网络安全

制造业工业PC网络安全升级

针对制造商和其他工业网站的网络安全攻击正在增长,公司需要开发一个网络安全计划,保护工业PC和其他脆弱的目标,直到最近,没有连接到互联网。

杰夫冬天 2021年8月5日
礼貌:授予

学习目标

  • 针对制造商和其他工业网站的网络安全攻击每年都在增加。
  • 在制定网络安全计划时,最好从降低业务风险和促进创新的角度来看待它。
  • 工业电脑需要被置于网络安全工作的前线,并不断监控和打补丁,以防止攻击发生。

这不是我们的世界比以往任何时候都更加联系。根据统计,估计今天有360亿连接的设备。这一金额将增加2025.在感知的不同之处在于我们是否变得或多或少安全。一方面,可以提高安全的技术和专业服务正在增长。例如,市场和市场据估计,全球网络安全市场规模将从1530亿美元增加到2023美元至2.49亿美元。

另一方面,对组织的攻击比以往任何时候都更加普遍,这可以通过越来越多的企业购买网络安全保险对冲他们的赌注。更令人震惊,数千家受害公司的名单由情报公司发布在网上,显示谁在暗网上发布了信息。判断整体网络安全是在变好还是变坏是一个复杂的话题。

工业控制系统无法跟上

当讨论工业控制系统(ICS)环境时,这个问题就不那么复杂了。这是一个由传统硬件和软件维系在一起的领域。环境的资本和运营成本很高,所以设备经常运行到故障为止。工业设备通信本质上是不安全的和未加密的。可用性优先于机密性和安全性,在停机期间提供很少或根本没有修补的机会。在许多方面,运行控制系统的工业信息技术(IT)基础设施与它们的企业基础设施完全相反。累积结果在Claroty的Biannual IC风险和漏洞报告根据2018年,提供显示影响商业设施部门的漏洞的数据增加了140%。

综合这些趋势,不仅组织面临的连通性和网络安全威胁越来越多,ICS安全态势也没有跟上。

图1:有效网络安全保单总数。(美国注册保险公司)。礼貌:授予

图1:有效网络安全保单总数。(美国注册保险公司)。礼貌:授予

最佳镜头查看IC网络安全

IC网络安全问题是令人难以置信的技术,本文的标题是技术性的,“网络安全”一词的声音技术。但是,在考虑问题时,最好通过商业风险降低和创新的镜头来看待它。让这两个目标指导如何做出决策,并允许技术安全控制和实践在他们身后落下。

IC网络安全:企业风险

从企业风险的角度来看,IC网络安全方法将平行一个组织现有的EH&S计划,从而意识到每个人在累计安全计划中发挥作用。它需要一个人,流程和技术的混合来有效,并且是一个不断改进的循环而不是线性目的地。最终目标是量化对业务的风险量,然后减少它。

为在ICS环境中应用网络安全最佳实践的全面框架,国际自动化学会国际电工委员会(IEC)出版了一系列标准.该系列由14个标准和技术报告组成,阐述了所有者、供应商和服务提供商可以遵循的责任。62443-2-1标准的标题为“建立工业自动化和控制系统安全计划”,对于希望启动网络安全计划以了解和解决总体网络安全风险的系统所有者来说特别重要。

图2:每个Claroty披露的IC漏洞。礼貌:授予

图2:每个Claroty披露的IC漏洞。礼貌:授予

ICS网络安全:实现创新

第二 - 有时忘记的镜头通过实现创新来查看安全决策。连接性的增加为分析,云和边缘计算架构提供了一个机会,并且更多要利用,这可以使业务更有效和敏捷。

然而,安全问题可以防止采用这些技术,提高安全性可以消除这些障碍。而不是查看安全改进和限制性,确定哪些安全性改进能够实现连接技术,并且权衡到在整体风险管理周期中实现安全控制的决定。

必须从企业风险和创新角度全面思考网络安全。在许多情况下,一个组织的步骤将是了解其环境中的系统,为事件做好准备并减少事件的可能性和后果。这是IPS和Server生命周期和修补的地方扮演主要角色。

图3:实际风险和可容忍风险比较的图形示例,设施按重要性“层”进行了分类。礼貌:授予

图3:实际风险和可容忍风险比较的图形示例,设施按重要性“层”进行了分类。礼貌:授予

IPC和服务器修补的重要性

整体而言,打补丁只是整个挑战的一小部分,但对于工业pc和服务器来说却是非常重要的一部分。事实上,ISA/IEC-62443系列标准由14个标准和技术报告组成,其中一个(技术报告2-3)是专门为解决ICS环境中的补丁管理而发布的。

ICS环境由许多工业设备组成,包括2级监控设备和应用,1级基本控制设备,MES / MOM系统,网络基础设施等。可以说,如果只有一种类型的设备可以修补,最聪明的选择将是Microsoft Windows操作系统(OS),这是攻击者横向移动的共同平台。它们通常与大量设备连接,并有机会在不直接影响运行上运行的工业应用程序时进行修补。

图4:安全控制实施的风险管理周期和工业4.0目标的合并。礼貌:授予

图4:安全控制实施的风险管理周期和工业4.0目标的合并。礼貌:授予

最大的工业漏洞

事实上,2级监控装置和应用程序具有2020年下半年披露的漏洞数量最大的漏洞。因此,考虑通过修补Microsoft Windows操作系统可以实现的大量业务风险,值得优先考虑努力在整体网络安全管理周期内。

从创新角度来看,可以通过整合到虚拟化和冗余环境或利用边缘计算来简化整体计算生态系统,以消除商店地板上的Microsoft Windows OS设备。简化还使访问控制,用户控件,资源可用性等一致地应用于访问控制。这使得IPC和服务器升级创新进步和减少风险的机会。

由于ICS环境的性质,在某些情况下,升级IPC是不可行的。在这些情况下,可以实现安全性改进。通过关闭不使用的服务、端口和接口对设备进行加固,可以减少设备的攻击面。IPC也可以在组织域内设置,以执行策略,并使工业应用程序能够针对it管理的AD进行身份验证。最后,设备可以从虚拟或物理上与其他关键资产分离,减少IPC在攻击者杀死链中使用的机会。

图5:ISA/IEC-62443标准和带有状态的技术报告。礼貌:授予

图5:ISA/IEC-62443标准和带有状态的技术报告。礼貌:授予

利用现有工业PC安全框架

鉴于攻击升级和越来越多的ICS环境脆弱性,我们落后于确保环境。这样做时,利用ISA和IEC提供的框架有助于发布,并使用业务风险减少和创新支持作为实施安全控制的决策标准。

数据演示了Microsoft Windows IPCS和服务器是最脆弱的和最针对性的资产。这意味着管理生命周期,修补和系统备份值得做。虽然很难,但每年投入1美元的志翁之间的选择,或者支付4000万美元的比特币给网络团伙解密你的设备根本不应该是一个选择。

图6:产品系列的固件和软件漏洞的细分。礼貌:授予

图6:产品系列的固件和软件漏洞的细分。礼貌:授予

杰夫冬天,战略和营销高级总监,授予。由Chris Vavra,Web Content Manager编辑,控制工程,CFE媒体和技术,cvavra@cfemedia.com

更多答案

关键词:网络安全,工业PC,工业控制系统(IC)

考虑一下这一点

还有什么公司可以做到改善他们的整体网络安全足迹吗?


杰夫冬天
作者生物:杰夫·温特,格兰泰克的战略和营销高级总监