最近发生的网络安全事件表明,在威胁面前,过程控制行业在维护防御级别方面具有较低的容错能力。例如,今年3月全球最大铝供应商之一Norsk Hydro位于欧美的多个工厂运营遭受“大规模的网络攻击”,影响了该公司多个业务区的运营,导致其全球计算机网络系统宕机。系统遭受的是一款相对新型的勒索恶意软件LockerGoga的攻击,它将目标计算机上的所有文件进行了加密,之后要求支付勒索金,和其它勒索病毒一样的做法。
不幸的是,日常现实往往成为了执行安全任务的主要障碍,包括网络安全人数的限制以及需要各种安全补丁的老式设备的限制。好消息是,风险管理软件可以帮助实现安全监控的自动化,以检查其服务器备份安装是否正确或报告风险评分。
DCS系统升级
一家欧洲的大型炼油厂,通过将专有的分布式控制系统(DCS)技术过渡到使用Microsoft Windows操作系统的现代DCS,实现了网络安全功能的提升。企业信息技术(IT)和现场负责人意识到,需要做更多的事情来理解和解决潜在的网络安全漏洞。跨平台实现自动化和标准化的任何措施都需要相关的风险管理,并且企业在迁移的每个阶段都需要考虑安全性。
第一个决定是尽可能减少手动工作流程。这包括检查所有终端节点是否存在潜在的网络漏洞,例如过时的补丁程序或缺少防病毒更新。过去为这项耗时的任务分配员工资源www.cechina.cn,可能会花费企业数十万美元。新系统除了降低成本外,标准化和自动化终端节点检查的能力还有助于消除人为失误,提高安全检查的频率并允许通过一致的数据收集来衡量和改进关键指标。
该炼油厂拥有关键的基础设施,并需要达到IEC 62243 SL3安全保证等级。因此企业需要提高网络安全态势意识,使系统日志(消息记录协议)更容易转发到安全信息和事件管理系统,并将风险管理与现有仪表板集成。
该企业与一家主要的全球工业网络安全提供商合作,进行了网络架构评估,以了解潜在的缺口并以安全、持续的方式支持网络的发展。以5年的时间跨度进行规划,使团队可以考虑对架构的近期影响,例如需要增加无线连接或扩展设施。此外CONTROL ENGINEERING China版权所有,基于安全信息和事件管理要求和仪表板访问视图,可以规划体系结构以满足合规性需求。
DCS自动化升级包括网络安全系统评估,以识别安全迁移到新系统的关键要求。其中包括运营工程顾问和工业网络安全专家的专业知识。专家们利用其它组织的见解,提供炼油团队可以用以确定范围、制定预算和执行优先风险降低工作的客观数据。
自动化的风险管理可跨工业控制系统(ICS)网络提供企业急需的风险可见性和执行能力。本文图片来源:霍尼韦尔
风险管理软件
为了提高可见性并改善网络安全风险的管理,炼油厂选择实施风险管理软件。这包括跨网络、终端节点和其它安全因素自动对关键风险指标进行24/7全天候监控。
炼油厂的自动化人员从试点阶段就确定了关键的网络安全漏洞,包括未使用的端口、备份不一致、过时的安全补丁等。风险管理软件为工作人员提供了一种一致的方式,在现场测量、监视和管理网络安全风险,而无需人工干预。软件仪表板突出显示可能出现的问题,以帮助员工保护数百个终端节点。它还提供有关修补程序、网络安全性和备份状态的更新。这使工作人员对潜在威胁的响应速度更快,从而提高了站点的安全性。
除了提高效率外,实施工作还带来了人员和流程收益。例如,企业需要讨论风险偏好www.cechina.cn,然后就确定的风险阈值达成共识。由于该软件将相对于风险的算法评分刻画为监视功能的一部分,因此简化了对安全状况的可视性。
ExperionPKS解决方案的仪表板突出显示了可能存在的问题,以帮助员工保护数百个终端节点。
由于员工看到了需要采取的措施www.cechina.cn,因此他们的技能和效率得以提高,可以降低特定优先级事项的风险,还可以降低监视资产的优先级。甚至非安全人员也有能力遵循建议并影响风险评分。
从执行层面来说www.cechina.cn,自动化的网络风险管理可在工业控制系统(ICS)网络中提供企业急需的风险可见性和执行能力。在运营层面上,工程师可以在问题成为新闻之前找到并解决运营技术(OT)的合规性和性能问题。在网络安全事件没有真正影响到企业的底线之前,对风险管理进行自动化、标准化和改善的任何投资,对企业来说都将带来明显的商业意义。(作者:Marty Israels)