工業部門的網絡安全如何邁出第一步
隨著數字技術、工業4.0和工業物聯網的出現,它們為網絡風險帶來了新的復雜性。
聽到“網絡安全”這個詞就足以讓一些工業網絡工程師轉向并以另一種方式運行,但這并不一定像看起來那樣令人生畏。
與任何事情一樣,當涉及到網絡安全時,企業必須從某個地方開始。在當今的環境中,人們認為第一步是安全意識。許多工廠沒有意識到當他們的運營技術(OT)網絡和設備不安全時會發生什么。網絡安全通常被認為是事后的想法,或者在潛在的災難性事件發生之前根本不考慮。
在對567名制造行業人士進行調查之后,安全服務商Morphisec公司在發布的調查報告中聲稱,在過去一年中,五分之一的制造工廠成為網絡攻擊的目標(這一估計可能是保守的,因為并非所有員工都意識到他們的公司何時遭受網絡攻擊)。NTT公司的一份調查報告表明,2020年針對制造行業的全球性網絡攻擊增加了300%。
換句話說,對于工業環境來說,現在是集中注意力的最佳時機。網絡安全問題并不總是惡意破壞或惡意軟件的結果。它們也可能是由人為錯誤造成的。例如,一名工作人員帶著自己的個人筆記本電腦在企業工作并將其插入網絡端口,并在無意中損壞了設備并導致停機。
當企業設計一個新的工業網絡時,有機會采取積極主動的方法,讓網絡安全成為每個決策的一部分:采用縱深防御保護、提前規劃工業物聯網等。
但是因為企業的工業網絡可能已經存在,所以現在需要保護其所擁有的一切。在許多情況下,工業網絡是在幾十年前設計和建造的,早在網絡安全成為一個因素之前。企業如何采用最初設計時未考慮防御的東西并進行更改以確保安全?
通過網絡評估獲得可見性
一旦企業意識到網絡安全值得關注,一個良好的起點就是簡單的網絡評估。這需要對運營技術(OT)網絡進行全面了解,以查明與其連接的每個設備:機器、傳感器、控制器、驅動器、攝像頭、交換機等。在采取任何行動之前,企業必須了解工廠中的設備。如果不了解某個設備,那么將無法采取任何措施來保護它。
在通過這一評估過程獲得可見性之后,大多數工廠都會驚訝地發現他們不知道的設備和訪問位于他們的網絡上,即使他們認為知道這一切。
一旦掌握了這一點,企業就可以確定設備的使用方式。從那里可以建立一個基線,以便通過隨著時間的推移監控和測量每個設備來跟蹤變化,包括潛在的漏洞。
基本工業網絡安全的三個最佳實踐
除了進行網絡評估之外,企業還可以采取一些其他做法來朝著正確的方向前進:實施被動發現、制定縱深防御策略和分割網絡。
(1)被動發現
被動發現可以通過持續掃描以識別IP地址來幫助企業發現網絡上的新未知設備,而不會產生額外的流量或延遲。這可以幫助檢測在發現期間傳輸或接收通信的未經授權或惡意設備。
從那里,可以進行一些調查,以確定這些設備是什么,以及它們是否會造成麻煩。
(2)縱深防御策略
盡管保護企業的工業網絡與保護其IT網絡同樣重要,但不能期望其IT部門了解工業協議和網絡設計的復雜性。他們可能管理數字信息流,但可能不了解工業流程和用于執行這些流程的機器。
當IT團隊被迫管理OT網絡時,經常看到他們在網絡邊緣放置一個設備,以將工廠網絡的控制與業務網絡分開,然后收工。但這使得工業網絡沒有縱深防御策略。
縱深防御策略是一種分層的網絡安全方法,可以保護有價值的數據并防止下游的所有內容在存在威脅時受到影響。例如,在與負責SCADA網絡的工廠經理合作以準確了解從機器人單元到PLC再到HMI再到各種工業設備需要什么,然后可以確定從A點到另一點移動數據所需的最低限度B.如果某些東西不符合這些標準,那么它將無法通過。
(3)網絡分段
因為工業環境需要保護很多東西(OT設備、控制系統、其他網絡設備等),所以網絡分段可以幫助提高安全性。
通過將網絡劃分為不同的段或組件,可以將訪問和流量僅限于所需的通信和用戶。這有助于防止可能試圖在整個網絡中策劃攻擊的不良行為者進行橫向移動。如果網絡攻擊發生在網絡的一個網段上,那么其他網段將不會受到影響。
例如,網絡分段可以在物理/邏輯上將OT網絡與內部和外部的其他網絡分開。在企業和工業“區域”之間建立這種屏障意味著可以安全地共享數據而無需越過該屏障。
企業需要開始網絡安全之旅
很快就會發現網絡安全不是目的地,而是一段旅程。改善網絡衛生是一個持續的過程。隨著制造工廠面臨的威脅發生變化,企業的安全策略也必須改變。專家指出,未來最大的工業網絡威脅包括勒索軟件和供應鏈攻擊。而在一兩年前,最重要的威脅可能有所不同。
互聯網安全中心(CIS)對于需要網絡安全起點的工業工廠來說也是一個有用的資源。它提供了很多推薦的分步操作來防止網絡攻擊,從資產的庫存和控制開始,到驗證安全性的滲透測試結束。
企業的專家團隊知道如何連接和保護制造工廠和工業網絡,提供業界最完整的端到端網絡解決方案套件,可以幫助企業重新設計和改造網絡。而值得信賴的顧問通過同時提高效率、敏捷性、可持續性、安全性和安保來幫助企業建立更好的業務成果。
