控制工程師如何更好地保護OT系統(tǒng)的網絡安全——12條措施3
發(fā)表時間:2024-09-29 18:00 隨著OT系統(tǒng)與IT網絡的持續(xù)集成,制造企業(yè)需要更強大的網絡安全措施來降低風險。 不可否認,在工業(yè)物聯(lián)網(IIoT)的推動下,從設備層面到云端的連接性的提升增加了自動化設施的攻擊面。雖然直接連接到云有令人信服的商業(yè)理由,包括遠程維護監(jiān)控、關鍵性能指標(KPI)跟蹤和流程優(yōu)化,但這些優(yōu)勢的實現(xiàn)是以削弱安全性為代價的。ODVA營銷總監(jiān)Steve Fales解釋說:“這些新的連接可能會讓不良行為者進入工業(yè)網絡,這促使人們越來越關注零信任(Zero Trust)等安全概念,即總是需要驗證才能連接到設備。此外,部署多種安全方法來覆蓋網絡的所有部分的重要性也顯著增加。” 零信任概念假設網絡已經泄露。這意味著,無論來源如何,都必須驗證每個連接,并在最短的時間內提供所需的最小訪問量。此外,所有通信都必須是安全的。若要向零信任邁進,必須能夠加密通信、提供基于角色的訪問、能夠對端點進行身份驗證,并確保通信不會被篡改。 除了采用零信任,Steve還建議采用多種安全方法,作為縱深防御安全策略的一部分,以確保工業(yè)控制網絡的安全。作為以流程為導向的整體方法的一部分,物理安全和員工培訓是很好的起點。這是阻止不良行為者兩種簡單且有效的方法。 實施威脅建模是了解網絡漏洞并制定應對計劃的另一種重要方式。在此基礎上,基于交換機的防火墻、深度數據包檢查、批準列表和其它網絡保護都將有序進行。Steve繼續(xù)說道:“如果因為直連的第二通道網絡被打開,那么保護設備層也很重要。設備層保護的一個例子是EtherNet/IP的CIP Security,它提供設備身份驗證和身份、數據完整性和機密性、用戶身份驗證和策略執(zhí)行。CIP Security還通過配置文件提供靈活的保護,這些配置文件可以根據使用情況按需實施。最后,由于網絡攻擊行為和方法在不斷演變,因此必須不斷定期審查和修訂安全策略、培訓和保護措施?!?/p> 隨著網絡扁平化以及直接連接到云的自動化設備數量的不斷增加,擁有資源充足且有計劃的安全策略很重要?!靶碌默F(xiàn)實情況是,漏洞很可能發(fā)生,這導致了零信任安全方法的興起,這種方法要求對每一個連接進行驗證,只允許需要的訪問。同樣重要的是要記住,物理安全、員工培訓和基于流程的方法,可以提供非常高的投資回報?!盨teve認為,必須在最低水平上保護設備。安全性是自動化設備連接到云的推動因素,它正在推動生產力的大幅提高,因此它是對未來工業(yè)運營的寶貴投資。 01 實現(xiàn)設計安全 傳統(tǒng)上,工業(yè)企業(yè)所用的Perdue(普渡)結構模型,通過分割物理過程、傳感器、監(jiān)視控制、運營和物流來實現(xiàn)安全OT環(huán)境的解決方案。然而,正如我們已經聽說的,現(xiàn)在更開放的平臺使OT網絡安全受到更多關注。 艾默生網絡安全戰(zhàn)略、治理和架構總監(jiān)Michael Lester說:“組織現(xiàn)在需要在控制系統(tǒng)項目的前端工程和設計階段就考慮網絡安全——使系統(tǒng)設計安全。過去,網絡安全防御往往是后來才添加的。這比從一開始就將網絡安全納入項目更昂貴,且效果欠佳?!?/p> 因此,現(xiàn)在制造企業(yè)需要根據零信任原則,從頭開始設計OT軟件應用,以通過設計來創(chuàng)建安全工廠。艾默生首席技術官Peter Zornio認為,通過設計實現(xiàn)工廠的固有安全不會一蹴而就,而是需要多年的努力,只有在系統(tǒng)軟件逐步更新,以將安全結構納入到軟件后才能完全實現(xiàn)。每次與另一個軟件通信時,它都需要尋求身份驗證,并且需要擁有正確的數據訪問權限。艾默生一些最新產品已經包含了固有設計安全的軟件,但實際上,我們可能需要 5 到 10 年的時間才能使工廠中的所有軟件都能支持零信任。不過,當這成為現(xiàn)實時,它將成為網絡安全問題的最終解決方案。 此外,網絡安全需要的不僅僅是技術。Michael認為,網絡安全也需要行為和文化的改變。整個組織需要需要對為什么要實現(xiàn)網絡安全以及如何實現(xiàn)網絡安全有著深入的理解,這對于推動有意義的行為改變至關重要。因此,建立一種包括人員、過程和技術的網絡安全文化很重要。 02 更有力的措施 隨著OT系統(tǒng)持續(xù)與IT網絡集成,例如引入基于互聯(lián)網的通信協(xié)議(如MQTT)以及現(xiàn)有的數據傳輸協(xié)議(如WebMI的HTTPS、CsCAN和Modbus),攻擊面也不斷擴大,并引入了新的攻擊載體。這就需要一套更強有力的網絡安全措施來降低風險。Horner愛爾蘭公司網絡安全工程師Séan Mackey建議,以下措施可以幫助控制工程師更好地保護其OT環(huán)境: 1. 了解環(huán)境:首先要徹底了解OT基礎設施,包括工業(yè)控制系統(tǒng)、監(jiān)控和數據采集系統(tǒng)(SCADA)、可編程邏輯控制器(PLC)和其它互連的設備。通過記錄資產、網絡架構、協(xié)議和通信路徑等組件來識別可能的漏洞。 2. 風險評估和資產清單:進行徹底的風險評估,以確定關鍵資產和潛在漏洞。制定資產清單,根據關鍵程度對系統(tǒng)進行分類,并評估相關風險。根據此評估確定安全措施的優(yōu)先級。 3. 網絡分割:實施穩(wěn)健的網絡分割,如空氣間隙、防火墻以過濾和跟蹤流量,以及關鍵系統(tǒng)隔離以將關鍵OT資產與非關鍵系統(tǒng)和外部網絡隔離。通過將漏洞或攻擊包含在特定的網段中來限制其影響,并減少攻擊面。 4. 訪問控制和身份驗證:實施強有力的訪問控制和驗證機制,以限制對OT系統(tǒng)未經授權的訪問。應實施多因素身份驗證、基于角色的訪問控制和最低權限原則,以確保只有授權人員才能訪問關鍵系統(tǒng)。 5. 補丁管理:開發(fā)并實施嚴格的補丁管理流程,以使OT系統(tǒng)針對已知漏洞保持最新狀態(tài)。這包括與PLC/HMI的任何漏洞修復相關的固件和軟件更新。根據關鍵程度對修補程序進行優(yōu)先級排序。 6. 網絡監(jiān)控和入侵檢測:部署強大的網絡監(jiān)控工具和入侵檢測系統(tǒng)(IDS),實時檢測和響應異?;顒?。監(jiān)控網絡流量、系統(tǒng)日志和行為模式,以及時識別潛在威脅或安全漏洞。 7. 端點安全:與對上述工業(yè)設備所采取的措施一樣,對同一網絡中的類似設備實施端點保護解決方案,如防火墻、防病毒軟件和入侵預防系統(tǒng),保護您的工業(yè)設備免受惡意軟件和未經授權的訪問。 8. 加密:數據在傳輸和靜止時都應加密,以防止未經授權的攔截或篡改。為網絡通信實施強大的加密協(xié)議,如傳輸層安全性(TLS),特別是在行業(yè)內大量使用MQTT的情況下使用X.509證書,并加密存儲在OT設備上的敏感數據。 9. 事件響應計劃:制定全面的事件響應計劃,概述檢測、控制和緩解網絡安全事件的程序。定義角色和責任,建立通信協(xié)議,并定期進行演習,以確保為網絡攻擊做好準備。 10. 員工培訓和意識:對OT人員進行網絡安全**實踐培訓,包括識別網絡釣魚企圖、識別可疑活動和應對安全事件。培養(yǎng)網絡安全意識文化,使員工能夠積極參與OT系統(tǒng)的安全保護。 11. 供應商風險管理:評估和管理與提供OT組件或服務的第三方供應商和供應商相關的網絡安全風險。制定合同協(xié)議,同時規(guī)定安全要求并定期審計供應商。 12. 合規(guī)性和監(jiān)管要求:掌握與OT網絡安全相關的行業(yè)特定法規(guī)和合規(guī)標準,如NIST SP 800-82和ISA/IEC 62443。確保OT系統(tǒng)遵守這些要求,以避免法律和監(jiān)管影響,并**限度地減少因網絡安全實施不力而導致的OT違規(guī)的可能性。 03 充分保護OT系統(tǒng) 在OT環(huán)境中,大多都是關鍵系統(tǒng),這意味著任何中斷或妥協(xié)都可能產生深遠的影響。Paessler公司全球業(yè)務發(fā)展IIOT Daniel Sukowski表示,考慮到利害關系,有效保護OT環(huán)境從未像現(xiàn)在這樣重要。然而,實現(xiàn)這一目標也從未像現(xiàn)在這么困難。在一個互聯(lián)和數字化的世界里, IIOT設備的激增呈指數級增長,導致系統(tǒng)變得越來越復雜。以前孤立的OT網絡正在開放,以便從外部連接新的系統(tǒng)和設備,通常是跨區(qū)域連接。雖然這種互聯(lián)有很多優(yōu)勢,但也帶來了巨大的風險。 為了充分保護OT系統(tǒng),企業(yè)應該投資于監(jiān)控技術。Daniel建議:“擁有一個具有集中的儀表盤和報警功能的有效監(jiān)控系統(tǒng),可以為企業(yè)提供更全面的畫面。它能把來自所有位置的數據(OT環(huán)境、IIoT傳感器、有線和無線網絡以及傳統(tǒng)IT設備和系統(tǒng))集中在一個保護平臺下。它提供了全面的可視性,隨著網絡犯罪分子的不斷發(fā)展和成熟,這一點比以往任何時候都更加重要?!?/p> 除此之外,企業(yè)需要定期對操作系統(tǒng)進行安全審計和風險評估,以幫助識別漏洞。這應包括信息安全風險和網絡風險,以及所有常見的OT運營風險。難題的另一部分,是對所有相關員工的持續(xù)培訓。應定期更新培訓內容以確保企業(yè)按照最新的指導和法規(guī)運營。例如,當即將出臺的NIS-2指令于2024年10月在所有歐盟成員國成為國家法律時,員工需要確保他們及其廣泛業(yè)務保持合規(guī)。 NIS2指令在最初的NIS指令(NISD)的基礎上,更新現(xiàn)行的歐盟網絡安全法。目標是加強OT安全,簡化報告,并在整個歐盟范圍內制定一致的規(guī)則和處罰。通過擴大其范圍,NIS2將要求更多的企業(yè)和部門采取網絡安全措施。 |