网络安全:制定一个游戏计划

网络安全是业界的热门话题，这是有充分理由的。在过去的一年里，我们看到了几次大规模的恶意软件攻击，使全球多个行业的制造商陷入瘫痪。从欧洲开始的攻击很快就传到了这里，反之亦然。一些制造商不得不切断企业网络，使用个人电子邮件账户和手机继续运营。每天，似乎都有一个新的警报，在某些自动化硬件或软件中发现一个新的漏洞。

网络攻击感觉就像一个遥远的概念，即使它们袭击了我们的家，因为对我们许多人来说，影响是无形的。一家大型制药公司的电脑受到攻击，或者海外电网受到攻击，这些都不会对日常生活构成威胁，因为这些攻击并没有以一种重要的方式袭击国内。对网络安全的关注和资源分配与对安全的关注非常相似。我们都听说过安全预防措施没有实施的情况，因为管理层没有看到安全预防措施的价值，直到他们因事故被OSHA处以巨额罚款。一旦不利事件发生，要避免潜在的巨大损失就太晚了。

我们从制造商那里得到的反馈是，许多人不知道他们有多脆弱。他们有防火墙、气隙制造网络和dmz，但许多制造商仍然受到影响，即使他们有这些保护措施。从定义风险和发现安全价值到提供可操作的项目来帮助弥合差距，大多数网络安全演示都没有一个易于遵循的过渡。相反，许多演示以网络安全汽包或审计流程的推销结束。

不过，并非所有平台都是汽化软件，也并非所有评估都是不必要的。有些公司拥有一流的安全评估和网络安全平台，但重要的是不要成为恐惧、不确定性和怀疑(FUD)策略的受害者，这种策略提供了一份没有价值的报告，或者一个无法兑现先前承诺的平台。

网络安全是一个复杂的问题，它需要一个灵活的、不断发展的、多方面的方法。它不像单一产品或一套标准那么简单。每个场景都有独特的挑战和相应的解决方案。总有一些共同的概念可以作为构建完整网络安全计划的基础。

遗留的迁移

遗留迁移可以立即增强安全性。传统的自动化设备给任何制造网络带来了各种各样的问题和危险。

首先，大多数制造商停止了对遗留系统的支持。这包括技术支持以及补丁开发和测试，以帮助减轻安全漏洞(如将OPC值插入控制器的能力)或其他产品故障。

许多遗留平台不支持Windows域身份验证，在这些情况下，用户组使用通用的用户名和密码。这些用户名和密码通常是非常基本的，设备无法对登录者和更改内容进行审计跟踪。对于遗留设备，在HMI上张贴用户名和密码的便利贴很常见，授予任何人访问权限。这使制造商面临内部和外部的威胁。

遗留平台通常也运行在遗留操作系统上，这些操作系统可能不再受到供应商的支持。这需要额外的工作和硬件来隔离计算机，而且它不一定保证绝对免受外部威胁。

不幸的是，许多遗留系统仍然存在，因为它们是关键流程的一部分，而停机时间是不可用的。当了解到安全事件的停机时间将比迁移的停机时间更大，更具破坏性时，迁移的情况就变得势在必行。

现代化工作带来了大量的流程好处，但它们也带来了各种安全性好处。无论是推出一个更新、更受支持的平台，还是摆脱一个不受支持的操作系统，现代化都比闪亮的新塑料要重要得多。

补丁管理

最容易摘到的果实之一是微软补丁管理。部署微软补丁可以说是网络安全最基本但也是最重要的支柱之一。微软每周二都会发布一组补丁，其中一些是关键的安全补丁，可以减轻恶意软件攻击所造成的破坏。然后，自动化供应商将这些补丁与他们自己的软件进行测试，以开发一份经批准的补丁列表，供制造商参考。

补丁管理的一个大问题是，并不是每个供应商都公开提供这些信息，我们希望行业或政府在未来几年能要求这样做。提供信息的人以各种不同的格式分发信息。补丁列表有时长达数百页，制造商需要一组工程师来确保正确的补丁安装在正确的操作系统上。

对于多个软件平台，这种复杂性会增加，因为必须在每个平台上验证每个补丁的兼容性。这通常导致制造商采取两种方法。无补丁方法可以确保没有因未批准的补丁而导致的停机事件。问题是它不允许部署关键的安全更新。部署所有补丁方法确保部署了关键的安全更新，但也可能由于未批准的补丁破坏软件而导致停机事件。

为了遏制这种行为，可以使用自动化解决方案来确保只部署供应商批准的补丁。还有一些工具可以检查跨多个供应商平台的兼容性。这样的工具可以大大减少打补丁所需的时间，同时还可以提高安全性。

服务提供商合作伙伴关系

网络安全是一项集体努力。保障安全是我们的集体社会责任。最近受到恶意软件攻击的一些制造商有很多内部标准，旨在保护他们免受此类灾难的影响，但粗心的承包商和服务提供商引入了一个他们没有计划的变量。仔细选择系统集成商或服务提供商是至关重要的一步。如果公司打算允许其他人访问重要系统，他们需要确保自己有一种安全文化。

询问潜在的合作伙伴他们如何处理安全问题，或者他们自己的内部安全标准是朝着正确方向迈出的一步。任何有能力和设备的服务提供商都不会有问题分享这些信息。例如，Panacea从虚拟基础设施运行其所有项目。除非需要，否则不允许虚拟映像访问internet，并且项目映像与其他系统分开。

我们知道对我们基础设施的成功攻击可能会感染客户端，因此我们的网络旨在限制攻击面并严格保护所有关键进程。我们的服务器机房被锁起来，只有经过授权的人员才能访问管理员权限。我们也有攻击监控解决方案，以帮助提醒我们潜在的问题。

我们很乐意向任何客户展示我们的设置，因为网络安全对我们很重要，我们希望他们知道他们的信息得到了妥善的处理。任何以质量为导向的服务提供商都会这么做。

采用和培养安全文化对全球制造业的成功至关重要。虽然这看起来像是一项重大努力，但您可以从几个关键项目开始，这些项目可以帮助推动整体文化变革，使网络安全成为一项团队工作。部署关键的微软补丁是一个重要的基础支柱。迁移遗留的自动化安装可以帮助弥补企业网络上的安全漏洞。

与了解安全是我们保护工厂的集体责任的公司合作，将对您的组织产生直接影响。一旦这些步骤到位，威胁检测、实时监控和以安全为中心的网络设计等概念就会变得更容易采用。网络安全有许多方法，但重要的是现在就开始，而不是等待安全事件来推动变革。

将Aja是Panacea Technologies Inc.的客户运营副总裁。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。