Aktywne skanowanie sieci jest wydajne i bezpieczne - ale musi być wykonane odpowiednio

Okresowe aktywne skanowanie sieci jest zasadniczo niezbędne do zachowania dokładnego obrazu sieci, ponieważ istotne informacje są dostępne tylko na żądanie, a poza tym nigdy nie występują w normalnym ruchu.

Przyczyną biernej analizy ruchu jest to, że wiele urządzeń przemysłowych systemów sterowania (ICS) były naprawdę zaprojektowane tylko po to, aby działać zgodnie z oczekiwaniami, a często nie są testowane w celu utrzymania funkcji, gdy otrzymują ruch inny niż przeznaczony. Na przykład widziałem, jak kontrolery RFID i moduły Anybus blokują się, po prostu odbierając pakiety, których nie rozpoznały.

Aktywne skanowanie sieci może dostarczyć znacznie więcej informacji niż skanowanie pasywne i może być niezwykle cennym narzędziem w każdym środowisku przemysłowym. Jednak, jak zauważyłem w poprzednim poście na blogu, urządzenia w środowisku przemysłowym - w tym VFD, sterowniki PLC, bloki I/O, siłowniki i czujniki - mogą być bardziej wrażliwe niż te w środowisku biurowym.

Standardowe metody informatyczne do skanowania sieciowego nie mogą być stosowane w środowisku przemysłowym bez planowania i uprzedniego przemyślenia.

Należy podjąć środki ostrożności; na przykład skanowanie powinno odbywać się delikatnie i gdy maszyny nie są w trakcie działania, ze względu na potencjał, że dodatkowy ruch może powodować opóźnienia i inne problemy. Tak, niektóre komputery mogą działać dobrze podczas aktywnego skanowania, ale wymaga to dodatkowych badań, aby to sprawdzić.

Operatorzy mogą uzyskać wszystkie zalety aktywnego skanowania bez obawy o swoją sieć, włączając odpowiednie proaktywne, odpowiedzialne i kompetentne planowanie przed wykonaniem aktywnego skanowania. Zazwyczaj.

Mówię „zazwyczaj”, ponieważ moi koledzy i ja byliśmy ostatnio zaangażowani w sytuację, która nie poszła w 100% zgodnie z planem. Wyniknęło z niej jednak coś fascynującego.

Przykład: aktywne skanowanie sieci osiągnięte dzięki partnerstwu

Zostaliśmy wezwani do wykonania aktywnego skanowania w sieci obsługiwanej przez dużego producenta motoryzacyjnego. Ten klient jest bardzo wyrafinowany i ściśle z nim współpracujemy.

Wiedzieli, czego chcą - aktywny skan sieci, który szybko i skutecznie wejdzie głęboko w ich sieć, aby zidentyfikować każde urządzenie i dostarczyć niezwykle szczegółowych informacji. Ich celem było uzyskanie bogatych danych o wszystkich systemach wraz z dokładną analizą i zaleceniami.

Dzięki relacjom z Belden klient zdecydował się na współpracę z Tripwire specjalnie ze względu na nasze doświadczenie i wiedzę w tej dziedzinie. Zaplanowaliśmy skanowanie podczas okresu, w którym linia nie działała w celu zaplanowanej konserwacji. Skanowanie zostało zaprojektowane tak, aby było wykonywane w sposób powolny i delikatny w całej sieci.

Spodziewaliśmy się, że wpływ na sieć będzie równoważny lekkiej bryzie. Wkrótce jednak ogłoszono, że przypadkowo włączyło się urządzenie VFD. Oczywiście byliśmy zaniepokojeni. Czy nasz skan mógł to spowodować? Na szczęście wszyscy zaangażowani spojrzeli obiektywnie na sytuację i szybko stwierdzili, że wyjątkowo delikatny skan nie mógł - lub nie powinien - spowodować awarii.

Jak się okazuje, źródłem była istniejąca, ukryta luka w VFD, która mogła zostać wywołana przez wiele zakłócających sytuacji, w tym burzę rozgłoszeniową lub serię zniekształconych pakietów. To niewiarygodne szczęście, że w tej sytuacji uruchomiono go nieszkodliwie - gdyby uruchomiono go, gdy linia była w trakcie pracy, mógł to być poważny problem, potencjalnie uniemożliwiający produkcję.

Nasza analiza potwierdziła, skąd pochodzi problem, i skontaktowała się z producentem VFD. Trzeba przyznać, że producent był wdzięczny za tę wiedzę i zgodził się, że to, co wydarzyło się podczas naszej operacji skanowania, nie powinno się wydarzyć. Testowali dyski VFD w swoich laboratoriach i rozwiązali problemy, aktywnie korygując inne problemy z niezawodnością poprzez modyfikacje i oprogramowanie układowe.

Efektem końcowym jest lepszy produkt i bardziej niezawodne działanie dla wszystkich.

Co byś zrobił?

Powodem, dla którego omawiam tę sytuację, jest to, że aktywne skanowanie sieci nadal ma złą reputację ze względu na sytuacje, w których specjaliści IT zastosowali aktywne metody monitorowania typowe w środowisku biurowym bez dostosowywania się do wrażliwej natury środowiska OT, powodując niekorzystne interakcje z urządzeniami.

Ponieważ ta reputacja wciąż istnieje, operator sieci motoryzacyjnej mógł założyć, że kiedy zadziałało VFD, było to wynikiem źle wykonanego aktywnego skanowania. Na szczęście byli zaangażowani i mieli wiedzę na temat bardzo zaawansowanych środków ostrożności podjętych w celu złagodzenia wszelkich potencjalnych negatywnych skutków, jednocześnie uzyskując wszystkie zalety aktywnego skanowania sieci.

Obiektywnie zbadali sytuację i dokładnie zidentyfikowali źródło problemu. To był pierwszy krok w kierunku rozwiązania problemu i zapewnienia, że nie powtórzy się on ponownie. Muszę również podziękować producentowi napędów, który skorzystał z okazji, aby zająć się sytuacją i polepszyć jakość produktu. Prawda jest taka, że mogła to być historia, w której wszyscy byli źli i wytykali się wzajemnie palcami. Ale zamiast tego było to partnerstwo, w którym wszyscy patrzyli we właściwym kierunku i ostatecznie skorzystali na tej sytuacji.

Więc chciałbym zapytać – jeśli stałoby się to w Twoim zakładzie, co byś zrobił? Czy zbyt szybko wyciągnąłbyś wnioski, czy zbadałbyś dokładnie sytuację? Zapraszam do dialogu!