2 回拨
交换机执行隔离
安全的远程VPN接入到OT 环境
FIN HR
VEN
C2 回拨
![Page 12: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/12.jpg)
保护: FirePower 下一代防火墙
Cisco FirePOWER™
ISA 3000)(Ot场景)Cisco Firepower Threat
Defense on ASA 5500-XCisco Firepower™ 4100, 2100, 9300 系列
及高端硬件…
亦可作为标准方案
Dedicated
AMPNGIPS
only
物理, 虚拟, 云
• AWS
• Azure
![Page 13: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/13.jpg)
Industrial Security Appliance 3000 概览
传输制造 能源
状态检测工业防火墙
工业协议支持(DNP3, Modbus, IEC 60870, CIP)可视及漏洞防御规则
针对ICS, Windows, MES 组件, OT 应用, NW
infrastructure进行漏洞保护
高性能 VPN, DNS, DHCP, NAT
支持硬件逃生, alarm I/O, 双Dc电源, SD卡快速设置, 硬件支持PTP
工业协议分析, 协议控制滥用, 检测set-point 层面变化
Certified for power substations, industrial, and railway
and helps meet NERC-CIP, ISA99, IEC 62443
冗余及时延控制
![Page 14: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/14.jpg)
Identity
Services
Engine
Who
What
When
Vulnerability
Threat
Compliance
How
Where
基于情景的分割控制
工业网络的可视& 分割
Bob
Rockwell PLC
11:00 AM EST on April 10th
Extrusion, Zone-2, Cell-1
Wired Access
Yes
None
CVSS score of 6
pxGrid
Industrial
Network
Director
Discover Industrial
Assets using CIP,
PROFINET, Modbus,
BACNet Protocols
Visualize connectivity
between automation and
networking assets
安全始于可视
IND 通过PxGrid共享工业网设备信息给ISE
… ISE基于设备信息针对不同情景进行网络分割及接入控制
![Page 15: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/15.jpg)
![Page 16: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/16.jpg)
![Page 17: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/17.jpg)
![Page 18: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/18.jpg)
![Page 19: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/19.jpg)
![Page 20: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/20.jpg)
![Page 21: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/21.jpg)
![Page 22: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/22.jpg)
![Page 23: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/23.jpg)
![Page 24: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/24.jpg)
![Page 25: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/25.jpg)
![Page 26: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/26.jpg)
![Page 27: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/27.jpg)
![Page 28: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/28.jpg)
![Page 29: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/29.jpg)
![Page 30: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/30.jpg)
![Page 31: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/31.jpg)
![Page 32: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/32.jpg)
![Page 33: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/33.jpg)
![Page 34: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/34.jpg)
![Page 35: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/35.jpg)
![Page 36: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/36.jpg)
![Page 37: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/37.jpg)
![Page 38: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/38.jpg)
![Page 39: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/39.jpg)
![Page 40: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/40.jpg)
1. 识别标识所有接入工业网络的IOT设备,建立策略对互访进行限制
2. 分段隔离不同系统的IOT设备,测试分割效果
3. 尽可能对设备接入进行认证 (设备, 远程接入, 企业内)
4. 监控IoT网络通讯,标识正常流量
5. 标识IoT设备的归属管理责权– 问题责任人
IoT设备集成最佳实践
![Page 41: Cisco IoT Security · 识别标识所有接入工业网络的iot设备,建立策略对 互访进行限制 2. 分段隔离不同系统的iot设备,测试分割效果 3. 尽可能对设备接入进行认证(设备,](https://reader033.vdocuments.mx/reader033/viewer/2022053020/60a8cbb4f8d0674dfd4c024d/html5/thumbnails/41.jpg)