爱游戏ayx网

如何确保OT网络安全

尽管有所进展,但运营技术网络网络安全仍然滞后于信息技术网络安全。

由杰西谷 5月12日,2021年
礼貌:毛泽东

保护操作技术(OT)网络和增加网络耐久性是提高运营弹性的关键,因为OT网络保护仍然滞后于信息技术(IT)网络安全。本文介绍了滞后背后的原因,这种差距如何在不同行业中表现出来,概述四个步骤OT运营商可以采取以更好地保护来自网络攻击的OT网络,并提高运营恢复力。

新机会带来了新的威胁

随着新的IT技术和互联网连接可用于OT网络,开放了许多不同的机会,以获得更高的生产率和效率。虽然将OT网络连接到Internet实现了新的可能性,但它也引入了新的威胁(见图1)。

由于Covid-19 Pandemery造成更多人远程工作,公司需要与其业务和生产网络进行更多远程连接。虽然这些远程连接确实使员工能够从家庭的安全起作用,但它们也不遗憾地向新的网步开放门。

虽然IT网络通常具有复杂的网络安全对策,但OT网络仍然包括许多遗留设备,并且通常具有更少的保护。这是因为系统很复杂,很难有效地实现网络安全措施。此外,这些网络通常具有长生命周期,其中传统设备不定期使用网络安全功能进行更新。OT协议通常不会加密,并且通常缺少身份验证机制。此外,黑客越来越熟悉OT协议,网络和设备,使其能够更容易地定位可编程逻辑控制器(PLC),人机接口(HMIS)和监督控制和数据采集(SCADA)系统。

它与OT之间的网络安全差距

它与OT网络安全之间差异的原因与不同的业务优先级密切相关,经常与彼此发生冲突(见图2)。

为什么IT网络受到更好的保护。企业IT网络优先考虑机密性和数据完整性。IT资产包括位于气候控制办公环境中的计算机和服务器,并且易于定期升级、修补或更换。

为什么OT网络落后。工业OT网络优先考虑可用性,并专注于控制不能容忍停机的过程。与IT资产不同,OT网络由plc、人机界面、仪表和其他难以升级或升级的设备组成。这些设备可能处于恶劣且难以到达的环境中,经常受到极端温度、振动和冲击的影响。

图1:虽然将OT网络连接到Internet实现了新的可能性,但它也介绍了新的威胁。礼貌:毛泽东

图1:虽然将OT网络连接到Internet实现了新的可能性,但它也介绍了新的威胁。礼貌:毛泽东

不同领域的不同需求

工业应用程序有不同的需求,不同的行业,以及不同级别的网络安全成熟度。尽管公共部门的行业通常比私营制造企业受到更好的保护,但大多数OT网络在网络安全方面仍落后于IT同行。

通常,IT部门管理OT网络的网络安全政策,但这些政策仅仅是IT水平,这意味着他们不考虑OT网络的特性和要求。此外,许多人也在继续缺少其IT和OT网络之间的分割。无论行业如何,许多OT网络都缺乏足够的安全控制,并且不受OT运营商管理。

工厂自动化

制造商通常具有较低水平的网络安全成熟,主要是收入驱动,并专注于维护可用性和正常运行时间而不是安全。尽管安全意识的程度因制造商是传统的,转型或现代化而异,但在工厂自动化中,它和OT角色和责任仍然是模糊的定义(见表1)。

电力实用程序

电网应用的网络安全主要由政府政策驱动。但是,电力自动化的专用OT网络具有低可见性的网络资产,有限的保护,并在远程终端单元(RTU)转换为以太网技术。这些申请主要涉及通过政府审计和会议国际标准(IEC 61850,IEC 62351,IEC 62443和ISO 27001),防止了运营商的错误配置,并防止了对权力分配的干扰。

水处理

类似地,水处理应用包括具有低资产可见性的专用OT网络。遗留设备的丰富和缺乏访问控制和网络分割表明需要加强超越政府审计和部署防火墙和入侵防御系统(IPS)的网络安全。

智能交通系统

智能交通系统(ITS)的网络安全也主要由政府驱动。智能交通系统应用的特点是在每个交通路口有各种设备和系统的分布式网络。尽管每个设备通常使用不同的网络,但安全性集中在IT层。

虽然其应用遵循规定的政府指导方针,但很擅长建立网络安全政策和部署防火墙,但它们仍然关注交通信号和传感器的网络攻击,以及有人可以相对容易地进入设备柜的可能性,并获得直接访问这样的网络。

图2:IT成熟与OT网络安全之间的差异的原因与通常相互冲突的不同业务优先级密切相关。礼貌:毛泽东

图2:IT成熟与OT网络安全之间的差异的原因与通常相互冲突的不同业务优先级密切相关。礼貌:毛泽东

排斥的四个步骤

考虑到IT和OT网络的不同,我们如何在这两个领域之间架起桥梁,保护OT网络免受网络攻击?为了提高运营弹性,OT网络必须确保其网络安全措施与IT网络中使用的一样成熟。以下四个步骤描述了用户如何保护OT网络和增加弹性。

1.管理网络。用户无法保护他们不知道的资产。这就是为什么增强操作恢复力的第一步需要OT运算符以与其网络管理员通常具有完整可见性的类似方式监控其网络上的所有内容。实际上应该是OT网络应该在OT网络上吗?网络上有什么不应该在那里吗?

例如,OT运算符可以开始确定谁可以通过利用访问控制列表(ACL)或其他身份验证机制来访问网络。此外,有简单的机制可以通过端口访问控制或粘性MAC来设置OT运算符可以设置哪个PLC连接到网络。换句话说,可信列表中的所有内容都允许通过网络,并且阻止了在可信列表中未指定的任何内容。管理OT网络(而不是依赖IT部门)还允许OT运算符更快地响应停机时间并更快地解决问题。

2.段OT网络

与IT网络不同,通过将网络划分为不同的部门,通过自己的一组权限将,OT网络本质上是一个巨大的Intranet,其中一切都已连接。这使得OT网络更难以分段,但不是不可能的。用户可以分段为OT网络有两种方式:

  • 垂直分割涉及在IT网络和OT网络之间增加一个工业非军事区(IDMZ)。虽然这种分离应该是强制性的,但许多公司仍然没有将OT网络与IT网络分开。
  • 水平或横向分割涉及在OT网络上创建和分离单元格,区域和站点。电池基本上是一个微小的地方,在那里存储所有设备,例如机柜。几个细胞可以形成区域,并且多个区域可以形成位点。

使用任一方法或两者进行分割OT网络允许操作员防止以网络滑轨扩散到网络的其他部分。

3.补丁漏洞。由于运行在OT网络上的设备和设备不能像IT网络上的端点那样频繁地升级或替换,OT网络上仍然有许多遗留设备,这些设备甚至可能运行在Windows 95这样的旧操作系统上。许多遗留的OT设备仍然没有打补丁,而且相对容易被黑客利用。如果原始设备供应商没有可用的补丁,请考虑在旧设备前面的设备上安装一个虚拟补丁。

4.安全的远程连接。保护从电站或远程站点传回到监控中心的数据绝对是至关重要的。确保与OT网络的每个远程连接都经过认证和加密。“认证”验证请求访问的用户的身份,而“加密”确保传输的数据经过安全编码,不易被窥探者破译。

最后的想法

除了管理和划分OT网络外,OT运营商还需要确保他们的系统打了正确的补丁,远程连接是安全的。这些步骤不仅有助于减少OT和IT部门之间的差距,而且还保护越来越多连接到互联网的工业控制系统免受网络攻击。


jesse ku.
作者简介:Jesse Ku是Moxa USA的网络安全技术顾问。