随着数字技术、工业4.0和工业物联网的出现,它们给网络风险带来了新的复杂性。听到“网络安全”这个词就足以让一些工业网络工程师转换并以另一种方式操作,但它并不一定像看起来那样令人生畏。与任何事情一样,企业在网络安全方面必须从某个地方开始。在今天的环境中,人们认为第一步是安全意识。许多工厂没有意识到当他们的运营技术(OT)网络和设备不安全时会发生什么。网络安全通常被认为是事后才想到的,或者在潜在的灾难性事件发生之前根本不考虑。在对制造业的567人进行调查后,安全服务提供商Morphisec在一份调查报告中声称,在过去的一年中,五分之一的制造工厂成为了网络攻击的目标(这一估计可能是保守的,因为并非所有员工都意识到他们的工作时公司受到网络攻击)。NTT公司的一份调查报告显示,2020年全球针对制造业的网络攻击将增加300%。换句话说,现在是工业设置聚焦的最佳时机。网络安全问题并不总是人为破坏或恶意软件造成的。它们也可能是由人为错误引起的。例如,一名员工将自己的笔记本电脑带到企业办公,将其插入网络端口,不小心损坏了设备并导致停机。当公司设计新的工业网络时,有机会采取积极主动的方法并将网络安全纳入每项决策:采用纵深防御保护、提前规划IIoT等。但由于您的工业网络可能已经存在,您现在需要保护现有的网络。在许多情况下,工业网络是几十年前设计和建造的,远早于网络安全成为一个因素。企业如何才能将最初设计时并未考虑防御的东西改造成安全的呢?通过网络评估获得可见性一旦组织意识到网络安全是一个问题,一个好的起点就是简单的网络评估。这需要全面了解运营技术(OT)网络,以查明连接到它的每个设备:机器、传感器、控制器、驱动器、相机、开关等。企业在采取任何行动之前必须了解其工厂中的设备。如果您不了解设备,就无法采取任何措施来保护它。通过此评估过程获得可见性后,大多数工厂都会惊讶地发现他们不知道的设备和访问权限在他们的网络上,即使他们认为他们知道这一切。一旦掌握了这一点,企业就可以确定设备的使用方式。从那里可以建立一个基线,通过随着时间的推移监视和测量每个设备来跟踪变化,包括潜在的漏洞。基本工业网络安全的三个最佳实践除了进行网络评估之外,组织还可以做一些其他事情来朝着正确的方向前进:实施被动发现、制定纵深防御策略以及对网络进行分段。(1)PassiveDiscoveryPassiveDiscovery可以帮助企业发现网络上新的未知设备,通过不断扫描识别IP地址,而不会产生额外的流量或延迟。这有助于检测在发现过程中传输或接收通信的未经授权或恶意设备。从那里,可以进行一些调查以确定这些设备是什么以及它们是否造成了麻烦。(2)纵深防御策略尽管保护企业的工业网络与保护其IT网络同样重要,但不能指望其IT部门了解错综复杂的工业协议和网络设计。他们可能管理数字信息流,但可能不了解工业流程和用于执行这些流程的机器。当IT团队被迫管理OT网络时,通常会看到他们将设备放置在网络边缘以将工厂网络的控制与业务网络分开,然后收工。但这使得工业网络没有纵深防御策略。纵深防御策略是一种分层的网络安全方法,可保护有价值的数据并防止下游的所有内容在受到威胁时受到损害。例如,在与负责SCADA网络的工厂经理合作,准确了解从机器人单元到PLC、HMI再到各种工业设备的需求后,便可以确定将数据从A点移动到另一点所需的最小B。如果Something不符合这些标准,那么它就不会通过。(3)网络分段由于工业环境需要保护很多东西(OT设备、控制系统、其他网络设备等),网络分段有助于提高安全性。通过将网络划分为不同的部分或组件,访问和流量可以仅限于所需的通信和用户。这有助于防止可能试图在网络中策划攻击的不良行为者的横向移动。如果网络的一个网段发生网络攻击,其他网段不会受到影响。例如,网络分段可以在物理上/逻辑上将OT网络与内部和外部的其他网络分开。在公司和工业“区域”之间建立这种屏障意味着可以安全地共享数据而无需跨越该屏障。企业需要开始他们的网络安全之旅,并很快发现网络安全不是目的地,而是一段旅程。改善网络卫生是一个持续的过程。随着对制造工厂的威胁发生变化,企业的安全策略也必须发生变化。专家指出勒索软件和供应链攻击是未来最大的工业网络威胁。一两年前,最重要的威胁可能有所不同。互联网安全中心(CIS)也是需要网络安全起点的工厂的有用资源。它提供了许多建议的分步操作来防止网络攻击,从资产的清点和控制开始,到渗透测试结束以验证安全性。企业的专家团队深知如何连接和保护制造工厂和工业网络,提供业界最完整的端到端网络解决方案套件,可帮助企业重新设计和改造网络。值得信赖的顾问通过同时提高效率、敏捷性、可持续性、安全性和保障性,帮助组织取得更好的业务成果。
