2 月,在一家重要零部件供应商成为网络攻击的受害者后,丰田在其所有 14 家日本工厂都停止了生产。随着制造商继续他们的数字化转型之旅,Forescout Technologies 全球工业企业副总裁 Christina Hoefer 解释了他们如何提高互联环境的安全性。丰田攻击的目标是 Kojima Press Industry Co.,该公司生产汽车金属、塑料和电子元件,但它间接影响了丰田的准时制生产控制系统。为防止感染传播到其他网络组件,这家汽车制造商决定停产,导致汽车产量下降 5%,并给公司造成重大财务损失。这次攻击也证明了供应链攻击对公司的真正影响制造商。随着他们运营环境中连接性的增长和相互依赖链的增加随着供应商越来越深入到他们的网络中,破坏性和生产停止的网络攻击正在成为更大的风险。黑客发现,通过破坏关键供应商的生产,他们还可以关闭其客户的运营。 IT、物联网 (IoT) 和运营技术 (OT) 系统(包括工业控制系统 (ICS))的融合通常在供应链攻击中扮演重要角色——更常见的是内部、非恶意网络风险。鉴于在这种更高的风险下,制造商如何才能提高其互联环境的安全性?
制造业的数字化
几十年来,IT 和 OT 被视为组织内的独立实体。为了与 Purdue Enterprise Reference Architecture 最初定义的实践保持一致,这两个系统完全隔离,不会相互影响。虽然这种分离使 OT 网络受到更多保护,但今天的数字化转型工作已经合并了网络以提高效率、削减成本和提高工厂员工的安全性,但它也增加了网络风险。数字化转型的基础是 OT 和 IT 系统的融合。融合并不意味着 IT 和 OT 系统和流程被折叠成一个单一的扁平系统,而是共享信息以允许它们互操作。对于制造商而言,挑战在于如何安全地连接需要通信的 IT 和 OT 系统,同时防止那些不需要通信的系统。通常,基于 OT 和 IT 是分开的假设(实际上并非如此),不需要的通信链接未经检查并且漏洞隐藏在众目睽睽之下。此类假设增加了恶意软件在一个网络上传播并影响其他网络的可能性。在考虑制造网络安全挑战时,最常面临的问题包括:
事后才想到的安全性:由于 OT 资产从未连接,因此在构建它们时并未考虑安全性甚至完整性。以后添加安全性可能会异常困难,因为许多资产无法容纳代理。一些领先的制造商最终将“安全设计”原则应用于新技术,但这仍然是个例外。更新周期长:随着新硬件、操作系统和应用程序的发展,IT 组织每隔几年更新一次技术的情况并不少见。相比之下,OT 系统是为可靠性而构建的,它们保持相对静态并且具有较长的生命周期。一些 OT 资产可能长达 30 年都不会更新。零停机要求:许多 OT 系统是为连续生产而构建的,并且永远不会离线。正如丰田的例子所说明的,即使是一个小时的停机时间也可能意味着惊人的收入损失。此外,尝试打安全补丁通常会导致比解决问题更多的问题。即使存在安全补丁,也可能没有关闭生产、安装和重启的维护窗口。这些系统还采用了缺乏处理能力的数十年历史的技术,这使得端点保护工具等安装变得困难。运营风险的可见性:像让丰田陷入瘫痪的网络攻击成为头条新闻,但网络或流程错误配置等日常问题控制、操作错误、资源使用高峰和其他异常情况威胁生产力的可能性要高出十倍。在调查之前,异常可能表明存在流程问题或恶意攻击。无论哪种方式,制造商都必须能够检测入侵、不良行为或设备故障并迅速做出响应以避免停机。物联网呈指数级增长:物联网 (IoT) 设备在制造环境中的使用也在呈爆炸式增长,原因与 OT 相同:进一步降低成本并为客户提供更多价值。物联网设备用于收集有关生产过程的实时数据。这些数据流入 IT 甚至云服务,以根据指标实现更好的调度、预测和整体性能。它们还用于管理设施楼宇门禁、暖通空调、照明和消防安全系统等系统。尽管物联网设备发挥着举足轻重的作用,但通常不会跟踪和监控物联网设备通信。因为不清楚他们与谁通信,所以很难维持安全边界。与 OT 设备一样,物联网系统使用简单的操作系统和现成的软件组件。他们的固件很少更新,因此漏洞比比皆是,使他们很容易成为黑客的目标。地理和规模:制造基地可能很大,一个园区内有多个生产工厂,或者在地理上分散在多个地区和国家。这些环境中的每一个都可能依赖于不同代数的数千个系统和设备,这些系统和设备由不同的供应商在不同的体系结构上构建。维护不再可能用笔和纸进行准确的资产盘点。您需要自动化来持续识别和评估所有连接的资产,从十年前的过程控制器到休眠的 IT 系统和新的物联网设备。 OT 网络安全技能短缺:与 IT 安全人员不同,OT 工程师经常使用 OT 系统。当主要关注安全和生产力的利益相关者现在必须平衡运营和网络安全风险时,尤其是当这意味着关闭运营时,可能会出现紧张局势。再加上全球缺乏熟练的网络安全资源——以及物联网设备的所有权不明确,这可能会被遗漏。 manuf 的网络安全最佳实践acturers
在推出新的数字化项目时,组织可以按照 NIST 网络安全框架等最佳实践做好准备,该框架概述了如何识别、保护、检测、响应威胁和从威胁中恢复。以下建议符合此框架,它们基于十多年的工业威胁研究和经验: 发现 完整的安全性始于所有资产的准确清单、它们的位置以及它们正在与之通信的对象。能够检测连接时资产的位置(及其属性)有助于工程师在出现故障、行为不当或其他网络问题时找到它们。挑战在于,鉴于安全规则、供应商互操作性问题、工业流程要求,适用于 IT 和物联网的相同发现方法可能不适用于敏感的 OT 设备s 和其他注意事项。为了避免停机或服务中断,他们需要无代理技术或非侵入式网络监控,例如深度包检测 (DPI)。 OT 网络还包括许多 IT 资产,因此混合技术是必要的。可以使用被动和主动技术的组合来发现来自不同供应商的不同年龄的设备和过程。持续监控网络基础设施的工具可在连接时有效地定位资产,而不会造成干扰。专用于 OT/ICS 网络的系统必须了解数十种工业协议,并能够确定检测到的威胁的优先级。监控过程通信可以及早发现网络错误配置和操作错误,因此 OT 工程师可以更快地诊断行为和解决问题。评估OT 工程师必须了解每项资产的网络安全和运营风险。操作风险包括过程关键性、设备行为和与其生命周期相关的年龄,而安全风险应考虑漏洞和互联网连接,以及接近潜在受感染的资产和使用薄弱的安全标准。与发现一样,有多种方法可以非侵入式地确定 OT 资产的漏洞,而大多数传统 IT 资产都可以主动扫描。风险评估也应该是自动化和连续的,将资产与 OT/ICS 特定的数据库进行比较妥协指标 (IOC) 和常见漏洞和暴露 (CVE)。通常,假设没有系统是无漏洞的。随着供应链漏洞的增加,它们只会变得更加难以追踪。制造商应加强安全边界,只允许必要的访问和监控这些连接并在工厂内实施网络分段,以分离关键流程系统和易受攻击的设备,并应用最小特权访问原则。这也将有助于为零信任架构奠定基础。检测 为了避免代价高昂的停机时间,必须尽早检测和调查对运营连续性的威胁。资产发现和风险评估会产生大量有关潜在威胁和漏洞的信息,但并非所有信息都是紧急的。为了消除噪音,OT 工程师和安全团队需要一个监控和检测系统,该系统可以根据运营和网络安全风险以及潜在影响对关键警报进行优先级排序,并深入了解细节以帮助他们做出明智的决策回应。您的安全运营中心 (SOC) 应该能够处理 OT 和 IoT 环境中与安全相关的事件,并且可以将运营事件转移到流程自动化团队。为避免 OT 团队因过多的升级而超载,团队可以定义一些案例作为开始,并随着时间的推移增加它们。响应 必须根据所有可用信息使用正确的技术来减轻并在理想情况下修复上述发现的任何风险和漏洞。虽然在 IT 中,常见的方法是打补丁,但这对于 OT 来说可能是不可能的。在制造环境中,响应行动的范围从自动启动补救活动(例如为工程师创建服务票以检查故障设备或收紧防火墙规则)到更激烈的行动ic 措施,如访问控制和分段。脆弱和关键系统,包括不受支持的遗留系统,应与其余操作分开,并应尽可能实施逻辑分段。例如,安全摄像头不需要连接到过程控制服务器或数据历史记录,机器人手臂不需要直接访问互联网。虽然自动缓解和修复可以释放稀缺资源以专注于其他优先事项,但它可能在制造环境中并不总是可取的。执行策略可以指定应手动执行哪些操作,在人工协助下或根据所有可用信息自动执行哪些操作。零信任策略引擎可以对网络和端点实施灵活的缓解措施,从适度(应用更新)到严格(隔离设备)。该策略将有助于保护易受攻击、高风险和受损的设备,同时使关键任务资产保持在线。当证明安全时d 可以自动执行有效的手动启动操作,以减少有意义的平均响应时间 (MTTR)。恢复安全策略,从评估和警报到缓解措施,自然应该涉及 IT 和 OT 团队之间的沟通。例如,SOC 安全分析师如何通知现场合适的 OT 工程师?许多操作可以自动启动而不会给 OT 系统带来风险,例如收紧不涉及过程控制通信的防火墙规则,以及在授予对生产网络的访问权限之前评估承包商笔记本电脑的安全状况。实际上,政策通常源于实际的违规行为。假设承包商笔记本电脑上的恶意软件感染了网络。您是如何从事件中恢复并恢复运营的,您可以做什么已经做了什么来防止它发生?确保记录事件并确定更好的保护、检测和响应方法,以便在发生类似事件时可以更快地恢复。随着制造工厂之间的联系越来越紧密,网络安全的重要性从未如此重要。制造商必须更深入地了解他们网络上的确切内容以及每个设备如何互连,然后采取措施保护所有资产。数字化转型为制造商带来了巨大的好处,但这也意味着不再可能保持关键 OT 断开连接。为了从这种数字化中获益,安全需要与创新同步运行。
