听到“网络安全”这个词就足以让一些工业网络工程师转向并以另一种方式运行,但这并不一定像看起来那样令人生畏。
与任何事情一样,当涉及到网络安全时,企业必须从某个地方开始。在当今的环境中,人们认为第一步是安全意识。许多工厂没有意识到当他们的运营技术(OT)网络和设备不安全时会发生什么。网络安全通常被认为是事后的想法,或者在潜在的灾难性事件发生之前根本不考虑。
在对567名制造行业人士进行调查之后,安全服务商Morphisec公司在发布的调查报告中声称,在过去一年中,五分之一的制造工厂成为网络攻击的目标(这一估计可能是保守的,因为并非所有员工都意识到他们的公司何时遭受网络攻击)。NTT公司的一份调查报告表明,2020年针对制造行业的全球性网络攻击增加了300%。
换句话说,对于工业环境来说,现在是集中注意力的最佳时机。网络安全问题并不总是恶意破坏或恶意软件的结果。它们也可能是由人为错误造成的。例如,一名工作人员带着自己的个人笔记本电脑在企业工作并将其插入网络端口,并在无意中损坏了设备并导致停机。
当企业设计一个新的工业网络时,有机会采取积极主动的方法,让网络安全成为每个决策的一部分:采用纵深防御保护、提前规划工业物联网等。
但是因为企业的工业网络可能已经存在,所以现在需要保护其所拥有的一切。在许多情况下,工业网络是在几十年前设计和建造的,早在网络安全成为一个因素之前。企业如何采用最初设计时未考虑防御的东西并进行更改以确保安全?
通过网络评估获得可见性
一旦企业意识到网络安全值得关注,一个良好的起点就是简单的网络评估。这需要对运营技术(OT)网络进行全面了解,以查明与其连接的每个设备:机器、传感器、控制器、驱动器、摄像头、交换机等。在采取任何行动之前,企业必须了解工厂中的设备。如果不了解某个设备,那么将无法采取任何措施来保护它。
在通过这一评估过程获得可见性之后,大多数工厂都会惊讶地发现他们不知道的设备和访问位于他们的网络上,即使他们认为知道这一切。
一旦掌握了这一点,企业就可以确定设备的使用方式。从那里可以建立一个基线,以便通过随着时间的推移监控和测量每个设备来跟踪变化,包括潜在的漏洞。
基本工业网络安全的三个最佳实践
除了进行网络评估之外,企业还可以采取一些其他做法来朝着正确的方向前进:实施被动发现、制定纵深防御策略和分割网络。
(1)被动发现
被动发现可以通过持续扫描以识别IP地址来帮助企业发现网络上的新未知设备,而不会产生额外的流量或延迟。这可以帮助检测在发现期间传输或接收通信的未经授权或恶意设备。
从那里,可以进行一些调查,以确定这些设备是什么,以及它们是否会造成麻烦。
(2)纵深防御策略
尽管保护企业的工业网络与保护其IT网络同样重要,但不能期望其IT部门了解工业协议和网络设计的复杂性。他们可能管理数字信息流,但可能不了解工业流程和用于执行这些流程的机器。
当IT团队被迫管理OT网络时,经常看到他们在网络边缘放置一个设备,以将工厂网络的控制与业务网络分开,然后收工。但这使得工业网络没有纵深防御策略。
纵深防御策略是一种分层的网络安全方法,可以保护有价值的数据并防止下游的所有内容在存在威胁时受到影响。例如,在与负责SCADA网络的工厂经理合作以准确了解从机器人单元到PLC再到HMI再到各种工业设备需要什么,然后可以确定从A点到另一点移动数据所需的最低限度B.如果某些东西不符合这些标准,那么它将无法通过。
(3)网络分段
因为工业环境需要保护很多东西(OT设备、控制系统、其他网络设备等),所以网络分段可以帮助提高安全性。
通过将网络划分为不同的段或组件,可以将访问和流量仅限于所需的通信和用户。这有助于防止可能试图在整个网络中策划攻击的不良行为者进行横向移动。如果网络攻击发生在网络的一个网段上,那么其他网段将不会受到影响。
例如,网络分段可以在物理/逻辑上将OT网络与内部和外部的其他网络分开。在企业和工业“区域”之间建立这种屏障意味着可以安全地共享数据而无需越过该屏障。
企业需要开始网络安全之旅
很快就会发现网络安全不是目的地,而是一段旅程。改善网络卫生是一个持续的过程。随着制造工厂面临的威胁发生变化,企业的安全策略也必须改变。专家指出,未来最大的工业网络威胁包括勒索软件和供应链攻击。而在一两年前,最重要的威胁可能有所不同。
互联网安全中心(CIS)对于需要网络安全起点的工业工厂来说也是一个有用的资源。它提供了很多推荐的分步操作来防止网络攻击,从资产的库存和控制开始,到验证安全性的渗透测试结束。
企业的专家团队知道如何连接和保护制造工厂和工业网络,提供业界最完整的端到端网络解决方案套件,可以帮助企业重新设计和改造网络。而值得信赖的顾问通过同时提高效率、敏捷性、可持续性、安全性和安保来帮助企业建立更好的业务成果。