网络安全需要协调的策略
确保运营技术(OT)网络能够抵御网络攻击,需要信息技术(IT)和OT人员之间的协调,并认识到两个领域之间的差异
当前的工业自动化和控制系统(IACS)技术使用了传统控制硬件和软件与商业现货(COTS)信息技术(IT)组件的混合(见图1)。这使得系统设计师在设计、构建、维护和升级控制系统时可以利用越来越多的COTS硬件和软件选择。然而,在将传统IT硬件和软件集成到操作技术(OT)系统的角色中时,存在一些挑战。
为OT系统选择和集成安全组件是这些挑战之一。在专有控制系统硬件上使用气隙控制系统的日子已经一去不复返了。OT专用软件现在部署在PC/服务器硬件、操作系统和与传统IT世界共享的网络/通信组件上(见图2)。由于IT和OT系统现在构建在大部分相同的底层基础设施上,使用的硬件和软件中的公共组件,因此很容易以相同的方式对待OT和IT系统的安全性。
然而,IT系统和OT系统之间存在明显的差异,设计人员和操作人员需要理解和理解,才能正确地设计安全和系统设计。缺乏理解可能导致IT和OT系统不恰当地混合在一起的设计。这可以是机架/设备级别、虚拟局域网(VLAN)级别,甚至是虚拟机级别等等。
图1:工业处理系统通常使用传统的IT硬件和软件元素进行OT自动化和控制,但网络安全必须解决每个领域的独特功能。礼貌:特易购
第四次工业革命(也称为工业4.0)为优化制造等有形流程提供了数据工具和高级分析。然而,它以一种与外部系统更加互连的方式来实现这一点。这进一步模糊了IT系统和OT系统之间的界限,并从安全设计的角度提出了新的挑战(参见图3)。
本文对比了IT和OT的重要差异。与此同时,要注意承认IT安全实践和技术对于设计和维护安全的OT系统至关重要。毕竟,网络安全管理是整个业务的组织责任,而不是IT/OT的完全独立考虑。
正式的网络安全管理体系
网络攻击可能导致重大的金融和业务连续性中断,并侵蚀信心和公众信任,而这些都是当今私营和公共机构商业格局中的关键因素。的2020年CISA主要每事故损失估计的经济分析每次网络入侵造成的损失从16849美元到超过10亿美元不等。
就像在IT方面一样,作为成功的OT安全计划的一部分,拥有一个正式的指导方针、政策和程序框架非常重要。在整个组织范围内评估和应对风险的持续过程的方法是中国网络安全管理系统(csms)定义的一部分ISA / IEC 62443.这不是一个简单的待办事项清单,而是一个涉及组织多个部分的过程,如法律、采购、人力资源、工程、运营等。网络安全管理需要高层领导对财务和组织承诺的支持。供应商和承包商通常也是成功实现cms的关键部分。
由于IT和OT系统的目标不同,安全漏洞的风险和结果也不同。在IT系统泄露中,组织通常面临数据泄露或服务丢失的风险。OT网络攻击的后果不仅仅是数据丢失,还可能危及旁观者、损害设备、影响环境,并通过不受监管的成品和服务影响消费者。考虑到IT系统和OT系统的角色不同,风险不同,IT系统和OT系统在整体的cms(包括策略和流程)上应该有明显的差异。
图2:合并IT和OT系统的各个方面要求设计人员理解各自的不同属性,以便他们能够制定安全和系统设计。礼貌:特易购
IT与OT数据安全优先级:CIA三位一体
IT世界中的威胁补救几乎无处不在,关闭一切并断开连接。OT系统需要在隔离受感染设备和战略性地禁用某些网络路由之间更好地兼顾,以维持至少一些系统操作。数据安全优先级通常分为三个主要考虑因素:机密性、完整性和可用性(CIA三位一体)。图4确定了IT和OT领域通常如何优先考虑这些特征。
在IT环境中,保密性是最重要的。这会影响系统的体系结构、策略、过程、测试和维护工作。可用性很重要,但是,例如,如果入侵防御系统(IPS)由于感知到威胁而主动关闭核心服务,那么维护机密性的目标将以牺牲可用性为代价。对于OT环境,情况有所不同,如果IPS停止IACS中的网络流量,可用性的最高OT优先级很可能会降级。在这种情况下,IPS的动作可能是一个重大的危险。
数据安全优先级的差异需要级联到OT系统架构设计、管理策略和操作流程的每个部分。
图3:工业系统集成专家必须利用深厚的知识和实施经验来创建全面和网络安全的自动化解决方案。礼貌:特易购
检测困境,更新不确定性
由于电子邮件、网页浏览和其他可变流量在OT系统中并不常见,IT威胁检测和网络流量描述的大部分重点不太适用于OT系统,而不适用于IT系统。在OT系统中检测异常(依赖于非常容易理解和可预测的交通模式)比在动态IT系统中检测异常要困难得多。OT网络往往是入侵检测系统(IDS)解决方案的良好候选者,该解决方案警告用户有问题,但不像IPS那样采取行动。IDS适用于OT系统,因为所使用的网络流量和协议具有相对一致的特征,并且连接到该终端的网络效益的资产具有静态性质。
实现IPS而不仅仅是IDS需要对OT端比IT端更多的考虑。假设流量异常不代表恶意攻击,但导致IPS关闭特定流量的动作。如果交通异常是安全系统上的异常信息呢?关闭It网络上有问题的流量可能是有意义的,但在OT系统上将其作为默认反应可能会导致现实世界的影响。
图4:IT和OT系统的机密性-完整性-可用性三位一体的优先级不同。IT重视机密性和完整性甚于可用性,而OT要求可用性和完整性甚于机密性。礼貌:特易购
补丁和软件更新也会带来挑战。补丁表示对操作系统的更改。每个更改都可能对系统可用性构成风险。即使在计划的停机时间内,打补丁也会给生产系统带来长期风险。由于高可用性是OT系统的关键,所以在给系统打补丁时必须小心。如果某些补丁与硬件或IACS供应商软件不兼容,则可能无法安装(参见图5)。
在应用软件更新或补丁之前,必须进行测试,以确保所有设备和系统在更新到位后正常运行。如果没有充分的测试,可能会忽略由于更新而导致的服务故障的影响。这可能是一个严重但难以检测的问题,例如丢失警报通知或用于遵从性报告的时间序列数据的错误历史化(参见图6)。
图6:停机时间通常涉及成本和损失,但有问题的OT补丁和软件更新也可能导致产品质量和安全问题。礼貌:特易购
更新测试最好在“沙箱”测试环境中执行。如果这不是一个选择,还有其他途径来管理风险,但这真的取决于系统的具体情况。例如,利用虚拟化和操作系统回滚的优势,再加上系统冗余,可以创建一个类似沙箱的环境,从中测试新的更新部署。这必须由高素质、经验丰富的专业人员执行,他们知道系统和软件的局限性。一个验证更新的计划比没有任何风险缓解要好,在没有测试或回滚能力的情况下进入“补丁星期二”是在自找麻烦。
基于标准的安全设计和框架
重要的是建立组织政策和程序,并为网络基础设施和安全选择一个框架。有几个不同的框架可用,如ISA/IEC 62443标准集和NIST改进关键基础设施网络安全框架.一些行业也有安全策略的标准、命令或指导方针。企业应该在整个组织中应用这些策略,并且必须采取步骤修改、删除和添加基础设施以支持其策略。
有了安全框架和标准,系统设计就有了网络防御的理念,并从作为指导和支持的框架中采用了策略。还有许多其他设计步骤需要考虑网络安全问题,例如开发适当的区域和管道模型,但结果应该是可以通过完善的和行业公认的标准进行防御的。
图7:工业自动化终端用户可以通过与Tesco这样的系统集成商合作来改善他们的网络安全状况,后者可以聘请精通技术、行业和最佳实践的专家团队。礼貌:特易购
网络加固解锁运营和商业利益
为了创建和升级具有适当网络安全条款的自动化系统,由设计师、工程师和安全专业人员组成的团队必须建立统一的管理方法,认识到OT和IT网络之间的差异。这种方法必须涵盖从设计、系统集成到长期运营和维护的整个系统生命周期。
开始使用安全的OT系统绝非易事,但这对于组织的长期成功是必要的。为了帮助导航工作,制造商和机构应该与在网络安全设计和实施最佳实践方面经验丰富的系统集成商合作(见图7)。
由于OT威胁环境不断变化,特别是在当今互联生产系统中,网络加固是一个没有目标的连续过程,也不存在单一的完美解决方案。但好处是值得付出努力的。已定义的流程和弹性计划,以及OT网络物理保护机制,使组织能够享受更安全的远程连接,基于云的分析引擎,用于运营优化,始终在线警报功能和其他优势。
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
