保护您的设施
许多网络安全措施很简单,但必须做到
当我开始深入研究网络安全时,我意识到我不知道自己不知道什么。我脑海中的画面是黑暗的房间、高咖啡因的饮料和绿色的电脑屏幕。我甚至不知道从哪里开始了解这个领域,就像安全系统一样,出于无知的行动可能是危险的。
在网上搜索有关这个话题的资源也无济于事。在我从事控制系统工作的23年里,我从未见过这么多模糊的营销材料伪装成信息。为了更好地了解这个领域,你需要接受正式的培训。一些很好的资源是国土安全部的CISA ICS 301/401课程,ISA 62443标准培训或花时间审查NIST网络安全框架。
我们从哪里开始呢?
在安全上,没有安全这回事,只是更安全。同样对于网络安全,没有安全,只有更安全。如果一个国家想要黑进你的电脑,阻止他们的唯一方法就是拔掉所有的电源,切断大楼的电源,烧掉它,然后祈祷没有人把你关心的文件发给别人。你以为我在开玩笑,但确实有记录在案的案例,比如震网病毒通过修改气隙网络中的代码成功摧毁了设备。
我们能做的就是不要让自己成为羚羊群中跑得最慢的那只。如果我们能减少我们的“攻击面”,使我们的系统比隔壁公司更难被攻破,我们就不太可能成为攻击目标。
物理安全
第一步是考虑你的人身安全。你可能想知道我们为什么从这里开始。这是一篇“网络安全”的文章,不是吗?
我去过的后门不锁的工厂比我去过的后门上锁的工厂要多。穿上一件看起来像官员的衬衫,穿过一扇没锁的门,进入网络做坏事,没有人再看我一眼,这是一件小事。锁上大楼的门,安装RFID标识系统,这样人们就可以进出,这是一种廉价的方法,可以最大限度地减少盗窃、未经培训的人员造成的安全问题或有针对性的物理网络攻击等一系列问题。
还有,你的服务器机房锁上了吗?如果不是,我想我不需要解释为什么应该是这样。
员工的满意度
我看到的员工蓄意破坏的案例远远多于外部破坏。原因多种多样,从缺乏培训的员工到不满的生产人员。
一个引人注目的例子是,一家公司解雇了他们的维修人员,并聘请了第三方公司以低得多的时薪进行维修。那家公司以以前工资的零头雇用了被解雇的员工。这导致了可预见的停机时间,由于破坏设施。
无论是像上面这样的糟糕决定,还是员工中的坏苹果,心怀不满的员工对你的安全和底线都是有害的。尽你最大的努力让人们保持适当的状态,并实例化适当的访问控制来防止这些问题。
图1:对于网络资源有限的小型组织来说,将您的机器直接插入业务网络是很诱人的。礼貌:DMC
访问控制
将操作技术(OT)资产管理员权限授予每个用户是非常常见的。这种“最多特权”的方法在历史上是必要的,因为除非您使用更高的特权帐户登录,否则许多软件无法工作。
一个常见的风险是,总会有一个聪明的员工看到一个问题可以通过互联网上一个可疑来源的聪明软件来解决。即使是信誉良好的免费软件也会被恶意软件感染。只要一个有感染软件的人就能摧毁一台机器,甚至可能摧毁整个设施。这对安全来说是灾难性的。
现代控制软件使采取更积极主动的安全措施成为可能。实现这一点的最佳途径是使用“最少特权”方法来提供对OT资产的访问。不同的自动化平台和设备数量之多可能会使这变得棘手,因为没有单一的规则集用于实现。以下是一些简单的指导方针:
- 过去,由于知识产权(IP)的原因,可编程逻辑控制器(PLC)代码通常只有密码保护。这种保护还可以帮助防止对系统进行未经授权的更改。只要确保那些密码没有丢失。
- 人机界面(hmi)通常有一种到达管理屏幕的方法。应该将其分配到只有工程或维护团队才能访问的访问级别。
- 许多HMI、监控和数据采集(SCADA)、历史记录和报告系统运行微软Windows的一个版本。设置用户访问级别,允许操作人员完成他们的工作,并要求更高的权限来安装软件或对系统进行更改。为了允许应用程序以不同用户的身份运行,可能需要进行一些实验和高级配置更改,但这种更改是值得的。
- 锁定USB接口。有很多方法可以做到这一点,从在操作系统层禁用USB到物理锁定对USB端口的访问,再到在连接器中放入环氧树脂以永久禁用它。您可能需要USB端口进行系统维护,因此非常安全的环氧树脂路线可能不可行,但它们不应该被任何不是绝对需要它们的人访问。
网络隔离
不久以前,大多数工业机器都是独立的单元,没有连接到任何网络。现在仍有许多机器是这样操作的。这些系统相对安全,不会受到基于互联网的网络攻击。
随着对更协调的控制和数据收集需求的增长,设施所有者需要更多的系统连接。对于网络资源有限的小型组织来说,将您的机器直接插入业务网络是一种诱人的选择(参见图1)。
这对商业和制造业务有很大的影响。许多HMI和SCADA平台运行在Microsoft Windows的某些版本上。这意味着OT资产现在容易受到同样的恶意软件的攻击,在成功的网络钓鱼攻击或其他感染的情况下,这些恶意软件可能会感染业务网络。
另一方面,许多OT资产无法通过防病毒来保护,并且通常处于始终可访问的模式。这意味着,即使没有配置这些设备,运营商也可以把任何东西的u盘放在OT网络上,两个网络都可以从一个点感染。这听起来可能有点傻,但我们过去在人机界面电脑上发现过盗版电影。永远不要低估一个聪明的操作员用机器做未经授权的事情的能力。
要从这两个网络中消除所有风险是不可能的,但是一个简单的体系结构可以降低风险,其中It和OT资产由防火墙分隔,两者之间需要通过非军事区(DMZ)进行数据传输。如果您不能实现像图2中所示的简化设计那样更好的体系结构,那么机器是否需要联网?
图2:一个简单的体系结构,其中IT和OT资产由防火墙分隔,两者之间需要通过非军事区(DMZ)进行数据传输,这可以降低风险。实现更好的架构和简化的设计。礼貌:DMC
远程访问
回到本文“员工将安装完成工作所需的工具”部分,许多设施都在使用多个未经授权的远程访问工具。通常,所选择的工具是可以自由使用的(无论是否违反个人使用许可)或易于设置的工具。在这个现代世界中,远程访问是维护复杂的现代机器的必要条件。在发现维护团队在软件或网络中安装了密码控制不足的远程访问软件之前,考虑采取主动的方法来完成这项任务,这样他们就可以在周末登录来修理机器,而不是长途往返工厂。
有很多方法可以解决这个问题,包括专门为远程访问设计的硬件网关,许多远程支持软件服务,甚至使用工程计算机构建一个便携式系统,只有在需要诊断时才连接远程访问。
重要的是要确保这些访问得到很好的控制,并且对于谁有权访问、何时访问以及适当的用例是什么,您有适当的策略。
基本训练
任何网络安全系统中最重要的部分都是人。无论是注意到一个未经授权的人在工厂里走来走去,还是通知你一封可疑的电子邮件,都是你的团队帮助你保证安全。他们也是你最大的弱点。
“网络钓鱼”指的是旨在欺骗用户放弃凭证或点击某些东西以在计算机中安装恶意软件的电子邮件。这些邮件越来越复杂了。包括与合法信息几乎无法区分的个人定向电子邮件(鱼叉式网络钓鱼)。你的第一个想法可能是,“我的人很聪明;他们不会上当的。”然而,即使是聪明的公司也会有起起伏伏。请参见图3中的网络钓鱼测试历史记录。
自早期测试以来,我们已经进行了改进,但只需要一个人交出凭证就可以破坏您的网络。培训员工认识到这类活动,教他们如何报告并通知团队的其他成员,并进行安全测试,以确保吸取教训,并随着时间的推移保持学习。
图3:DMC的网络钓鱼测试历史。礼貌:DMC
要记住的六个关键概念
我们无法在本文中涵盖所有内容。然而,我们可以将这篇文章归结为以下六个关键点:
- 锁好你的门
- 你的团队对网络安全的成功至关重要
- 采用最少权限方法进行访问
- 不要混淆你的IT/OT网络
- 严格控制远程访问
- 教会您的团队识别和报告恶意活动。
这些概念很简单,但也需要投入和努力才能实现。
最终的想法
你永远不可能买到“一个网络安全”,你也永远不会“摆脱安全”。这些都是常识,你可能已经知道该怎么做了。这也有点让人不知所措。一个好的网络安全合作伙伴可以帮助你完成这些任务,减轻一些压力,但你不需要雇人来开始。从小事做起,找到容易摘到的果实。当你练习这个技能的时候,你会变得更有效率,你迈出的每一步都让你离最容易成为目标的目标更远。
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
