黑帽子、脚本小子、网络钓鱼者和敌对的民族国家。不良行为者在那里,热切地致力于破坏您的工厂并窃取您的东西。你在做什么?
尽管云计算和将 IT 需求外包给区域数据中心似乎不如“本地”硬件和软件系统安全,但事实往往恰恰相反。Google 术语“ cyberattack”,你会发现一页又一页的新闻头条,包括最近几起备受瞩目的国际新闻。
列表包括:
--“意大利警方挫败亲俄欧洲歌唱大赛期间遭到黑客攻击。”
--“巴西电子商务公司报告网络攻击后损失数百万美元。”
--“网络攻击导致哥斯达黎加政府系统混乱。”
--“在爱尔兰 NUI Galway 的 IT [信息技术] 网络上检测到潜在的网络攻击。”
是时候醒来了
可怕的东西,对吧?但是“至少这些攻击都没有发生在北美”,您可能会想。而且“他们都没有影响我或我的生意,那有什么大不了的?”继续向下滑。可悲的事实是,黑客攻击无时无刻不在发生。例如,美国人最好回忆一下针对 Colonial Pipeline 的价值 440 万美元的勒索软件攻击,由于密码泄露,该攻击使该国最大的天然气管道瘫痪了六天。
还有 SolarWinds 黑客攻击导致超过 18,000 名计算机用户在不知不觉中在他们的系统上安装了间谍软件。其中许多属于五角大楼、美国国家航空航天局、国土安全部和国家核安全管理局,以及微软和英特尔等私营公司。根据一些电子专家,攻击仍在进行中。
美国和加拿大的制造商特别容易受到这些不良行为者的攻击。根据 Mitre Corp. 的在线数据库 ATT&CK,目前有 133 个有组织的“威胁组织”在中国、俄罗斯、伊朗、朝鲜和其他地方活动,其中许多是国家资助的。 Mitre 还确定了 680 种公开可用的软件工具,这些组织或个人可能会使用这些工具来执行他们的恶意活动。
美国继续从其中至少一个中购买大量低成本制成品国家。如果您的制造公司不小心,它很可能成为一连串逍遥法外犯罪的下一个受害者。
防御态势
“制造业是主要目标在美国发生的网络攻击,民族国家是最大的支持者。”这是来自网络安全公司首席执行官 Howard Grimes制造创新研究所 (CyManII),德克萨斯州圣安东尼奥。他将这些攻击描述为“Daedalian in nature”,这意味着它们非常复杂、相互交织且无处不在。
保持最新的防病毒软件、定期为计算机操作系统“打补丁”以及持续监控入侵企图都是迈向安全的好步骤更安全的制造基础设施。“随着美国连接设备、网络、人员和机器,我们的网络攻击面及其影响的复杂性呈指数级增长,”Grimes 补充道。 “然而,我们的反应是线性的、以市场为导向的,而且总体上并不灵巧。我们必须转变我们的网络基础设施,使其比我们的对手更加敏捷和强大。否则,对我们的经济和国家安全的后果将是既不受限制又不可接受。”
认识到这些风险,美国国防部 (DoD) 推出了 CMMC 2.0(网络安全成熟度模型认证),旨在成为“保护国防工业的综合框架”基于日益频繁和复杂的网络攻击。”商务部采取了类似的行动,要求其国家标准与技术研究所 (NIST) 广泛实施最近制定的标准 SP 800-171 Rev.2,“保护非联邦系统和组织中的受控非机密信息。”
两者对制造业来说都是大买卖。根据 NIST 网站上的博客,“如果制造商是国防部、总务管理局 (GSA)、NASA 或其他联邦或州机构供应链的一部分,则实施 NIST SP 800-171 中包含的安全要求是必须的。”国防部网站提供类似的措辞,指出“一旦规则制定完成,CMMC 2.0 将成为合同要求。”
对于任何管理受控非机密信息 (CUI) 的制造商或从事航空航天和国防工作的制造商来说,这意味着漫长的、侵入性且很可能是昂贵的认证过程,与满足 ISO 9001、TS 16949、AS9100D、ITAR、NADCAP 和其他质量标准所需的认证过程无异。
随着越来越多的制造商利用工业物联网,强大的网络安全实践将变得更加重要.伸出援助之手
好消息?这两个标准密切相关,满足 800-171 要求是获得 CMMC 认证的首要步骤之一。更好的是,两者都有帮助。 NIST 建立了制造扩展合作伙伴关系 (MEP),这是一个全国性的工业网络专家负责“为中小型制造商提供发展壮大所需的资源”。鉴于目前的情况,这些资源中最重要的可能是协助实施800-171和CMMC。
CMMC 2.0分为三个级别,每个级别都比上一个更严格,但都基于800-171遵守。认证需要回答 14 个业务领域的 110 个控制问题。 MEP 客户可能会通过内部审计流程得到指导,帮助他们解决任何安全问题并制定 SSP(系统安全计划),组织可以将其视为他们的网络安全计划。完成后,公司将其审计结果提交给 NIST 网站进行评分——这在一定程度上决定了他们将达到哪个 CMMC 级别。
800-171 控制中的一些是基本的和良好的-已知的 IT 安全实践,例如限制不成功的登录尝试和强制密码复杂性和字符 r要求。其他的就更复杂了。是否使用加密密钥来保护您的信息系统?联邦信息处理标准 (FIPS) 批准的加密是否用于保护 CUI?执行维护的人员在工作期间是否需要使用多因素身份验证方法?维护完成后是否会删除这些登录凭据?
解决问题
鉴于美国政府、IT 负责人微软和无数财富 500 强公司未能阻止 SolarWinds 漏洞,他们或小型制造公司不太可能在第一次尝试时就通过安全审计。无论如何,重要的是企业现在而不是以后开始解决这些问题。
TechSolve Inc. 就是这样的 MEP 中心之一,服务于俄亥俄州西南部地区。在那里,高级网络安全分析师乔·安德森 (Joe Anderson) 列举了一些同样令人震惊的违规行为,例如对水处理系统的一次勉强避免的攻击佛罗里达州奥兹马尔的耳鼻喉科设施,可能已造成数千人受伤。其他包括纽约州心理健康办公室发布的 21,880 条记录;芝加哥一家保险公司支付的 4000 万美元赎金;总部位于丹佛的国防部承包商 Visser Precision Manufacturing 支付了 230 万美元。安德森还引用了另一个严峻的统计数据:Inc. 杂志 2018 年的一份报告指出,60% 的小企业在网络攻击发生后的六个月内倒闭。
安德森指出,这些例子并不是用来吓唬人的策略。每一个都是对事实的陈述,一个数据点,表明近年来世界发生了怎样的变化。 “很明显,一些组织比其他组织更厌恶风险,而这些组织正在采取必要措施来避免或至少减少被黑客攻击的机会,”他说。 “但让我们面对现实吧,总有一些公司不会采取任何行动,除非他们施加压力由他们的客户提供,或者直到它打入他们的钱包。”
保险有多种形式
TechSolve 的网络安全总监史蒂夫吉洛克解释说,网络安全的财务影响有多种形式。对于勒索攻击,解决方案通常是付清赎金,之后黑客会很乐意向您发送一把钥匙来解锁您的机床、管道、商业软件或公司数据。希望这是一次性的活动。假设公司幸存下来,它将以加强 IT 实践的形式对其流血的公司鼻子进行急救。然而,知识产权 (IP) 盗窃、企业和政府间谍活动、拒绝服务攻击以及常见的恶意行为也造成了损失,所有这些都更难定价。
随之而来的是网络保险成本的上升,TechSolve 和越来越多的制造商都感受到了这一痛苦。 “五年前,这很容易获得保单——只需正确回答几个简单的问题,您就获得了批准,”Gillock 说。 “但如今,与许多组织一样,保险公司开始感到压力,并在与您开展业务之前检查您是否拥有稳健的安全状况。”
OEM 也是如此,Anderson 补充道. “通用电气就是一个很好的例子。我们在我们地区有很多层级供应商,GE已经开始向他们规定如何管理他们的IP和其他企业信息。如果没有适当的程序,他们不会给你合同。”
铁盾
那怎么办呢?这是与安全专家进行的一些长时间会议的主题,但正如 Chou 和在座的其他人会同意的那样,现在开始而不是以后开始至关重要。一种好方法是从 NIST 网站下载 800-171 出版物。在那里你会看到各种各样的常识性建议——m之前列出的任何内容以及“使用防火墙或其他边界保护设备实施子网并使用信息流控制机制”的建议。
Neil Desrosiers 可以协助完成最后一部分。作为机床制造商 Mazak 的应用工程师和 MTConnect 专家,他经常在肯塔基州佛罗伦萨的工厂培训 CNC 机械师和程序员,并在每次会议开始时进行匿名调查,询问有多少客户被黑客攻击或受到恶意软件攻击。 “总有一些,”他说。 “一次可能是 20%,下一次是 50%,但它正在发生,据我所见,他们中的大多数人不想讨论它。”
一大块问题的主要原因是工业 4.0,在更大程度上是工业物联网 (IIoT)。这是一个好消息,一个坏消息的情况:两者都将使制造商更有效率,同时也增加了网络攻击的可能性。 Desrosiers 说:“我们推广 IIoT、机床监控、数据分析等,但其中许多商店的旧设备是在互联网连接成为现实之前设计的。”
“甚至在较新的机器,”他补充说,“操作系统嵌入在控件中,不容易打补丁。因此,您的 IT 部门或顾问对使用 CNC、PLC 和自动化系统保护工业机械知之甚少。
“有时感觉就像狂野的西部,”他笑着说。
检查框
Desrosiers 承认他不是安全专家,但表示至少部分驯服这个铁边界的方法是完全按照 800-171 的建议进行:实施子网防火墙或其他边界保护设备。
使用 5G 技术的蜂窝通信本质上比旧的电信平台更安全。为此,马扎克提供了一个预配置的工业解决方案,即 SmartBox,公司网站将其描述为“一种可扩展的端到端解决方案,可将制造设备(包括机器、软件和其他设备)连接到工厂网络,并允许信息通过 MTConnect 自由流向管理系统。”
即将到来的融合
IT 领域的任何人都知道定期安全备份硬盘驱动器和公司数据的重要性。然而,如果您可以创建整个 IT 系统的数字副本,该系统在工厂中包括固件、梯形图逻辑和参数设置的每一部分?这不仅允许它的所有者在网络攻击的情况下“回滚时钟”,而且可以在坏人扣动扳机之前探测该系统的漏洞。
此类功能属于阿拉巴马州亨茨维尔 Hexagon 资产生命周期智能部门投资组合战略和支持副总裁尼克·卡皮 (Nick Cappi) 表示,数字双胞胎的好处远不止产品设计和模拟——它还提供了 m制造商刚刚描述的功能。
“考虑一个典型的 CNC 机床,”Cappi 说。 “其中有泵、电机、温度传感器、逻辑控制器等,每个都运行着固件或软件。我想保护这些不同的组件,同时了解它们存在哪些风险,以便我可以主动缓解或修复每个安全漏洞。
“这就是我们的软件所做的——它为任何部分构建了一个全面的虚拟双胞胎机械,一直到微处理器级别。这使得它的所有者可以将其各种子系统与已知弱点数据库(例如 ICS-CERT 和 NVD,即国家漏洞数据库)进行比较。”
Cappi 认为,如果硬件或者软件没有安全弱点,坏人就无法入侵,也就不需要网络安全了。诚然,那个幻想世界还不存在——而且很可能不存在会的,但是像这样的工具通过弥合 IT 和 OT(运营技术)之间的差距,使它更接近。
“很长一段时间以来,IT 一直专注于风险规避,”他说。 “另一方面,OT 在网络安全方面相对较新,并没有真正将制造安全性带到可接受的风险角度。这是一个不同的世界,充满了 IT 知之甚少的 PLC 和 CNC 机械。在我们将他们的最佳实践应用到工厂车间之前,网络安全将继续成为一个问题。”
记住 Alamo
网络分段和网络结对是良好的开端,但是CyManII 的 Howard Grimes 认为传统的安全措施是不够的。 “当今的网络安全世界可以用多种方式来描述;我将使用的词是不充分的和不充分的,”他说。 “基本上,我们现在使用的系统从来都不是为了安全而设计的,而且因此,我们倾向于保卫外围,试图将坏人拒之门外。我们保护的是我们运营的各个部分,而不是它们的整体性质。”
Grimes 解释说,我们需要的是能够防止和减轻攻击的下一代架构。它们应该在设计上是安全的,受网络启发,并且了解威胁。他们还应该解决“整个供应链中的数字工程生命周期,其中每个操作、机器和人员都是这个数字生态系统中的一个“节点”。”
这是能源部拥有的技术负责开发 CyManII 和德克萨斯大学圣安东尼奥分校。他们正在取得重大进展。 Grimes 指出,该团队活跃于许多网络安全领域,并与许多制造商合作。
他提供了以下一个小例子:
“我们已经构建了一个设备允许信息或数据的单向传输,“他说ID。 “你不会被穿透,因为我们根本不允许任何东西进门。将其视为一种无须攻击的心态,这是您在网络安全社区中很少听到的一个术语。不管怎样,这个设备要花 500 美元,几乎可以连接到任何一台 CNC 机器上,从根本上提高了它的网络安全态势。同样,这只是我们工作的一个例子。我们还在研究网络物理护照,以保护供应链、防伪计划,以及正如我所说的那样,开发设计安全且具有威胁意识的架构。所有这一切以及更多都是我们的使命。”
