工业控制系统(ICS)集成网络安全的六个关键组件
检查工业控制系统网络安全需要查看审计、访问控制、威胁检测、风险缓解、过程传感器安全和认证和供应商协作。
学习目标
- 研究六种处理工业网络安全的方法。
- 看看内部和外部的工业网络安全威胁,没有竖井。
- 了解传统过程传感器缺乏网络安全保护。
随着针对关键基础设施部门使用的工业控制系统(ICS)的重大安全风险和攻击数量不断增长,并越来越多地在媒体上分享,需要提供和实施全面解决方案的公司。在全球范围内,被入侵的ics的财务和法律后果正在增加,监管机构对组织抵御网络攻击的能力越来越感兴趣,并要求他们进行网络风险评估。
部分解决方案的碎片化和这些关键部件的复杂集成是非常常见的,并且正在成为所有者决心减轻的成本和风险。不能开发网络解决方案来尝试和适应ICS。相反,它们需要进行架构、测试,并包含集成到ICS操作和维护活动中的标准操作程序。
工业控制网络每天都在发生恶意和意外的威胁和网络事件,用户必须意识到这一点。这些系统是关键基础设施的组成部分,可促进发电、石油和天然气、水、交通、食品、制药和化工等关键部门的运营。
六大工业网络安全解决方案
随着网络安全解决方案越来越多地被设计到组织的运营和政策中,有一些关键组成部分可以推动ICS环境的目标解决方案:
- 审查和应用专门为控制系统网络及其设备制定的安全政策和程序
- 通过局域网(LAN)、广域网(WAN)和物理边界进行访问控制,并辅以安全数据传输
- 在ICS基础设施的所有级别上对异常和恶意活动进行威胁检测
- 风险管理和降低可能的攻击,使用已安装的安全产品套件来增强和调节ICS,而不中断受控流程-虚拟化功能和硬件设备
- 处理传感器安全性和身份验证
- 需要与供应商建立内在关系的关键安全问题的解决。
上面提到的项目通常由三到四家公司提供;原始设备制造商(OEM)、顾问和软件供应商的混合体。一流的相关公司将为最终用户提供一流的解决方案,一站式服务。
审视内部和外部的网络安全威胁,没有竖井
ICS供应商为应对日益增长的网络安全威胁而降低控制系统安全风险的举措,导致自动化专业人员通过控制系统设计和最佳实践、技术和专业服务的结合,更有效地保护其工业流程。由于ICS代表了生产的核心,网络安全流程必须通过多层防御来解决内部和外部威胁,从而减轻各种类型的风险;一种风险知情的电子和物理深度防御方法。
ICS供应商和自动化专业人员必须致力于提供一套不断发展的产品和服务,以帮助降低风险并提高生产资产的安全性。当今组织内部存在的信息孤岛导致很少共享安全信息。综合解决方案提供商将获得、整合和促进新的网络安全技术的采用,并向最终用户交付所需的综合安全产品。
六个关键要素可以驱动ICS环境的目标解决方案:审核和应用安全政策和程序;2.安全数据传输的访问控制;3.对ICS基础设施各级的异常和恶意活动进行威胁检测;4.风险管理和缓解;5.过程传感器安全与认证; and 6. Resolution of key security problems that requires intrinsic relationship with vendors. Courtesy: MG Strategy+, Control Engineering
专注于工业传感器网络安全
ics以前通过与企业系统和物理安全隔离来满足安全需求。随着当今对远程访问能力、业务系统连接性以及使用行业标准硬件和软件进行设计的需求,这些系统现在具有更大的攻击面。组织不能再只是监控数字边界;他们需要监控数据可以在自动化业务流程和垂直渠道中找到的任何地方,如果受到损害,可能会损害组织的可靠性、安全性和完整性。
传统过程传感器缺乏网络安全保护
关键基础设施部门使用了数百万个遗留过程传感器,但没有网络安全、身份验证或日志文件,这些传感器不太可能更新以提高安全态势。这种传感器、通信协议和固有技术的生态系统使其成为全面网络安全管理的障碍。
的2021年7月工业控制系统网络安全倡议该计划的重点是促进技术和系统的部署,提供基于网络的方法来实现威胁可见性、指示器、检测和警告,而不考虑现场设备(压力、温度、电压传感器)。
传感器、执行器和电气驱动器是工程系统,而不是“网络”设备,它们的设计是为了满足流程的操作要求,并且是可靠和安全的。这些传感器将输入输入到ICS及其网络中,其中的概念是传感器的输入是不妥协的和正确的。
当传感器输入未被验证时,接收传感器信号的驱动器和控制器没有方法验证传感器信号的来源,因此接受传感器输入并相应地响应;对手可以利用电网设备和其他类似设备中的后门来利用这一漏洞。传感器层面的网络取证存在缺陷,这使得很难确定事件是恶意的还是偶然的。
物理层监控鼓励IT/OT协作
利益相关者(信息技术(IT)和运营技术(OT)等)持续关注为工业提供准确、可靠和经过认证的过程传感器测量,这是设备监控、过程安全、过程控制和网络安全的基本要求,因为它影响弹性、产品质量、数字双胞胎和大数据分析。
通过传感器而不是“自上而下”的网络漏洞方法来监控流程的物理层,鼓励网络和工程团队之间的协作,以识别传感器的偏差,如漂移、供应链或网络安全,这可以通过优化流程操作、验证数字双胞胎和过渡到预测性维护来创造投资回报(ROI)。
传感器提供数据,用于做出基于控制的决策,随后应归入表示流程的关键资产类别。如果产品受到污染,或者由于黑客恶意操纵传感器参数而导致控制系统反应不良,则可能导致设备损坏、人员受伤、公众不信任或三者结合。
水系统漏洞,漏洞,认证
2020年,以色列媒体报道称,黑客侵入了控制以色列供水系统的计算机网络,并使检测氯含量的传感器失效。如果没有这个关键的传感器,饮用水中的氯可能已经达到有毒水平,或者下降到足以导致水中细菌的水平。虽然这次攻击没有成功,但它促使人们采取了一项重大举措,以确保传感器设备是可靠的,并具有身份验证过程。进程异常检测可以检测任何不受原因影响的异常以及预测组件故障。
传感器供应商和网络安全软件提供商正在合作提供解决方案,这些解决方案不以网络异常为重点,但也可以通过监测独立于网络的过程态势感知来识别控制过程或传感器异常-仪器仪表系统与以太网网络。确保工业设施安全的经济高效解决方案对全球经济的未来至关重要。
Anil Gosine,全球项目,是与MG策略+,一个控制工程内容合作伙伴。由内容经理马克·霍斯克编辑,控制工程,CFE媒体和技术,mhoske@cfemedia.com.
关键词:工业控制系统网络安全,过程传感器网络安全
考虑一下这个
是刚够工业控制系统网络安全的方法真的足够用于关键设施吗?
在线
Anil gosin在“构建ICS网络安全生态系统”。
控制工程该公司的姐妹出版物《工业网络安全脉搏》(Industrial Cybersecurity Pulse)涵盖了ICS的网络安全www.industrialcybersecuritypulse.com.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
