图:制造企业现在需要在控制系统项目的前端工程和设计阶段就考虑网络安全,从而使系统实现设计安全。
不可否认,在工业物联网(IIoT)的推动下,从设备层面到云端的连接性的提升增加了自动化设施的攻击面。虽然直接连接到云有令人信服的商业理由,包括远程维护监控、关键性能指标(KPI)跟踪和流程优化控制工程网版权所有,但这些优势的实现是以削弱安全性为代价的。ODVA营销总监Steve Fales解释说:“这些新的连接可能会让不良行为者进入工业网络,这促使人们越来越关注零信任(Zero Trust)等安全概念,即总是需要验证才能连接到设备。此外,部署多种安全方法来覆盖网络的所有部分的重要性也显著增加。”
零信任概念假设网络已经泄露。这意味着,无论来源如何控制工程网版权所有,都必须验证每个连接,并在最短的时间内提供所需的最小访问量。此外,所有通信都必须是安全的。若要向零信任迈进,必须能够加密通信、提供基于角色的访问、能够对端点进行身份验证,并确保通信不会被篡改。
除了采用零信任,Steve还建议采用多种安全方法,作为纵深防御安全策略的一部分,以确保工业控制网络的安全。作为以流程为导向的整体方法的一部分,物理安全和员工培训是很好的起点。这是阻止不良行为者两种简单且有效的方法。
实施威胁建模是了解网络漏洞并制定应对计划的另一种重要方式。在此基础上,基于交换机的防火墙、深度数据包检查、批准列表和其它网络保护都将有序进行。Steve继续说道:“如果因为直连的第二通道网络被打开,那么保护设备层也很重要。设备层保护的一个例子是EtherNet/IP的CIP Security控制工程网版权所有,它提供设备身份验证和身份、数据完整性和机密性、用户身份验证和策略执行。CIP Security还通过配置文件提供灵活的保护,这些配置文件可以根据使用情况按需实施。最后,由于网络攻击行为和方法在不断演变,因此必须不断定期审查和修订安全策略、培训和保护措施。”
随着网络扁平化以及直接连接到云的自动化设备数量的不断增加,拥有资源充足且有计划的安全策略很重要。“新的现实情况是,漏洞很可能发生,这导致了零信任安全方法的兴起,这种方法要求对每一个连接进行验证,只允许需要的访问。同样重要的是要记住,物理安全、员工培训和基于流程的方法,可以提供非常高的投资回报。”Steve认为,必须在最低水平上保护设备。安全性是自动化设备连接到云的推动因素,它正在推动生产力的大幅提高,因此它是对未来工业运营的宝贵投资。
01 实现设计安全
传统上,工业企业所用的Perdue(普渡)结构模型,通过分割物理过程、传感器、监视控制、运营和物流来实现安全OT环境的解决方案。然而,正如我们已经听说的,现在更开放的平台使OT网络安全受到更多关注。
艾默生网络安全战略、治理和架构总监Michael Lester说:“组织现在需要在控制系统项目的前端工程和设计阶段就考虑网络安全——使系统设计安全。过去,网络安全防御往往是后来才添加的。这比从一开始就将网络安全纳入项目更昂贵,且效果欠佳。”
因此,现在制造企业需要根据零信任原则,从头开始设计OT软件应用,以通过设计来创建安全工厂。艾默生首席技术官Peter Zornio认为,通过设计实现工厂的固有安全不会一蹴而就,而是需要多年的努力,只有在系统软件逐步更新,以将安全结构纳入到软件后才能完全实现。每次与另一个软件通信时,它都需要寻求身份验证,并且需要拥有正确的数据访问权限。艾默生一些最新产品已经包含了固有设计安全的软件,但实际上CONTROL ENGINEERING China版权所有,我们可能需要 5 到 10 年的时间才能使工厂中的所有软件都能支持零信任。不过,当这成为现实时,它将成为网络安全问题的最终解决方案。
此外,网络安全需要的不仅仅是技术。Michael认为,网络安全也需要行为和文化的改变。整个组织需要需要对为什么要实现网络安全以及如何实现网络安全有着深入的理解,这对于推动有意义的行为改变至关重要。因此,建立一种包括人员、过程和技术的网络安全文化很重要。
02 更有力的措施
随着OT系统持续与IT网络集成,例如引入基于互联网的通信协议(如MQTT)以及现有的数据传输协议(如WebMI的HTTPS、CsCAN和Modbus),攻击面也不断扩大,并引入了新的攻击载体。这就需要一套更强有力的网络安全措施来降低风险。Horner爱尔兰公司网络安全工程师Séan Mackey建议,以下措施可以帮助控制工程师更好地保护其OT环境:
1. 了解环境:首先要彻底了解OT基础设施,包括工业控制系统、监控和数据采集系统(SCADA)、可编程逻辑控制器(PLC)和其它互连的设备。通过记录资产、网络架构、协议和通信路径等组件来识别可能的漏洞。
2. 风险评估和资产清单:进行彻底的风险评估,以确定关键资产和潜在漏洞。制定资产清单,根据关键程度对系统进行分类,并评估相关风险。根据此评估确定安全措施的优先级。
3. 网络分割:实施稳健的网络分割,如空气间隙、防火墙以过滤和跟踪流量,以及关键系统隔离以将关键OT资产与非关键系统和外部网络隔离。通过将漏洞或攻击包含在特定的网段中来限制其影响,并减少攻击面。
4. 访问控制和身份验证:实施强有力的访问控制和验证机制,以限制对OT系统未经授权的访问。应实施多因素身份验证、基于角色的访问控制和最低权限原则,以确保只有授权人员才能访问关键系统。
5. 补丁管理:开发并实施严格的补丁管理流程,以使OT系统针对已知漏洞保持最新状态。这包括与PLC/HMI的任何漏洞修复相关的固件和软件更新。根据关键程度对修补程序进行优先级排序。
6. 网络监控和入侵检测:部署强大的网络监控工具和入侵检测系统(IDS),实时检测和响应异常活动。监控网络流量、系统日志和行为模式,以及时识别潜在威胁或安全漏洞。
7. 端点安全:与对上述工业设备所采取的措施一样,对同一网络中的类似设备实施端点保护解决方案,如防火墙、防病毒软件和入侵预防系统,保护您的工业设备免受恶意软件和未经授权的访问。
8. 加密:数据在传输和静止时都应加密,以防止未经授权的拦截或篡改。为网络通信实施强大的加密协议,如传输层安全性(TLS),特别是在行业内大量使用MQTT的情况下使用X.509证书,并加密存储在OT设备上的敏感数据。
9. 事件响应计划:制定全面的事件响应计划,概述检测、控制和缓解网络安全事件的程序。定义角色和责任,建立通信协议,并定期进行演习,以确保为网络攻击做好准备。
10. 员工培训和意识:对OT人员进行网络安全最佳实践培训,包括识别网络钓鱼企图、识别可疑活动和应对安全事件。培养网络安全意识文化,使员工能够积极参与OT系统的安全保护。
11. 供应商风险管理:评估和管理与提供OT组件或服务的第三方供应商和供应商相关的网络安全风险。制定合同协议,同时规定安全要求并定期审计供应商。
12. 合规性和监管要求:掌握与OT网络安全相关的行业特定法规和合规标准,如NIST SP 800-82和ISA/IEC 62443。确保OT系统遵守这些要求,以避免法律和监管影响,并最大限度地减少因网络安全实施不力而导致的OT违规的可能性。
03 充分保护OT系统
在OT环境中,大多都是关键系统,这意味着任何中断或妥协都可能产生深远的影响。Paessler公司全球业务发展IIOT Daniel Sukowski表示,考虑到利害关系,有效保护OT环境从未像现在这样重要。然而,实现这一目标也从未像现在这么困难。在一个互联和数字化的世界里, IIOT设备的激增呈指数级增长,导致系统变得越来越复杂。以前孤立的OT网络正在开放控制工程网版权所有,以便从外部连接新的系统和设备,通常是跨区域连接。虽然这种互联有很多优势,但也带来了巨大的风险。
为了充分保护OT系统,企业应该投资于监控技术。Daniel建议:“拥有一个具有集中的仪表盘和报警功能的有效监控系统,可以为企业提供更全面的画面。它能把来自所有位置的数据(OT环境、IIoT传感器、有线和无线网络以及传统IT设备和系统)集中在一个保护平台下。它提供了全面的可视性,随着网络犯罪分子的不断发展和成熟,这一点比以往任何时候都更加重要。”
除此之外,企业需要定期对操作系统进行安全审计和风险评估,以帮助识别漏洞。这应包括信息安全风险和网络风险,以及所有常见的OT运营风险。难题的另一部分,是对所有相关员工的持续培训。应定期更新培训内容以确保企业按照最新的指导和法规运营。例如,当即将出台的NIS-2指令于2024年10月在所有欧盟成员国成为国家法律时,员工需要确保他们及其广泛业务保持合规。
NIS2指令在最初的NIS指令(NISD)的基础上,更新现行的欧盟网络安全法。目标是加强OT安全,简化报告,并在整个欧盟范围内制定一致的规则和处罚。通过扩大其范围,NIS2将要求更多的企业和部门采取网络安全措施。