IT/OT融合建议，制造商的最佳实践

苏珊娜·吉尔控制工程欧洲与一些思想领袖就制造商面临的网络安全挑战以及如何最好地克服这些挑战进行了交谈。以下是他们的建议和技巧。

信息技术/运营技术(IT/OT)融合的最大安全风险和挑战

Tobias Heer教授他认为，最大的问题是混合IT和OT系统所产生的异构性和复杂性，导致系统从安全角度难以理解。他说，结果是对网络中发生的事情缺乏控制。特别是当限制性较低的网络多年来不断发展时，就很难知道发生了什么。摆脱异构性并不总是可能的，因为我们有非常不同的设备类别(一方面是控制系统，另一方面是IT服务器)。所以，确保你对正在发生的事情了如指掌是关键。

Heer说，最近的勒索软件攻击经常利用工业网络中通信过于自由和连接系统中存在已知漏洞的事实。这正是一个开放且可能未知的网络结构的结果。如果多个组管理网络并可以将设备连接到网络上，那么复杂且无组织的网络的结果可能会变得更糟。当然，如果一切都有一个有效的网络，工作就能完成。

然而，在这种情况下，关键的安全控制很难实现。另一方面，从了解网络中发生的事情开始，可以实现整个安全控制链。资产管理使您能够发现漏洞和过时的软件版本。了解正在使用的软件使您能够实现补丁管理，以始终保持您的设备是最新的。了解所有设备及其对等体可以帮助您将网络划分为不同的区域，以限制攻击者的通信。了解允许的通信模式可以让您检测偏差并最终识别攻击者行为。这一切都始于你拥有完全可见性和控制权的网络。然后，其他核心任务突然变得可以处理了。

安德鲁·布洛克罗克韦尔自动化的工业自动化和网络网络安全专家认为，IT/OT融合最大的安全风险和挑战之一是领导不力。它没有为安全生命周期过程定义责任层次结构。布洛克指出，在没有安全责任的情况下，人们出于提高运营可见性和洞察力的良好意图，从而提高性能和运营效率，从而允许非托管设备在网络上扩散，特别是开放物联网。然而，通过这样做，他们通过增加未受保护的网络入口点的数量来增加攻击面。

创建一个结构化的安全责任层次结构，使组织能够建立良好的安全实践文化，并确认使用了适当的安全程序和技术。领导者必须积极参与并赞助各种项目和工作组的开发，例如，对IT专业人员或IT部门进行教育，以帮助他们了解IT和OT网络之间的不同优先级，或者让工程经理了解与不受监控和不安全的外部远程连接相关的风险，以允许“易于修改”，让操作员意识到操作屏幕或机器的意外行为。

了安古斯高威他是Analog Devices的安全系统工程师，他表示OT资产管理是融合网络的关键挑战。他表示，OT网络通常没有具有丰富配置文件数据的活动设备映射，这使得设备访问网络可以被控制和管理。在融合网络中，该特性允许恶意设备连接到网络中，并更容易在网络中进行交互，从而为网络上的观察或恶意行为创造安全漏洞。

如何在融合网络中应用和管理安全概念变得越来越重要。设备制造、调试和维修过程需要以安全思维进行设计。如果没有安全生命周期流程，OT网络中的设备将暴露在由不良安全卫生造成的威胁之下。

Gorey认为，随着制造业向具有更强人机动态的工业5.0模式发展，OT网络的接口将比以前更像IT网络，因此这可能会使OT网络面临更大程度的社会工程威胁。

菲利普·科纳泰利斯英国公司的工业网络安全工程师表示，流程系统和业务系统的互联不仅可以为企业带来运营上的好处，还可以为企业提供网络弹性。端点保护、补丁管理、监控系统、备份和恢复以及支撑网络弹性的其他关键组件可能在业务系统中更为先进，可以有效扩展以满足流程安全需求。

此外，目前大多数最先进的解决方案都有一个由供应商托管的云组件，用于配置、管理和监视。然而，Corner表示，与孤立系统相比，连接的好处必须在系统及其组件资产的整个生命周期内仔细规划和管理，以平衡相同连接所带来的风险，以免它也带来重大的网络安全风险。特别是在具有遗留资产的现有系统中，这些资产可能没有强大的内置安全性。

互连也可以是公共互联网，提供对ICS资产的外部访问。最近的大流行见证了远程访问技术的急剧增长，这些技术正在为业务和流程系统快速实施。如果没有持续的管理，这样的边界系统就会变得不安全，基本上会为攻击者敞开大门。

对几个流行的远程访问产品的漏洞披露的研究显示，在互联网上公开检测到的脆弱系统数量令人担忧，有时是在供应商发布更新数年后，这表明一些组织甚至未能理解和解决其高风险资产的基本最佳实践。

保障融合IT/OT网络安全的建议

Heer指出，融合IT/OT网络通常是具有不同通信协议和软件的不同系统的混合体。攻击者可以选择链中最薄弱的环节，在通信不受限制的情况下选择最脆弱的设备。因此，融合网络需要对通信能力和访问进行严格的规划。只有一个大的连接组件几乎肯定会出现安全问题。在这些区域之间引入额外的区域和防火墙规则是创建弹性工业网络的关键。

Heer说，通过将网络划分为不同的区域，一个受感染设备可能的通信对等点是有限的。严格控制区域之间的通道，例如通过使用限制性的防火墙规则，也有助于阻止恶意软件从网络中更it友好和开放的部分溢出。

如果有一个好的区域和管道概念，让攻击者远离工厂的脆弱部分就容易得多。这是对抗目前肆虐的勒索软件的最重要的对策，这些勒索软件对许多工业场所造成了严重破坏。将不需要通信的设备分开意味着保持现有的已知或未知漏洞彼此不可访问。

区域和管道的概念非常重要，已成为ISO/IEC 62443的核心部分，该标准为运营商、集成商和供应商提供了如何构建安全工业场地的指导。Heer的建议是接受这个标准。如果您不打算使用或实现它，那么至少通过将网络划分为不同的独立区域来实现区域和管道的概念，以阻止或减缓在网络中获得初始立脚点的攻击者。

布洛克说，工业安全必须是全面的。它应该从企业延伸到工厂级别，甚至延伸到终端设备，并解决跨人员、流程和技术的风险。它应该包括It和OT人员之间的协作。双方在建立安全的网络架构方面都发挥着重要作用。他说，一个完全互联的企业需要一个全面的安全方法。

一个复杂的、相互关联的系统包含挑战。了解潜在风险并开始在工业自动化控制系统中构建安全性是至关重要的。然而，在定义任何安全性之前，建立责任是很重要的。了解谁负有责任是启动确保融合IT/OT网络安全过程的关键。无论是个人、工作角色还是部门，拥有“指挥链”意味着将正确地构建和定义整个安全计划。

布洛克说，制定和实施有效的工业安全计划首先需要了解组织内部存在的风险和脆弱性领域。安全评估的可交付成果至少应包括:已授权和未授权设备和软件的清单;系统性能的详细观察和记录;确定容忍限度和风险/脆弱性迹象;每个漏洞的优先级，基于影响和利用潜力。

Corner表示，在进行系统互连时，操作人员必须确保对系统、功能需求、组件及其行为有适当详细和清晰的文档化理解。一些供应商提供产品来协助这个过程，这在很大程度上是有帮助的，但是对于有经验的人来说，使用常见的免费工具来建立系统的物理和逻辑拓扑、它的配置以及从网络通信角度的“合适”行为的准确记录同样是实用的。

对物理和逻辑方面进行调查非常重要，这是识别和解决网络风险的基础，通常还可以识别潜在的操作弹性缺陷，包括通信电缆损坏、电源故障、缺乏配置备份和不正确的配置。

可以创建所需核心功能的基线，然后实现将访问限制到所需的最低限度的控制，这可以包括分割系统以控制数据的逻辑流(IEC 62443对齐分区方法)，还可以实现强大的个人识别和身份验证，分配尽可能少的特权。对于远程访问等面向外部的系统，多因素身份验证是绝对必须的。

针对控制工程师的OT安全最佳实践

Heer说，有大量的安全最佳实践可以遵循。它们可以最好地归类为it类或ot类安全最佳实践。总的来说，这是一套重要的措施，以保持一切干净，简单，避免复杂。无论是否拥有融合的IT/OT网络，都必须做到这一点。

然而，Heer说，安全方面的技术推动和创新来自IT方面。近年来，安全信息事件管理(SIEM)系统、日志管理解决方案、网络访问控制和入侵检测系统在识别攻击者和有效管理大量可能暗示或不暗示攻击者存在的可用数据方面有了更成功的应用。这些技术有利有弊。作为一个好处，许多系统使安全管理更加有效。

然而，它们往往很复杂，需要特殊的技能。因此，仔细选择工具对于避免头痛很重要。

确保安全可以检查和改进可能比任何技术系统都更重要，这从负责安全的人开始。给某人分配任务，并确保他们有时间和知识来真正完成它。

接下来，Heer建议采用适合该行业的相关安全标准之一。一个好的标准提供了足够的关于安全最佳实践的抽象建议，这样您就可以开始实际的工作。即使你不打算实现它，也要习惯实现它所需要的东西。

最后，他说，决定什么是有意义的。首先关注职责和流程，而不是优先考虑技术解决方案。在开始时，与流程和人一起工作可以提供最佳的杠杆。另外，一定要将这些过程形式化并记录下来。你越精确地描述工厂的政策和程序，你就越能更好地保护工厂或发现危险的不当行为。

根据布洛克的说法，工业安全最好是作为一个横跨所有业务的完整系统来实现。纵深防御(DiD)安全性支持这种方法。基于任何一个保护点都可能被击败的概念，DiD安全通过物理、电子和程序保障措施的组合建立了多层保护。

DiD安全方法应包括六个主要组成部分:策略和程序、物理、网络、计算机、应用程序和设备。策略和程序在塑造文化行为以遵循良好的安全实践和确认使用适当的安全技术方面发挥着关键作用。

物理安全不仅应限制人员进入设施区域，还应限制人员进入物理网络基础设施的入口点，如控制面板、电缆和设备。在设施层面，门禁控制技术(如联网钥匙卡)有助于限制只有授权人员才能进入工厂楼层、控制室和其他区域。

建立网络安全架构，保障网络基础设施免受网络攻击。这需要IT和OT之间的密切合作，包括就最好地保护资产和创新能力所需的技术和政策进行强有力的讨论。讨论的技术之一应该是工业非军事区(IDMZ)，它在企业和工业区之间建立一个关键的保护屏障。在网络级别上，将工厂的各个区域划分为虚拟局域网(vlan)是一种很好的安全实践。应该在工业网络内部和周围部署带有入侵检测和防御系统(IDS/IPS)的防火墙，以管理和限制网络流量。

建立安全补丁管理，以跟踪、评估、测试和安装网络安全软件补丁。认证、授权和计费(AAA)软件可以限制和监控应用程序的访问和更改。防病毒软件、应用程序白名单和主机入侵检测系统可以进一步加强计算机资产。

作为DiD方法的一部分，安全设备也应纳入制造或工业应用级别。基于角色的访问控制系统可以限制对关键流程功能的访问，或者要求操作员在访问应用程序之前输入登录信息。

设备身份验证和未经授权的设备识别有助于确保只使用受信任的设备。此外，更改嵌入式设备的开箱即用默认配置可以帮助它们在限制性访问和变更管理等领域更加安全。

科纳的建议是，在为组件添加额外的控制以提供DiD之前，仔细研究如何最大限度地利用组件的内置安全特性。这需要认识到商品组件在默认情况下可能表现出不安全的特征。集成商和运营商越来越多地寻找具有“设计安全”原则的认证供应商，但不一定认识到其局限性。认证通常是通过默认禁用所有功能的产品来实现的。这并不意味着不能配置不安全的功能，因此确保这些产品也以“通过集成安全”和“通过操作安全”的方式使用是至关重要的。

需要承诺通过培训和经验来建立和保持对正在使用的组件及其技术原则的深刻理解。

组织应该尽可能地利用来自业务团队和流程团队的专家。他们的ICA工程师将对流程需求有天生的理解，但即使他们最有能力，也不太可能像他们的IT同行那样在通信网络或服务器方面有经验。促进各级的合作与协作至关重要。通过配对来自不同专业的热情的个人来分享他们的知识和经验，双边同伴指导是实现这一目标的有效方法。

本文最初发表于欧洲控制工程网站．由网页内容经理克里斯·瓦夫拉编辑，控制工程、《媒体,cvavra@cfemedia.com．

原始内容可以在www.controlengeurope.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。