为什么以物联网为中心的网络安全平台对工业制造至关重要

OT网络安全洞察

• 近年来，恶意软件攻击和其他安全事件的数量有所增加。

• 随着工业物联网技术变得越来越普遍，OT资产已成为潜在网络攻击者的脆弱切入点。

• 在这种新环境中，需要一种纵深防御的方法来适当地保护自己的网络。

---

2010年，一种以监控和数据采集(SCADA)和可编程逻辑控制器(PLC)系统为目标的计算机蠕虫Stuxnet使中东的一个核项目陷入瘫痪，这一事件给人们敲响了警钟，即运营技术(OT)行业也不能幸免于恶意软件和其他信息技术(IT)安全风险。事实上，当涉及关键基础设施时，风险甚至更高，将风险提升到国家安全水平。因此，当今的OT网络安全和运营安全必须保持领先地位，以保护关键基础设施免受新的和不断发展的威胁。

近年来，不仅恶意软件攻击和其他安全事件的数量有所增加，而且网络威胁的性质也随着工业控制系统(ICS)环境的变化而发展。从过去的有针对性的ICS攻击到蠕虫的随机勒索，识别攻击动机和制定相应的防御策略变得更加困难。

向OT网络安全平台迈进

由于网络安全威胁始终存在，IT网络安全专业人员很难找到满足OT领域独特需求的理想解决方案。

OT领域通常包括生产线和关键基础设施，采用严格的要求。在许多情况下，OT的主要目标是支持操作流程并确保它们在最佳条件下运行。虽然“区域和管道”模式在过去可能很好地服务于我们，但它不再足以满足最新的安全标准。当涉及到恶意软件或高级攻击时，需要实时安全更新来尽可能快地检测和响应威胁，以保护线路运营并最大限度地减少潜在的停机时间。传统防火墙根据防火墙规则不断监控网络数据包，以识别恶意活动，同时确保没有丢弃有效数据包。但是，这可能会导致网络延迟并影响性能。一个强大的网络安全解决方案应该保持系统性能，而不是用开销来破坏它，以便在实时发生高级攻击时识别和防止攻击。

定制化网络安全平台，保护工业应用

网络安全平台需要高水平的定制，以保护关键的OT系统，如SCADA系统。量身定制的平台考虑工业协议、应用程序有效负载以及网络命令和数据。在能源和运输等垂直市场应用中也是如此。通过正确解释合法的网络命令并阻止恶意命令，网络安全平台可以防止黑客渗透和篡改网络上的设备。

未来，随着工业4.0提高现场制造效率，网络需求和网络安全漏洞将发生变化。量身定制的OT网络安全平台为制造商提供了灵活性，可以在不同的控制点部署更多的保护机制。这使得OT系统能够适应不断变化的安全威胁，并提高整体保护水平。

集中网络管理，减少人为失误，提高安全性

为了适应不断变化的威胁，OT资产所有者需要确保网络安全策略是最新的。防火墙规则是这些策略的重要组成部分。然而，随着网络规模和复杂性的不断扩大，防火墙规则的不断扩展，如何有效地维护和管理网络成为一个挑战。如果没有适当的管理工具，网络更容易出现人为错误，例如配置错误，这可能会暴露网络漏洞或导致破坏。

集中的安全管理平台在避免人为错误方面起着重要作用。由于集中管理安全性，因此大大降低了部署的复杂性。此外，它还提供了权力委派的灵活性。可以将不同的管理权限分配给特定的区域或角色，从而进一步减少可能的人为错误。集中的安全管理平台对网络流量和安全事件数据进行记录、汇总和可视化。这为OT管理人员提供了有价值的分析见解，以便更有效地监控和管理安全网络。

现场维护人员由于日常工作时间紧张，难免会出现防火墙配置错误。纵深防御网络安全策略可帮助现场操作人员更有效地工作，并有助于防止配置设置时出现错误。

用户友好的以ot为中心的安全平台，集中控制网络管理，减少部署时间，增强网络保护。

对遗留设备漏洞进行虚拟修补

OT专业人士同意应用安全补丁很重要。然而，许多旧的软件和设备不支持新的补丁，并迅速成为OT应用中的网络安全负担。事实上，在工业领域更新设备并不容易。由于这个原因，补丁通常会被延迟，只有当它对确保不间断的操作至关重要时才会安排补丁。当“补丁星期二”到来时，操作中断可能会导致网络安全漏洞，因为它们会使许多设备面临风险。

工业入侵防御系统(IPS)利用虚拟修补来保护工业网络中无法修补或根本无法修补的关键设备。虚拟补丁的工作原理是使用最新的安全签名更新保护脆弱资产的IPS，而不是对脆弱资产本身进行修补。IPS能够在不中断运营的情况下，对网络环境进行监控、保护设备、及时发布补丁。他们提供满足工业网络特殊需求的解决方案。

五种IPS监控和检测特性

IPS可以主动检测网络中的可疑活动和已知攻击模式。IPS引擎对网络流量进行持续分析，将比特流与内部流量模式进行对比，识别潜在的攻击。一旦检测到恶意活动，IPS将丢弃数据包并阻止来自攻击者IP地址的流量，同时仍然允许合法流量通过。

IPS还具有其他高级监控和检测功能，例如:

1. HTTP字符串和子字符串匹配

2. 通用模式匹配

3. TCP连接分析

4. 报文异常检测

5. 流量异常检测。

为了实现24小时不间断的网络防护，IPS接收来自智能库的签名，对威胁进行持续监控或阻断。IPS还具有一套安全管理系统，可以学习和识别交通模式，提醒安全人员并生成安全报告。

IPS实现更好的纵深防御

在网络攻击到达其他安全设备之前，IPS提供全面的防护，防止DDoS (distributed denial-of-service)攻击到达防火墙导致系统崩溃。IPS通过提供全面、深入的网络防御周界，过滤掉恶意攻击，保证网络设备的正常运行。

部署和维护IPS的三个技巧

在重要设备上线前部署IPS。IPS可以作为保护资本投资的屏障，降低可能危及工人安全的设备故障的可能性，并确保生产线的正常运行。为了获得最佳性能，应该调整IPS，优先考虑以下几个方面:

1. 重要设备的保护

2. 当检测到威胁时立即发出警告

3. 性能优化，实现最大的运营效率

此外，IPS设置应符合公司的安全策略，满足合规性和运营需求。

下一代安全集中管理软件

虽然网络分区和网络安全控制为客户提供了更好的控制他们的设备，一个专用的功能阵列，如虚拟补丁，网络可见性，实时保护和网络数据包监控，帮助打击外部威胁，保持网络安全。这些特性和技术是专门根据OT的需求构建的。

为OT量身打造的网络安全平台

为了获得最佳结果，选择为OT应用程序设计的网络安全平台非常重要。在评估解决方案时，要记住它将用于什么样的工业环境，并检查它是否满足必要的性能、效率、稳定性和安全性要求。

在审查候选解决方案时，请考虑以下OT需求:

• 高级功能，如深度包检测(DPI)

• 支持工业协议(Modbus TCP/UDP, DNP3, IEC 60870-5-104)

• 高性能应用程序的高带宽连接

• 用于特定OT环境的工业认证

• 安全功能基于行业认可的标准，如IEC 62443-4-2。

集中网管平台

IPS需要与集中式网管软件配套使用，有效管理网络设备访问的所有安全策略和权限。用户界面友好的网络安全管理软件，简化了网络安全资产的部署和集中管理，方便用户正确配置防火墙和IPS规则。这有助于减少人为错误，简化防火墙管理，并为决策者提供必要的网络安全信息。

Moxa网络安全市场开发经理Roger Chen说。编辑:David Miller，内容经理，控制工程、CFE媒体与技术、dmiller@cfemedia.com．

考虑一下这个

您的OT资产是否得到妥善保护?

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。