在推动创新的同时,保护数字化制造供应链

组织必须时刻保持警惕,不仅要对自己的网络安全实践保持警惕,还要对供应商的网络安全实践保持警惕。

通过加里•科恩 2022年9月14日
提供:加里科恩,CFE媒体和技术

制造业供应链洞察

  • 制造业是因网络攻击而导致数据丢失的头号行业,也是网络攻击量排名第二的行业。
  • 许多中小型制造商认为,由于自身有限的业务背景,它们不会成为网络攻击的目标,但由于供应链的原因,事实往往恰恰相反。
  • 如果您不知道从哪里开始使用网络安全,请尝试利用组织网络安全框架作为起点。

鉴于全球制造业的互联性,网络安全可能是一个巨大的挑战。企业的实力取决于其供应链中最薄弱的环节,许多中小型制造商甚至没有自己的信息技术(IT)部门。随着组织的数字化和互联性越来越强,他们不仅必须对自己的安全实践保持警惕,还必须对供应商的安全实践保持警惕。

国际制造业贸易展(IMTS)于2022年9月12日至17日在芝加哥麦考密克广场举行。虽然大部分会议都围绕着数字和传统制造业——从3D打印到钻孔和磨削——但在展台上也有网络安全的元素。周一,9月12日,Laura Elan,网络安全高级总监MxD他在“在促进创新的同时保护数字制造供应链”的分组会议上发表了讲话。

MxD与美国国防部(DoD)以及近300个工业和学术合作伙伴密切合作,在美国国防工业基地和供应链中开发和实施数字能力。作为他们努力的一部分,MxD已经启动了国家制造业网络安全中心,以帮助确保工厂环境的安全,特别是中小型制造商。

MxD网络安全高级总监Laura Elan在“在促进创新的同时保护数字制造供应链”的突破会议上发言。提供:加里科恩,CFE媒体和技术

MxD网络安全高级总监Laura Elan在“在促进创新的同时保护数字制造供应链”的突破会议上发言。提供:加里科恩,CFE媒体和技术

为什么网络罪犯把制造供应链作为攻击目标?

根据Elan的数据,制造业是网络攻击造成数据丢失的第一大行业,也是网络攻击数量排名第二的行业。此外,美国35%的网络间谍攻击是针对制造业的。美国有244,098家制造企业,其中有近19.4万家属于中小型企业。

虽然许多这样的小公司认为,他们有限的知名度使他们免于成为网络攻击的目标,但事实往往恰恰相反。网络犯罪是一门大生意。根据Bromium委托进行的一项研究,2018年,网络犯罪业务估计价值1.5万亿美元。威胁分子知道他们可以通过找到他们供应链中的薄弱环节-通常是缺乏适当网络安全卫生的中小型公司。

为了保护敏感的国家安全信息,国防部最近推出了CMMC 2.0这是一个全面的框架,以保护国防工业基础免受日益频繁和复杂的网络攻击。但根据Elan的说法,这种威胁是真实而持久的,即使没有合规要求,也值得关注。这些供应链风险是工业企业脆弱性的一个重要来源。此外,与针对IT的攻击不同,影响控制系统的工业攻击可能特别危险,因为它们可能导致物理损害和人身伤害。

Elan表示,制造商在试图保护他们的系统时面临着几个挑战:

  • 我们如何在不超出预算的情况下扩大规模?
  • 我们如何管理所有的工具和技术?
  • 我们从哪里找到技能和人才?
  • 我们从哪里开始呢?
  • 我们应该用什么标准呢?

网络安全框架之争

MxD的Laura Elan讨论了关于选择哪种网络安全框架的争论。

MxD的Laura Elan讨论了关于选择哪种网络安全框架的争论。提供:加里科恩,CFE媒体和技术

MxD的Laura Elan讨论了关于选择哪种网络安全框架的争论。提供:加里科恩,CFE媒体和技术

如果你不知道从哪里开始,Elan建议利用组织网络安全框架作为起点。至于选择哪个框架——NIST, ISACA, ISO——Elan说它们之间有相当多的重叠。重要的是开始行动。“选择一个框架,然后走,”她说。以下几点可以帮助公司起步:

  • 库存:知道你有什么资产,你的贵重物品在哪里。
  • 评估:知道你的弱点在哪里。
  • 编写/培训:制定程序和规则。
  • 筑墙:保护你的周边网络。
  • 锁门:保护你所有的端点。
  • 监视入侵者:监视威胁。
  • 制定计划:事件响应行动计划。
  • 保险:准备好恢复以防攻击。

选择哪个框架取决于您的目标和您的监管要求。不同的框架适用于不同的事情。显然,您需要知道框架或法规涵盖哪些系统。根据SANS研究所2017年的一项研究,NIST网络安全框架(识别、保护、检测、响应、恢复)正在成为工业环境中的领先框架。

提高防御能力的五种方法

如果你真的想提高你的防御能力,Elan建议从这些必须具备的安全功能开始:

  1. 员工意识培训:人为错误是数据泄露的主要原因,因此你需要让员工具备应对他们面临的威胁的知识。培训课程将向员工展示安全威胁如何影响他们,并帮助他们将最佳实践建议应用于现实情况。
  2. 应用安全:Web应用程序漏洞是网络犯罪分子常用的入侵点。随着应用程序在业务中扮演着越来越重要的角色,关注web应用程序的安全性至关重要。
  3. 网络安全:网络安全是保护网络和数据的可用性和完整性的过程。这是通过执行网络渗透测试来实现的,该测试扫描您的网络以查找漏洞和安全问题。
  4. 领导承诺:领导层的承诺是网络弹性的关键。没有它,就很难建立或实施有效的流程。最高管理层必须准备投资适当的网络安全资源,例如意识培训。
  5. 密码管理:您应该实施密码管理策略,以提供指导,确保员工创建强密码并确保其安全。

Elan最后谈到了如何制定一个有效的计划。她首先问你,在你的行业中是否有你必须满足的合规要求?在此基础上,选择一个对你有意义的标准。然后,决定你是想要所有的指导,还是建立你自己的方法。最后,开始构建您的安全程序,不要忘记审计。

Gary Cohen是CFE媒体和技术的高级内容编辑。gcohen@cfemedia.com

原始内容可以在设备工程

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。

相关文章
加里•科恩
作者简介:加里·科恩是CFE媒体和技术的高级编辑和产品经理。
工程师新产品
搜索产品,发现你所在行业的创新