随着工业部门网络攻击的报道变得再熟悉不过了,HMS Networks 网络安全 Anybus 业务开发经理 Thomas Vasen 概述了公司可以采取的五种策略来加强防御并避免成为最新的受害者。
网络安全正迅速成为工业自动化领域的一个重要问题。世界经济论坛在 2023 年强调,制造业是受网络攻击最多的行业。此外,Orange Cyberdefense 报告称,制造业的通用漏洞评分系统 (CVSS) 严重性得分比全球平均水平高出 33%。针对工业控制系统 (ICS) 的攻击数量不断增加尤其令人担忧。
现在是采取行动的时候了。以下是公司可以采取的五种策略来有效降低网络攻击的风险。
Netheads 与 Bellheads 就电信的未来展开了辩论。虽然 Bellheads 提倡传统方法,但 Netheads 认为语音应该像对待任何其他数据一样通过 IP 传输。三十年后,Netheads 的愿景已经占了上风,语音像任何其他类型的数据一样通过互联网传输。用户甚至开始接受由于延迟增加和频繁丢包而导致的通话质量下降。今天,每通电话都感觉像是洲际电话。
>然而,运营技术 (OT) 的情况根本不同。与信息技术 (IT) 不同,欧贝特科技不能容忍质量受损和延迟增加,因为即使是很小的中断也可能造成灾难性的后果。将 OT 仅仅视为另一个版本的 IT 是一个严重的错误,因为 OT 在不同的原则和要求下运作。IT 优先考虑数据完整性和机密性,而 OT 则需要确定性数据和正常运行时间保证。这种区别对于制造业等行业尤其重要,即使是轻微的中断也可能导致重大的财务损失、材料浪费和运营停机。在 IT 领域,偶尔的网络停机或数据丢失可能是可控的不便。然而,在 OT 中,类似的破坏可能会产生更严重的后果。 想象一下,如果一台冰淇淋机因网络中断或数据不一致而出现故障。不仅生产过程会停止,而且易腐烂的原料也会变质,导致经济损失和冰淇淋浪费。没有人想要这样。
图 1:在 OT 中,网络停机将导致生产过程 停止,从而导致财务损失以及成分或材料的浪费。
所以,虽然欧贝特科技采用IT技术是很自然的(使用工业以太网比传统现场总线网络有很多好处),必须承认,开箱即用的IT并不能满足欧贝特科技的要求。因此,工业通信协议的兴起,还需要专门的 OT 安全产品和解决方案。
虽然首席信息安全官 (CISO) 受到审查并管理安全预算, 通常包括 OT 的安全预算,但运营经理负责确保工厂不间断的生产。由于优先事项不同,这种情况会造成固有的冲突。IT 专业人员遵守 CIA 框架,首先优先考虑机密性,其次是完整性,然后是可用性。相比之下, 各级人员优先考虑安全性,其次是可用性、完整性,最后是机密性——形成 (S)AIC 序列。
这种二分法导致了冲突和摩擦,但潜在的共同目标仍然很明确:维护业务连续性。认识到这一共同目标, CISO (IT) 和运营经理 (OT) 必须合作以应对这些挑战,并协调他们的方法以确保业务连续性。
OT 环境需要采取主动和定制的方法来应对工业运营的独特挑战。公司必须对其资产进行彻底的识别和评估,了解与每台机器相关的风险。快速检测异常情况很重要,但更重要的是实施强有力的保护措施来保护这些资产。制定全面的恢复计划并实施措施以尽量减少影响也很重要,并且通常受到 ISA/IEC 62334 等专家的建议。
目前,许多公司专注于资产盘点和威胁检测。虽然这些很重要,但不足以保护 OT 环境。公司还必须采取措施保护其资产。
网络分段是保护 OT 环境的绝佳方式。通过将网络划分为多个区域并使用提供访问控制的管道分隔,公司可以增强安全性并防止未经授权的访问。 网络分段的好处包括:
分段与 IT 的边界保护方法有着本质的不同。在IT网络保护中,采取措施防止外部威胁渗透到网络中,同时使用户能够自由浏览互联网和使用施加控制,以弥补 IT 中存在的 OT 访问控制的不足。 OT 分段使用默认拒绝方法,其中每个方向的每个流都受到控制,因为威胁可能来自多个方向。
所以,OT 不仅仅是 IT 的另一种形式。 不可否认,在工业自动化中实施网络安全措施是一项复杂且要求很高的工作。它需要对细节的一丝不苟,并深入了解 OT 环境带来的独特挑战。与像 HMS 工业网络这样的 OT 专家合作不仅是一个好主意,而且是一项明智的投资。通过利用他们丰富的经验和专业知识,公司可以节省时间,更重要的是,确保他们的网络安全策略是有效的。借助 HMS 工业网络的产品和支持,公司可以自信、安心地应对 OT 网络安全的复杂性。
Thomas Vasen 是 Anybus 的业务开发网络安全经理 Networks 的一个部门。Thomas 在电信、军事和关键基础设施的运营和安全方面拥有超过 25 年的经验,现在特别专注于帮助公司管理风险并确保其运营技术 (OT) 环境中的正常运行时间。
