工业网络的网络安全建议

制造商和工业自动化公司正在将网络安全作为首要任务。知道从哪里开始和强调什么可能是一个挑战。重点介绍了提高工业网络安全的几点建议。

通过吉姆·曼斯菲尔德,丹·麦卡恩斯和大卫·舒尔茨 2022年8月17日
图片由Brett Sayles提供

网络安全的见解

  • 随着机器与信息技术(IT)系统集成,针对操作技术(OT)目标的网络安全攻击风险更大。
  • 向精通该主题的主题专家(sme)和系统集成商咨询可以帮助明确特定情况。
  • 制造商和工业自动化公司需要保持警惕,警惕潜在的网络安全攻击。

制造商和工业自动化公司正在将网络安全作为首要任务。工业4.0和工业物联网(IIoT)的兴起使得收集有关工厂运营和潜力的信息比以往任何时候都更容易。问题是网络攻击的可能性也在上升。对于这些公司来说,知道从哪里开始以及在网络安全方面应该强调什么可能是一个挑战。回顾系统集成商对网络安全保护的见解,以及制造商和工程师如何更好地保护自己和工业网络。

问:工业网络作为网络安全入侵的进入手段有多普遍?如何降低风险?

答:随着信息技术(IT)和操作技术(OT)的快速融合,几乎所有工业市场和细分市场的自动化和控制系统都变得更容易受到网络攻击。网络入侵有自顶向下和自底向上两种方式。制造业应该监控他们的网络,或者让他们的网络全天候24小时监控。

4th工业革命(工业4.0)和工业物联网(IIoT)正在使更多的连接设备和软件技术堆栈从车间到顶层。制造商需要能够识别并快速从任何可能破坏工厂/设施网络运营连续性的网络威胁中恢复过来。无论制造商是否实现了20世纪80年代中期普渡模型的传统网络,还是采用了数字化转型组织的最新统一名称空间,都不要将您的目光从网络上移开。

保护网络的另一种方法是使用机器学习模型来检测异常行为。与限制连接(这使得收集车间数据更具挑战性)不同的是,使用服务监控线路上的流量可以实现跨企业的数据共享。

有许多公司提供这种服务,既在云中运行,也在内部运行。当检测到异常时,它会向安全人员发送警报和威胁评分,以进行调查。如果出现问题,植物可以做出适当的反应。如果不是,结果将用于增强机器学习算法的能力。

IT和OT安全管理员面临的现代挑战之一是加密流量的流行。这使得最深层的流量检查变得更加困难,特别是对于中间设备(如防火墙),这些设备通常依赖于对未加密流量的深度包检查,以对网络流量的允许性做出粒度决策。

现在OT网络之外的大部分流量都是加密的(包括威胁行为者用来在IT/OT系统上建立立足点的流量),防火墙曾经对南北流量(离开或进入OT网络的流量)的应用层可见性大大降低。随着OT网络开始使用加密协议在OT边缘之间进行数据传输,这个问题只会变得更具挑战性。

防火墙仍然是任何深度防御战略的重要组成部分。然而,为了获得有效执行安全策略所需的网络可见性,以及主动监控OT网络整体健康状况的能力,需要端点解决方案。这里的想法是,只要有可能,就添加一个在网络中的每个节点上执行策略的端点客户机,这样我们就可以看到,因为检查是在网络上发送流量之前完成的。端点客户机可以位于端点之间,也可以直接位于端点上(取决于网络设备是什么)。

通过端点检查和向端点提供指令的中央策略引擎,我们可以控制和监视网络流量和设备健康状况,即使在使用加密的现代协议时也是如此。

有了这些数据收集技术,加入机器学习模型进行入侵检测是可能的。如果工厂没有专门的OT安全工程师,系统可以通过通知工厂内部的关键人员,甚至是外部的专家来进行响应。能见度是早期发现和通知的关键。如果没有良好的可见性,机器学习将没有足够的信息来提供足够的保护。

如果最坏的情况发生,妥协的指标得到确认,制定一个完善的恢复计划是至关重要的。最及时的恢复是事先计划好的和排练好的。开发这样的计划本身就是一篇完整的文章,但简而言之,它们阐明了如何通过对给定问题有意义的任何方法恢复关键组件。关键在于,这些手段是由于在事件发生前所做的准备工作而可用的。这可以是从交换硬件(冷备份)到从已知的良好备份进行恢复,再到隔离关键系统。

问:除了传统的工业网络需求外,工业物联网以及工业4.0和智能制造计划中的通信需求也在不断增长。如何减轻这些风险?

答:那些正在开始或计划其数字化转型(I4.0)之旅的制造组织有一个真正的机会来保护他们的网络系统,包括旧设备和新设备和系统。

然而,这需要大量的思考,对未来的前瞻性思考,对过去、现在和未来的网络技术和架构的全面理解,以及大量的健壮的规划。首先,理解4th工业革命运动以及已被证明安全的最新技术和网络架构。密切关注那些降低了工业网络风险的制造组织,并从系统集成社区的成员那里寻求帮助,这些成员具有良好的和重要的制造系统基础设施实践。

我们的许多网络安全实践都是基于老式的服务器-客户端体系结构,使用轮询-响应方法来收集数据。在这些系统中,服务器实例化到需要打开网络端口的客户机的连接。这就带来了风险。

首选的方法是颠倒这个模型,即客户端实例化到另一个系统的连接。类似于人们连接到安全站点以执行银行等任务的方式,客户端(如工业网关)进行连接。这消除了向高风险系统开放端口的需要。如果出现问题,客户端设备可以简单地断开连接,关闭连接。

可以通过几种不同的方式进一步降低风险。随着与经典OT环境之外的系统共享信息的需求的增加,暴露的风险也在增加。降低风险的关键是信息共享的可见性和治理。

安全的信息传输是治理的一个方面。加密通信,特别是在穿越不太可信的网络时,有助于确保信息的完整性和机密性。

信息共享模型的协议和基础设施也会对安全性产生重大影响。与数据代理一起使用的MQTT等协议允许更容易地导航安全边界,这在很大程度上是因为数据发起设备是发起通信的设备。

再加上统一的名称空间,可以使用结构化的、分层的数据模型来维护粒度控制,从而允许将最少的特权方法扩展到数据的每个方面。

问:降低工业网络相关风险的最新技术和流程是什么?

答:工业非军事区(IDMZ)是工业网络中IT/OT网络之间的网络安全层。它是两者之间的缓冲区,以确保两层之间不允许直接的网络通信。

您会听到人们谈论IDMZ服务器、虚拟专用网络(VPN)服务器、防火墙和安全设备、交换机、路由器等等,IDMZ层涉及很多内容。研究代理技术和统一名称空间的网络概念。

MQTT是最常见的代理技术之一。这是在20世纪90年代末为SCADA应用程序开发的轻量级消息传递协议。虽然早期采用的主要是非制造业应用,如手机即时通讯应用,但最近它已成为连接工厂地面系统的流行方式。

在代理应用程序中,客户机(称为设备)将与服务器(通常称为代理)建立安全连接。该设备将在发生任何变化时发布,而不是通过民意调查-响应方法来收集数据。这被称为异常报告。这种方法不仅更安全,而且使用更少的网络带宽。

统一名称空间本身更多的是关于为所有数据提供一个逻辑的、结构良好的单一真实来源。但是,以这种方式组织和使用数据的好处是,更容易检查和管理数据的使用。可以以对业务有直观意义的方式在统一的名称空间上覆盖最少的特权安全策略(因为统一的名称空间是使用业务结构布局的)。当只有那些需要获取信息的人能够获得信息时,攻击面会减少。当易于维护时,就建立了可持续的数据治理模型,并且系统仍然比数据治理脱节时更安全。

问:系统集成商是否帮助客户解决工业网络安全问题,即使它不是一个工业网络项目?

答:今天,许多工业系统集成商拥有一定程度的网络架构和技术专业知识,但主要集中在保护OT层,直到我前面提到的IDMZ,但他们不会跨越到第4级或it层。

那些系统集成商专注于解决方案栈和技术的4th工业革命公司精通整个IT/OT网络,以及抵御最新风险和不良行为者所需的网络安全弹性。

也就是说,这些“风险”每天都在变化,全世界每年都有数十亿美元用于资助和开发不良行为者和最新的漏洞。

降低网络安全风险的最佳策略是使用固有的安全技术。与需要开放端口的传统服务器-客户机体系结构不同,将系统部署在客户机或设备进行连接的地方。这种策略可以在整个企业中使用。

另一种策略是使用机器学习来监控网络。收集更多的数据意味着有更多的设备和连接。这带来了风险。监控服务不会限制信息的流动,而是会跟踪网络流量,并提醒人们注意任何潜在的威胁。

每个项目都应该作为一个更大的整体的一部分来对待。虽然当前的工作可能不涉及网络安全,但安全性应该始终被考虑在内。集成商可以通过使用可以在未来扩展的解决方案来促进这一点,而不需要更改或增加风险。

问:除了技术之外,培训在降低工业网络安全风险方面还有什么作用?

答:培训对降低工业网络安全风险有着巨大的影响。今天,我们不知道我们不知道什么,当涉及到网络安全时,今天做我们今天知道的事情根本不够好。很有可能,如果你在这种心态下做事,你已经有麻烦了。有一长串的培训机会,有付费的,也有免费的。Udemy, Coursera, NexGenT和CISA都是不错的选择。

通常所说的IT/OT融合更多的是关于战略而不是技术。IT需要理解操作技术。OT需要理解网络及其带来的风险。就像安全文化一样,网络安全文化也需要建立起来。这是每个人的责任。为此,每个人都应该接受一定程度的培训。

车间操作人员应接受有关网络、如何工作以及如何保证安全的基本培训。这应该被认为是最佳实践训练。

控制工程师应获得中级水平的培训。这包括网络分割、vlan以及如何安全连接技术等概念。应该考虑基本的认证。建议考虑与IT部门进行OT联络。

大型企业公司应该有几个拥有IEC 62443认证的人。有许多信誉良好的机构提供培训和认证。

问:产业联网需要哪些常识性政策?

答:同样,制造商应该监控他们的网络,或者让他们的网络全天候24小时监控。

跟上最新的趋势,围绕坏演员和他们每天制造的超级bug进行培训。计划你的工作,制定你的计划。今天为未来做计划是绝对必须的,特别是如果你想推进你的数字化转型之旅。最佳实践路线图应该包括以下四个方面:

1.网络映射和连通性分析。网络映射帮助您实时(理想情况下)与系统保持联系。它提供了您的网络上有什么以及它是如何物理连接的大图。根据软件的类型以及与物理和逻辑基础设施的集成,它可以为用户提供诸如网络清单以及网络设备如何连接(到什么交换机和端口)之类的信息。它还可以提供应用程序的可见性,从而实时了解设备是如何通信的。在保护它之前,你需要知道你拥有什么以及它是如何连接的。

2.考虑安装安全信息和事件管理(SIEM)系统。SIEM是从网络上被监视的节点收集信息的系统。它包含执行进一步操作的逻辑,例如当它看到符合特定标准的相关信息位时创建通知。SIEM是建立系统日常操作可见性的工具之一,特别是在需要跨多个端点关联事件时。

3.考虑使用多因素身份验证(MFA)工具或某种级别的零信任框架。多因素身份验证增加了不良行为者冒充用户的难度。许多系统使用被窃取的合法凭证(通常首先来自特权较低的用户)而受到损害。一旦建立了基线连接,威胁行为者就会寻求获得更高的特权,从而获得权威的立足点。通过增加利用被盗凭证的难度,可以减少这些类型的攻击。

4.研究并选择合适的远程访问工具。正确的工具/远程访问解决方案将具有以下功能:

  • 强大的日志
  • 多因素身份验证
  • 严格的访问控制(谁可以连接,从什么到什么,什么时候可以连接,从哪里可以连接,等等)
  • 加密通信
  • 环境治理(远程用户不应该依赖于驻留在他们正在使用的设备上的任何东西来启动远程连接来执行任务)所有所需的工具都应该被控制并驻留在控制系统中,连接客户端本身是例外。

问:人们应该如何获取与工业网络安全相关的网络设备漏洞的最新信息?

答:CISA是一个良好的开端。他们的国家网络感知系统是最新的。其他一些包括US-CERT警报网页和Mitre Corp.的常见漏洞暴露(CVE)列表。

问:等到新闻报道的时候,可能已经太晚了。最近的威胁是什么?那些负责工业的人如何保持领先?

答:考虑今天的讨论要点,对IT/OT网络保持警惕,并理解除了您雇用的人之外,网络安全是企业最重要的部分。它可以成就一个公司,也可以毁掉一个公司。

吉姆·曼斯菲尔德高级经理是矩阵技术CFE媒体和技术内容合作伙伴。补充内容丹McKarns他是Matrix Technologies的副技术经理大卫·舒尔茨他是Matrix Technologies的咨询合伙人。由网页内容经理克里斯·瓦夫拉编辑,控制工程, CFE媒体与技术,cvavra@cfemedia.com

更多的答案

关键词:网络安全,工业物联网

在线

查看更多网络安全故事//www.globalelove.com/cybersecurity/

考虑一下这个

最大的挑战是什么你的公司在网络安全方面面临什么问题?


作者简介:吉姆·曼斯菲尔德是Matrix Technologies的高级经理;Matrix Technologies的副技术经理Dan McKarns;戴维·舒尔茨,Matrix技术公司的咨询合伙人。