缓解网络安全担忧

对安全的恐惧可能是一种痛苦的经历。现在是时候减轻这种痛苦了。

去年显然是网络安全意识增强的一年。虽然安全界很久以前就意识到这种威胁，但在过去的365天里，普通员工和高管对攻击可能性的普遍认识变得非常清楚。

然而，意识并不总是意味着行动。在即将到来的一年里，我们可能会看到更多对安全事件的下意识反应，而那些久经沙场的安全老手们将继续防范这些事件。但这不是必须的。工业控制系统(ICS)安全专家将继续强调建立一个可靠的安全计划的重要性。

让分析该行业的专家感到懊恼的是，用户认为安全纯粹是一个技术问题，在一定程度上也是如此。但它远不止于此。人员、流程和技术的概念真正发挥了作用。

人仍然是安全中最薄弱的环节，但他们有可能成为最强大的资产。为了实现这一点，制造商必须培训并迫使工人像对待安全一样对待安全。

这种情况导致创建一个依赖于行业中各种安全标准(如IEC 62443)的安全流程。制造商需要专注于确保每个人在任何时候都保持警惕并处于游戏的顶端。

有可靠的技术可以减少任何类型的攻击，但供应商需要了解他们需要保护什么，然后应用适当的技术。用户不能只是把技术扔到问题上，然后期待结果。需要有一个深思熟虑的计划，不能一下子解决问题的严重性，而是在一个项目接一个项目的基础上解决问题。

安全和安全

在过去的一年里，越来越多的制造自动化专业人士认识到安全和安保确实是齐头并进的。虽然有些原则确实不同，但理解风险和减轻风险的想法是相同的。

当您看到安全领域的不断变化时，差异就会发挥作用，因为应对措施几乎每天都需要更改，这与行业中普遍存在的“一了百了”的心态背道而驰。最重要的是，安全方面的成熟度并不像安全方面那么明显。

另一方面，安全有明确定义的标准和实践，安全专业人员有更大程度的信心，认为系统应该为过程和设施提供一定程度的安全。安全和安保需要提供一个统一战线，一个领域可以从另一个领域学习和分享专业知识。

改变心态

如前所述，安全确实与传统思维背道而驰。这才说得通。坏人不按规则生活，而制造业自动化专业人士则按规则或标准生活。昨天起作用的，今天和明天也一定会起作用。这种想法必须改变。

这一切都意味着了解系统，知道什么时候事情不正常或看起来不对，这仍然是前进的关键因素。由于高级持续性威胁(APT)有可能渗透到系统中，并在一段时间内占据一席之地，以了解系统的来龙去脉，因此了解系统并了解应该和不应该发生什么是至关重要的。这就是应用程序白名单这一技术能够真正发挥作用的地方。应用程序白名单允许执行明确允许的(或白名单)软件，并阻止执行其他所有软件。这消除了未知程序的执行，包括恶意软件。

在业务网络中使用应用程序白名单时面临的一个挑战是管理不断变化的允许应用程序列表。在控制系统环境中，这种负担减轻了，因为在这些系统中运行的应用程序集本质上是静态的。

白名单不是唯一的答案，但它是一个解决方案，增加了需要加强保护的武器库。

从内部建立安全

与不断变化的思维方式保持一致，安全需要专注于从内部保护，而不是确保加固的边界。硬外部的概念在几年前就已经奏效了，但正如业界从Stuxnet中学到的那样，如果有人想进入一个系统，不管他们是否有坚固的边界或气隙，他们都会进入。

这意味着进行真正的系统评估对于理解必须保护的内容和位置至关重要。毕竟，在您知道要保护的是什么之前，您无法进行安全性设计。记录用户安装了什么是至关重要的，因为他们通常甚至不知道他们的系统上有什么。这可能会导致区域和管道的建设，这可能会破坏系统并将其分割。这样就可以对每个单独的区域进行风险评估。

威胁:内部，外部

使用区域和管道模型也表明，攻击来自外部还是内部并不重要。这个想法是定位攻击并在分区区域内减轻攻击。

2015年被揭穿的一个误解是，更多的威胁来自外部。很明显，内部威胁更为普遍，给制造商带来了更多的不和。

内部威胁已经成为一个非常严重的问题，国土安全部(DHS)国家网络安全和通信集成中心(National Cybersecurity and Communications Integration Center)制定了一份指南，帮助企业防范恶意的内部活动。

内部威胁是指当前或前任雇员、承包商或其他业务合作伙伴拥有或曾授权访问组织的网络、系统或数据，并故意滥用该访问权限，对组织信息或信息系统的机密性、完整性或可用性产生负面影响。

需要注意的人事迹象包括:内向、贪婪或经济需求、强迫性行为、忠诚度降低、倾向于将自己的错误或缺点最小化、不容忍批评、道德灵活性、缺乏同理心、沮丧或失望的模式。

它/不收敛

不管你喜欢与否，信息技术(it)和运营技术(OT)需要更紧密地合作，以确保企业和工厂车间的安全。IT在安全游戏中的时间要比工厂长得多，因此了解他们并正确应用他们的知识非常重要。在硬币的另一面，IT必须了解工厂车间是关于什么的，并且保持系统正常运行是首要任务。

防火墙有两面，这意味着IT在一边操作，OT在另一边操作。这并不意味着双方是独立的岛屿，这只是意味着他们的专长在个别领域占主导地位。更强调沟通和理解保持系统正常运行和生产产品的真正最终结果仍然是至关重要的。

工业物联网增加了攻击媒介

IT/OT的融合也将促进互联互通的发展。因此，当你谈到增强的连接性时，工业物联网(IIoT)这个词就会跳出来。

虽然工业物联网现在是一个营销短语，但无论它的名字是什么，增加连接的想法都将继续存在，并有可能对整个企业从业务方面到制造方面造成严重破坏。潜在攻击媒介的增加增加了许多倍。

更大的连接意味着更多的知识，这意味着更多的机会，而这一切都围绕着安全。这也意味着安全部门需要比目前更强大的存在感。

虽然业界在谈论工业物联网，但很少有人在如何从中获益方面取得进展。好的一面是，如果制造商足够聪明，它可以从一开始就纳入安全措施。

专家表示，作为工业物联网的大哥，物联网(IoT)的影响到2025年可能会超过11万亿美元。以下是可能导致安全IIoT实施的五个步骤:

1. 评估:用户必须知道他们拥有什么，它在哪里，它做什么，谁拥有和管理它。
2. 迁移/更新:用户应该以以太网为基础。
3. 适当的设计:最终用户需要关注网络并创建区域和管道分割模型。
4. 保护:内部风险和外部风险并存，安全需要重叠。
5. 监控:用户需要对网络进行监控，并制定定期维护、持续监控网络、系统故障警报和建立响应协议的计划。

云覆盖

云计算的使用仍在继续增长，但这并不意味着在这个过程中没有成长的烦恼。

协作、存储、客户关系管理(CRM)和企业资源管理(ERM)等关键应用程序正在向云迁移。这意味着大量的企业数据最终将迁移到云端。

云计算提供了许多好处，但对不那么安全的云计算的担忧让公司领导人夜不能寐，因为如果出现漏洞，他们可能会失去重要的知识产权。

云的增长和相应的边界扩展给IT专业人员带来了巨大的挑战，他们希望保护自己的企业免受新出现的攻击。分析哪些数据才是真正重要的，再加上用户教育和授权的增加，将确保安全能够跟上云的巨大增长。

网络保险

一份报告称，网络风险是企业面临的一个主要且快速增长的威胁，仅网络犯罪每年就给全球经济造成4450亿美元的损失，其中全球最大的10个经济体占了其中的一半。

大约15年前，网络攻击是相当初级的，通常是黑客活动分子的工作，但随着互联性、全球化和网络犯罪商业化的增加，网络攻击的频率和严重程度都有所增加。

网络保险不能取代强大的安全，但它创造了第二道防线，以减轻网络事件。

网络风险意识的提高以及监管变革将推动网络保险的发展。由于目前只有不到10%的公司购买网络保险，有预测称，未来十年，全球网络保险保费将从目前的每年20亿美元增长到200多亿美元。

为了显示成本的增长，过去两年针对美国公司的攻击有所增加，保险公司现在正在提高网络保险费。

虽然这个问题跨越了行业边界，但制造业自动化部门多年来一直在关注这个话题。除了提高费率外，保险公司还提高了免赔额，在某些情况下将保险金额限制在1亿美元以内。虽然这个数字看起来很大，但实际上可能会让公司面临攻击可能带来的巨大成本。

保险公司面临的挑战之一一直是在数据泄露时确定潜在财务责任的范围。这在很大程度上是由于缺乏了解数据泄露的潜在财务影响的信息。然而，随着数据泄露事件的增多，保险公司有了评估风险所需的数据，结果令人震惊。

这意味着保险公司认为，数据泄露的财务风险超出了最初的清理。网络保险的价格差别很大，取决于公司的安全实力。网络保险可以帮助支付法医调查、信用监控、法律费用和和解等成本。

婴儿潮一代离开劳动力市场

婴儿潮一代准备离开这个行业的问题多年来一直是一个令人担忧的话题，但大批人的离去仍在继续，大多数制造商提出的补救措施充其量是临时的。

有一件事会有所帮助，那就是有更多的自动化来取代空座位，但它也有助于标准化，确保每个人都接受过培训，并了解标准的操作程序。

随着婴儿潮一代的退休，他们带走了他们的知识，这可能会造成伤害，但随着更年轻、更精通计算机的工程师的加入，人们可能会初步认识到考虑安全的重要性。

说制造自动化领域的安全是公司领导人最关心的事情是轻描淡写的;问题是，无论是大公司、中型公司还是小型公司，都要开始制定一项计划，以减少攻击带来的痛苦。

格雷戈里·黑尔是《工业安全与保安资源》(ISSSource.com)是一个新闻及资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com。Chris Vavra编辑，CFE Media制作编辑，控制工程，cvavra@cfemedia.com。

关键概念

• 人要成为网络安全的最强环节，而不是最弱环节。
• 理解和减轻风险是一回事，需要提供统一战线。
• 工业物联网(IIoT)对制造商来说有很大的潜力，但它也带来了需要解决的网络安全风险。

考虑一下这个

您或您的公司采取了哪些措施来更好地应对潜在的网络安全漏洞?

在线额外

请看下面链接的格雷戈里·黑尔的更多报道。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。