保持网络安全

信息技术(IT)和操作技术(OT)的融合，OT与外部网络的更广泛连接，以及工业物联网(IIoT)设备数量的增加，正在帮助提高工业流程的效率。然而，人们普遍认为，这种融合趋势也伴随着网络安全风险。

卡巴斯基工业网络安全业务开发经理基里尔·纳博什奇科夫指出，根据最近的统计数据，2020年，近57%的英国制造商面临网络攻击。去年，卡巴斯基ICS CERT发现了一种之前未知的多模块c++工具集，该工具集可用于2018年的高度针对性的工业间谍攻击。

“针对工业组织的事件有机地吸引了网络安全界的注意，因为这些事件非常复杂，并且集中于具有关键价值的部门。官方组织和倡议，如欧盟委员会的网络安全战略（ENISA）强调了采用专门方法解决网络安全风险的重要性——有针对性的攻击、间谍活动或破坏，”Naboyshchikov说因此，网络安全已经成为整个企业的一个关键因素——一直到董事会层面。

“企业需要保持其工业流程稳定，防止入侵，并遵守政策和要求。相关网络安全实践应允许他们控制OT环境，采用新的工程最佳实践和数字化项目，但还必须保护可能仍在使用的旧设备和系统。”

这些实践意味着在任何项目的一开始就考虑安全方面。获取最相关的威胁情报、漏洞评估和缓解、更新事件响应计划以涵盖特定ICS行动以及使用专门的网络安全解决方案也很重要。

卡巴斯基建议实施以下技术措施：

• 定期更新属于企业工业网络的操作系统、应用软件和安全解决方案。
• 限制在边缘路由器和组织的OT网络内部使用的端口和协议上的网络流量。
• 对企业的工业网络及其边界的ICS组件的访问控制进行审计。
• 为员工、合作伙伴和供应商提供专门的定期培训和支持，以访问您的OT/ICS网络。
• 在ICS服务器、工作站和人机界面上部署专用端点保护解决方案，以保护OT和工业基础设施免受随机网络攻击;以及网络流量监控、分析和检测解决方案，以更好地防范针对性攻击。

不断变化的网络安全格局

ABB Process Automation网络安全系统全球经理Robert Putman表示:“由于疫情，我们发现自己处于一个网络安全环境中，没有任何改变，但一切都变了。”“如果你得出结论说，在全球大流行期间更多地采用远程技术会增加工业的风险，这是可以原谅的。然而，对于架构良好、管理良好的运营来说，情况并非如此。”

当涉及到网络安全以及在大流行环境下有效运行所需的努力时，工程师很容易将担忧放在一边，专注于运行和维护工厂的日常挑战。它可以被视为一个问题，或被视为一个低可能性的风险。相反，工厂经理可能会对成功解决网络安全问题所需的感知规模、复杂性和财务要求感到麻痹。

普特曼表示，对于关心保护其工艺和工厂免受网络攻击的工程师来说，有一些好消息，也有一些坏消息。”坏消息是，网络安全需要在待办事项中占据更高的位置。在过去的12个月里，已经发生了许多引人注目的网络违规事件，网络风险的暴露有可能带来比数据或信息泄漏更为重大的现实后果。好消息是，通过在工厂系统中建立大规模的基本安全控制，可以有效地大幅提高网络安全。”

普特曼建议采用策略来减少潜在对手的攻击表面积——本质上是在两条战线上关闭尽可能多的门。“我们投入了大量资金，让同事们更容易使用系统——但我们也必须让潜在攻击者更难渗透这些系统。”首先，工程师需要采取措施使系统失去吸引力——引入软件和解决方案，使潜在的人类攻击者感到困惑和挫败;以至于他们被挫败到放弃的地步，或者被迫转向另一个目标。

“其次，确保系统也不能被勒索软件/恶意软件所利用，这是至关重要的。大规模应用基本安全控制可以减轻恶意软件的意外感染及其水平移动的倾向，从而造成进一步的破坏。”普特曼说，这可以在没有巨额财政支出的情况下实现。他强调了工厂工程师应该尽早采取的五个关键步骤:

• 建立全厂反病毒（AV）制度——这可能包括基于签名的AV和应用程序白名单的组合。基于签名的AV是传统的McAfee和Symantec，在这里，安全研究人员开发反病毒应用程序用于识别恶意软件存在的标准。
• 提供一个水密备份和恢复，以迅速恢复一个已知的良好形象受损的主机。
• 确保所有软件更新补丁下载、验证和安装一致，并在适当的时间间隔，以减少操作中断。
• 系统加固和配置。从单个主机到网络分段，确保您的架构是它应该是什么，以减少暴露。
• 维护参考体系结构，审核设计的遵守情况，并根据新的最佳实践和/或威胁的要求对设计进行更新。

标准的做法

西门子工业安全服务总监Stefan Woronka说，通过ISA 99/IEC 62443, ISA及其成员已经创建了一个被广泛接受和使用的标准，供应商、运营商和集成商可以使用和适应他们的环境。“对于想要开始这一努力的运营商，西门子建议进行IEC 62443评估，以确定两个重要方面的差距:流程(IT安全管理系统)建立得如何?标准与配置和操作的工业自动化和控制系统之间的差距是什么?”

根据IEC 62443评估的结果，运营商可以确定改善其网络安全的必要措施。除了技术措施——例如应用带区域和管道模型的深度防御概念——还需要考虑建立IT安全管理系统(ISMS)。ISMS将定义职责和额外的组织措施，如政策和程序。此外，它还将有助于提高员工、工程师和运营人员的意识。”“这一措施必须被视为与安全培训一样的常规活动。”

深度防御概念的技术措施范围从分区防火墙的实现到端点保护解决方案(如白名单和防病毒)的使用。作为先决条件，操作人员应寻求其工业自动化和控制系统供应商的指导，以防操作人员寻求实施的措施需要批准或可能导致与自动化硬件和软件的兼容性问题。

Woronka说:“有了这一点，我们就迈出了迈向功能安全架构的第一步。”“但这不是休息的时间，因为攻击者从不睡觉!”操作人员需要考虑持续的实施措施。最基本同时也是最复杂的一个问题是对漏洞进行适当的管理。”

这需要四个主要步骤:

1. 识别所有相关资产，包括固件和软件补丁级别。
2. 识别这些资产的现有漏洞。
3. 缓解这些问题的计划。
4. 最后是补丁本身。

Woronka说：“另一个要考虑的措施是实施一个监测解决方案，它将基线和监测工业自动化和控制系统的异常和变化。”

注意网络攻击的后果

H-ON咨询公司ICS网络安全和特别项目总监Massimiliano Latini表示，保护流程和工厂的第一步是意识到网络攻击的后果。

当IT世界已经意识到安全问题时，OT安全打开了一个以前隐藏和未知的世界。“OT网络比传统IT系统更容易进入，因此对网络犯罪更有吸引力，黑客可以轻易攻破工业自动化控制系统中最脆弱的部分，”Latini说。他认为，网络攻击最危险的影响与业务连续性有关，因为受到攻击的工厂可能会关闭，也会涉及安全和环境问题，换句话说，涉及人员伤害或事故和有害环境排放。

“最重要的是，工程师可以通过整理他们的数据基础设施来保护他们的过程，”拉蒂尼说。他建议，公司应该实施的第一个措施——遵循国际标准IEC 62443，这是工业网络安全最重要的参考标准——是将网络组织成IT和OT之间明确区分的区域，OT网络的分段也严格管理，以防远程访问。

他说:“我强烈建议使用专门设计的防火墙，以管理与工业基础设施相关的问题。”“选择高质量的工具对反击黑客也至关重要。这显然取决于基础设施的类型和需要管理的问题。为了按照IEC 62443对网络进行分段，必须花最大的努力来研究什么是最合适的防火墙和第3层交换机。最后，监控网络的软件在识别哪些漏洞正在影响系统方面也非常有用。”

了解你的网络安全系统

EEMUA技术执行官爱德华·凯斯勒（Edward Kessler）认为，在确保流程和工厂网络安全时，最重要的考虑因素是了解您拥有的以及与之相关的内容——在网络和控制方面——并了解行业最佳实践。

重要的是有一个好主意的路线图开发一个网络安全策略,虽然有一个巨大的身体信息——以标准的形式仍在开发——在许多情况下有太多的信息对于一个忙碌的工程师承担。

Kessler说:“有很多地方可以找到容易理解的最佳实践信息。”“你可以参考EEMUA指南，在英国也有HSE指南。这将帮助工程师更好地了解他们的设备，每个元素依赖于什么，数据流是什么，以及基本的网络地图是什么。”

Kessler指出，许多组织已经有了固定资产登记册，但从网络安全角度来看，这可能不包含最有用的信息。“重要的是要详细检查这些联系是什么。例如，仅仅说它是以太网或RS232连接，在网络安全方面可能并不重要。您还需要查看数据流以及什么依赖于什么—例如，您可能认为您只是在向设备发送控制信息。但你可能有一个日志功能，它依赖于GPS，所以你需要知道这是哪里来的。所有这些元素都需要加入进来，因为从网络安全的角度来看，它们可能很重要。”

Kessler最后警告说，OT环境中的网络安全风险正在增长，因为许多攻击者唯一真正的兴趣是赚钱，所以攻击很可能是随机的——但机会主义的——针对最容易访问的系统。那些实践良好网络安全卫生的组织将有更好的机会阻止攻击者。重要的是要领先攻击者一步，所以网络安全需要一个持续的过程，当涉及到网络安全时，预防肯定比治疗好。

苏珊娜吉尔编辑器,欧洲控制工程．这篇文章最初发表于控制工程的欧洲网站．由Chris Vavra编辑，网页内容经理，控制工程、《媒体,cvavra@cfemedia.com