制造业工业PC网络安全升级
针对制造商和其他工业网站的网络安全攻击正在增长,公司需要开发一个网络安全计划,保护工业PC和其他脆弱的目标,直到最近,没有连接到互联网。
学习目标
- 针对制造商和其他工业网站的网络安全攻击每年都在增加。
- 在制定网络安全计划时,最好从降低业务风险和促进创新的角度来看待它。
- 工业电脑需要被置于网络安全工作的前线,并不断监控和打补丁,以防止攻击发生。
这不是我们的世界比以往任何时候都更加联系。根据统计据估计,现在有360亿的联网设备。到2025年,这个数字将翻一番。不同的看法是,我们是否变得更安全了。一方面,可用于提高安全的技术和专业服务不断增长。例如,市场和市场据估计,全球网络安全市场规模将从1530亿美元增加到2023美元至2.49亿美元。
另一方面,对组织的攻击比以往任何时候都更加普遍,这可以通过越来越多的企业购买网络安全保险来对冲他们的赌注。更令人震惊的是,数千家受害公司的名单由情报公司发布在网上,显示谁在暗网上发布了信息。判断整体网络安全是在变好还是变坏是一个复杂的话题。
工业控制系统没有跟上
当讨论工业控制系统(ICS)环境时,这个问题就不那么复杂了。这是一个由传统硬件和软件维系在一起的领域。环境的资本和运营成本很高,所以设备经常运行到故障为止。工业设备通信本质上是不安全的和未加密的。可用性优先于机密性和安全性,在停机期间提供很少或根本没有修补的机会。在许多方面,运行控制系统的工业信息技术(IT)基础设施与它们的企业基础设施完全相反。累积结果在Claroty的Biannual IC风险和漏洞报告根据2018年,提供显示影响商业设施部门的漏洞的数据增加了140%。
综合这些趋势,不仅组织面临的连通性和网络安全威胁越来越多,ICS安全态势也没有跟上。
图1:有效网络安全保单总数。(美国注册保险公司)。礼貌:Grantek
最佳镜头查看IC网络安全
ICS网络安全问题是非常技术性的,这篇文章的标题是技术性的,“网络安全”这个词听起来也很技术性。然而,在考虑这个问题时,最好是从降低业务风险和实现创新的角度来看待它。让这两个目标指导如何做出决策,并允许技术安全控制和实践落后于它们。
ICS网络安全:业务风险
从企业风险的角度来看,IC网络安全方法将平行一个组织现有的EH&S计划,从而意识到每个人在累计安全计划中发挥作用。它需要一个人,流程和技术的混合来有效,并且是一个不断改进的循环而不是线性目的地。最终目标是量化对业务的风险量,然后减少它。
为在ICS环境中应用网络安全最佳实践的全面框架,国际自动化学会和国际电工委员会(IEC)有出版了一系列标准.该系列由14个标准和技术报告组成,阐述了所有者、供应商和服务提供商可以遵循的责任。62443-2-1标准的标题为“建立工业自动化和控制系统安全计划”,对于希望启动网络安全计划以了解和解决总体网络安全风险的系统所有者来说特别重要。
图2:每个Claroty披露的IC漏洞。礼貌:Grantek
ICS网络安全:实现创新
第二个视角(有时被遗忘)是通过创新来审视安全决策。连接性的增加为分析、云计算和边缘计算架构提供了机会,并使业务更加高效和敏捷。
然而,安全问题可以防止采用这些技术,提高安全性可以消除这些障碍。而不是查看安全改进和限制性,确定哪些安全性改进能够实现连接技术,并且权衡到在整体风险管理周期中实现安全控制的决定。
必须从业务风险和创新的角度全面考虑整个企业的网络安全。在许多情况下,组织的步骤将是理解其环境中的系统,为事件做好准备,并减少事件的可能性和后果。这就是IPS和服务器生命周期和补丁发挥主要作用的地方。
图3:实际风险和可容忍风险比较的图形示例,设施按重要性“层”进行了分类。礼貌:Grantek
IPC和服务器修补的重要性
整体而言,打补丁只是整个挑战的一小部分,但对于工业pc和服务器来说却是非常重要的一部分。事实上,ISA/IEC-62443系列标准由14个标准和技术报告组成,其中一个(技术报告2-3)是专门为解决ICS环境中的补丁管理而发布的。
ICS环境由许多工业设备组成,包括2级监控设备和应用,1级基本控制设备,MES / MOM系统,网络基础设施等。可以说,如果只有一种类型的设备可以修补,最聪明的选择将是Microsoft Windows操作系统(OS),这是攻击者横向移动的共同平台。它们通常与大量设备连接,并有机会在不直接影响运行上运行的工业应用程序时进行修补。
图4:安全控制实施的风险管理周期和工业4.0目标的合并。礼貌:Grantek
最大的工业漏洞
事实上,2级监控装置和应用程序具有2020年下半年披露的漏洞数量最大的漏洞。因此,考虑通过修补Microsoft Windows操作系统可以实现的大量业务风险,值得优先考虑努力在整体网络安全管理周期内。
从创新的角度来看,管理整个计算生态系统可以通过整合到虚拟化和冗余环境或利用边缘计算来消除车间中的Microsoft Windows OS设备来简化。这种简化也使得访问控制、用户控制、资源可用性等方面的应用保持一致。这使得IPC和服务器升级成为促进创新和降低风险的机会。
由于ICS环境的性质,在某些情况下,升级IPC是不可行的。在这些情况下,可以实现安全性改进。通过关闭不使用的服务、端口和接口对设备进行加固,可以减少设备的攻击面。IPC也可以在组织域内设置,以执行策略,并使工业应用程序能够针对it管理的AD进行身份验证。最后,设备可以从虚拟或物理上与其他关键资产分离,减少IPC在攻击者杀死链中使用的机会。
图5:ISA/IEC-62443标准和带有状态的技术报告。礼貌:Grantek
利用现有的工业PC安全框架
考虑到攻击的升级和ICS环境日益增加的脆弱性,我们在保护环境方面落后于计划。当这样做时,利用ISA和IEC发布的框架并使用业务风险降低和创新支持作为实现安全控制的决策标准是很有帮助的。
数据演示了Microsoft Windows IPCS和服务器是最脆弱的和最针对性的资产。这意味着管理生命周期,修补和系统备份值得做。虽然很难,但每年投入1美元的志翁之间的选择,或者支付4000万美元的比特币给网络团伙解密你的设备根本不应该是一个选择。
图6:按产品系列划分的固件和软件漏洞的细分。礼貌:Grantek
杰夫冬天,格兰泰克的战略和营销高级总监。由Chris Vavra编辑,网页内容经理,控制工程, CFE Media and Technology,cvavra@cfemedia.com.
更多答案
关键词:网络安全工业pc工业控制系统(ICS)
考虑一下这个
还有什么公司能做些什么来改善他们的整体网络安全足迹吗?
