新的(de)OT網絡架構下(xià)信息安全的(de)四個(gè)關鍵技術
2023-4-21新聞
本文圖片來(lái)源:Inductive Automation
作者 | Kevin McClusky
制造企業需要思考如何适應新的(de)網絡安全環境,并在不影(yǐng)響生産運營的(de)情況下(xià)提供更好的(de)支持。
網絡安全曾經是信息技術(IT)領域專屬的(de)。那些擁有計算(suàn)機科學學位的(de)人(rén)會封好入口,看住貴重物(wù)品,防止入侵者進入IT網絡。由于IT網絡被視爲進入運營技術(OT)網絡的(de)唯一途徑,很多(duō)公司認爲這(zhè)已經足夠了(le)。
潛伏的(de)威脅仍然遊走在OT網絡的(de)邊緣。一些員(yuán)工電腦(nǎo)上的(de)惡意軟件、插入USB密鑰或将設備接入網絡的(de)物(wù)理(lǐ)訪問,以及偶爾的(de)無線訪問都可(kě)能會讓帶來(lái)風險。雖然可(kě)能導緻的(de)問題很嚴重,但這(zhè)些事件很少發生,對(duì)很多(duō)公司來(lái)講,這(zhè)種風險被認爲是可(kě)以接受的(de)。
01
新的(de)OT網絡架構
近年來(lái),OT網絡之間的(de)互聯比以往任何時(shí)候都更加緊密。一些企業正在運行扁平的(de)網絡拓撲,而另一些企業正在将與雲通(tōng)信的(de)物(wù)聯網或工業物(wù)聯網(IoT/IIoT)設備和(hé)系統添加到網絡中。這(zhè)些較新的(de)OT裝置,繞過了(le)網絡分(fēn)層或普渡模型,帶來(lái)了(le)巨大(dà)的(de)變化(huà)。
企業需要了(le)解如何在不減緩數字化(huà)轉型計劃的(de)情況下(xià),适應這(zhè)些不斷變化(huà)的(de)環境并支持這(zhè)些網絡。他(tā)們還(hái)需要考慮如何在保持網絡安全警惕的(de)同時(shí),實現預期的(de)業務目标。
使用(yòng)合适的(de)技術可(kě)以降低風險。現在,企業和(hé)用(yòng)戶應該熟悉四個(gè)關鍵技術和(hé)安全概念:零信任;最小特權原則;被動和(hé)主動網絡監控;和(hé)安全信息和(hé)事件管理(lǐ)(SIEM)集成。
1.零信任
零信任是過去十年中出現的(de)最重要的(de)安全理(lǐ)念之一,被許多(duō)人(rén)視爲安全領域的(de)新黃(huáng)金标準。它已經被世界各地的(de)工業公司和(hé)軍事網絡所采用(yòng)。零信任的(de)理(lǐ)念是假設攻擊者可(kě)能已經在網絡上了(le),而且沒有被發現。正因爲如此,公司不應該信任進入的(de)任何設備、服務器和(hé)軟件的(de)任何通(tōng)信。
這(zhè)容易讓人(rén)陷入一種左右爲難的(de)困境:如果你不信任通(tōng)信,那你怎麽能進行通(tōng)信?在零信任網絡中,所有系統都必須驗明(míng)正身,這(zhè)是實現通(tōng)信的(de)第一步。身份證明(míng)通(tōng)常通(tōng)過一些機制來(lái)完成,如使用(yòng)公認标準的(de)加密、用(yòng)戶名和(hé)密碼驗證,有時(shí)還(hái)可(kě)以通(tōng)過客戶端證書(shū)或密鑰形式的(de)附加憑據。這(zhè)其中的(de)關鍵部分(fēn)是負責證明(míng)“它是誰”的(de)系統。
對(duì)于棕地工業網絡來(lái)說,零信任很難實現。許多(duō)可(kě)編程邏輯控制器(PLC)和(hé)遠(yuǎn)程終端單元(RTU)的(de)通(tōng)信方式都是門戶洞開。隻要與控制工程師交談,就可(kě)以得(de)知哪些PLC在設計上是不安全的(de)。如果用(yòng)戶僅使用(yòng)其IP地址,就可(kě)以通(tōng)過本地協議(yì)從監控和(hé)數據采集(SCADA)系統連接到PLC或RTU,那麽這(zhè)很可(kě)能就是不安全的(de)。有理(lǐ)由假設,很多(duō)PLC和(hé)RTU在設計上是不安全的(de),包括現在正在生産中使用(yòng)的(de)大(dà)多(duō)數設備。
▲圖1 :使用(yòng)零信任方法,網絡上的(de)所有内容都必須驗明(míng)正身。
▲圖2 :近年來(lái)安全需求發生了(le)變化(huà)。技術也(yě)随之改變。
如果企業正在保護這(zhè)些網絡并希望采用(yòng)零信任理(lǐ)念,那麽通(tōng)常有兩種選擇:一種是更換現有的(de)PLC;另一種是消除它們不安全的(de)通(tōng)信,通(tōng)常是将它們隔離在安全設備的(de)後面。許多(duō)人(rén)正在使用(yòng)運行邊緣軟件的(de)簡單工業PC,以使這(zhè)些系統遠(yuǎn)離主控制網絡,并使用(yòng)MQTT Sparkplug和(hé)OPC UA等安全協議(yì)提供數據和(hé)通(tōng)信。
對(duì)于綠地網絡來(lái)說,情況要容易得(de)多(duō)。一些關注安全的(de)現代PLC,在默認情況下(xià)被鎖定,支持零信任策略。MQTT Sparkplug和(hé)OPC UA等協議(yì)以及Ignition等軟件,都内置了(le)強大(dà)的(de)身份驗證和(hé)安全性。在配置安全設置的(de)同時(shí),使用(yòng)現代設備、協議(yì)和(hé)軟件可(kě)以簡化(huà)最佳實踐,真正實現零信任架構。
2.最小特權原則
從概念上來(lái)講,最小特權原則非常簡單:用(yòng)戶的(de)帳戶應隻能訪問用(yòng)戶需要做(zuò)的(de)事情。許多(duō)企業都有工程團隊,他(tā)們可(kě)以管理(lǐ)所有系統。如果企業遵循的(de)是這(zhè)一原則,那這(zhè)就不是最小特權原則了(le)。初級工程師隻能訪問有限數量的(de)系統和(hé)有限的(de)功能集。管理(lǐ)這(zhè)些需要做(zuò)更多(duō)的(de)工作,但如果用(yòng)戶的(de)帳戶被洩露,或者心懷不滿的(de)員(yuán)工決定采取可(kě)能損害業務的(de)行動,最小特權原則也(yě)會降低風險。
3.被動和(hé)主動網絡監控
許多(duō)IT團隊都有IT網絡的(de)監控工具。在OT網絡上使用(yòng)這(zhè)些監控工具也(yě)是一個(gè)好主意。入侵檢測系統(IDS)可(kě)提供被動監控,這(zhè)意味著(zhe)它在不向網絡本身添加任何内容的(de)情況下(xià)監視網絡流量。這(zhè)些系統通(tōng)常由人(rén)工智能和(hé)機器學習(xí)(AI/ML)工具支持,以識别模式并嘗試定位異常。
有時(shí),入侵檢測系統還(hái)采用(yòng)主動網絡監控,在網絡上發送通(tōng)信并嘗試與設備對(duì)話(huà),作爲其監控的(de)一部分(fēn)。主動監控系統有時(shí)指向PLC或其它設備,以監控它們何時(shí)發生變化(huà)或變化(huà)的(de)内容。
如果一個(gè)零信任系統已經就位并且運行良好,即使“壞人(rén)”進入網絡,也(yě)可(kě)能什(shén)麽都做(zuò)不了(le)。然而,這(zhè)些監控系統旨在幫助IT部門識别那些不良行爲者,并将他(tā)們踢出網絡,以防止他(tā)們試圖找到易受攻擊的(de)系統。一些主動監控還(hái)可(kě)以識别意外變化(huà)并标記這(zhè)些變化(huà)。
4.安全信息和(hé)事件管理(lǐ)集成
大(dà)多(duō)數公司的(de)IT部門都使用(yòng)安全信息和(hé)事件管理(lǐ)(SIEM)系統,但在OT網絡上則很容易忽略這(zhè)些很有價值的(de)工具。作爲一個(gè)日志分(fēn)析系統,它們可(kě)以幫助識别熱(rè)點并追溯發生的(de)問題。這(zhè)些系統側重于安全性,但有時(shí)也(yě)可(kě)用(yòng)于現場(chǎng)系統的(de)一般故障排除和(hé)IT支持。如果一家公司配置了(le)SIEM,而OT系統沒有發送安全提要,那麽可(kě)能值得(de)探索将SCADA或其它OT系統添加到SIEM中。
安全性是一個(gè)複雜(zá)的(de)話(huà)題,對(duì)于當今的(de)制造商來(lái)講,現在需要向零信任和(hé)更好的(de)安全性邁進。企業和(hé)用(yòng)戶對(duì)本文強調的(de)網絡安全技術和(hé)概念越熟悉,就越有可(kě)能做(zuò)出更明(míng)智的(de)決策。大(dà)多(duō)數制造企業還(hái)有很長(cháng)的(de)路要走,獲得(de)更好的(de)安全性更像是一場(chǎng)馬拉松,而不是百米沖刺。在工業領域構建更好的(de)安全性對(duì)每個(gè)人(rén)都有幫助。
關鍵概念:
■ OT 系統更容易受到網絡安全攻擊。
■ 零信任方法非常苛刻,尤其是對(duì)于棕地應用(yòng),但它也(yě)是更安全的(de)。
■ 主動和(hé)被動網絡監控、 最小權限原則和(hé) SIEM 集成,也(yě)有助于保持 OT 網絡的(de)安全。
思考一下(xià):
您在工業設施中實施了(le)哪些網絡安全方法,效果如何?
新浪微博 - 視頻(pín)号 - 官網
分(fēn)享、在看與點贊
隻要你點我都喜歡