OT Cyber Security Challenges - OT Security Solutions - What is Industrial Control System
組織仍在低估,由操作技術(OT)不夠安全所帶來的風險。
當前的一個例子來自德國。根據 heise.de 的一份報告,外部安全測試人員認為,對公有自來水公司 Berliner Wasserbetriebe 進行的嚴重網路攻擊,可能成功導致德國首都廢水管理的徹底失敗。
至少對於德國而言,好消息是,工程標準和法律要求的結合,通常可以防止發生許多最壞的情況。其中一項法規要求公用事業公司,在必要時必須能夠手動控制電網。但是,並非在所有歐洲國家都如此。如果法律上要求的基本 IT 保護到位,並且使用了兩因素身份驗證和其他最佳實踐,則可以防止或至少包含許多潛在的破壞性事件。
德國有許多目的在最大程度,降低網路安全風險的指南和標準,包括有關基本 IT 安全的法律,ISO 27001、IEC62443 標準,以及由 BSI(相當於英國國家網路安全中心)發布的綱要。甚至還有免費的工具,來檢查和記錄對這些準則的遵守情況,例如輕安全性 ICS。
但是,儘管這些工具可能會有所幫助,但它們也需要合格人員進行大量工作。許多公共機構都在努力尋找這樣的人員,以及尋找初始系統評估所需的錢。我們也不應忘記,儘管付出了所有努力,但始終會存在風險,尤其是在遵守法規和發生安全事件後,聲譽受損的方面。
IT 與 OT?
直到最近,OT 和 ICS 環境在實體上,仍與企業 IT 隔離,因此不被認為容易受到網路攻擊。有些 OT 網路比管理它們的安全專家要老,這意味著它們是在網路攻擊,甚至可能發生之前就建立的。在許多情況下,這會導致連接所有實體子網的非常扁平的網路。結果,保護它們更加困難。「臨時」工作幾乎是不可能的,應始終將其視為一個連續的過程,而不是要達到和忘記的目標。
在計劃實施安全控制時,應確保選擇的工具和流程支持,透過傳統 IT 和 OT 協議,進行的通信。你還應該記住,OT 中的維護和升級週期,比 IT 中的長得多。儘管現在它們開始變得越來越短,但 OT 週期仍與快速發展的 IT,和 IT 安全週期的數量級不同。 OT 團隊和工廠經理還努力應對,IT 方面的頻繁更新,以及相關的停機時間 - OT團隊試圖避免的事情。
這是否意味著 OT ,應該沒有被 IT 部門視為標準的安全控制措施?
實際上,結果幾乎總是妥協。某些推薦的 IT 做法和監視選項,肯定可以在 OT 中使用,但是必須準確地對其進行調整,以適應將要使用它們的工業環境,並且必須清楚地傳達它們。
IT 安全已成為具有非常複雜的威脅,與極其複雜的領域。向人們往往具有不同優先級的 OT 團隊,解釋這種複雜性,並不總是那麼容易。
關於 IT 安全的某些保留,可以追溯到最早的,主動和被動網路監視時代。主動監控在 OT 專家中的聲譽,尤其令人懷疑。首次採用主動網路監視時,有些方法只是從辦公環境中,簡單移植而已,沒有任何改編。這些方法已經過嘗試和測試,因此,最好在更敏感的 OT 網路中,更廣泛地使用它們。結果:設備中斷和對生產過程的昂貴中斷。甚至在今天,一些 OT 專家在聽到「掃描」一詞時也發抖。
IT 和 OT 的優先級有所不同,這增加了許多組織遇到的通信困難。
在網路安全和 IT 中,機密性、完整性和可用性,是 CIA 三合會的組成部分,通常(並且明智地)按順序排列是頭等大事。在工業網路安全中,使用縮寫 AIC 代替 CIA,因為可用性是最高優先級。
融合網路中的安全風險
在融合網路中,資訊和自動化技術越來越共同發展。它們之間的聯繫和轉移,總是會導致風險增加,從而可能造成破壞。安全專家擔心,企業對連接設備的依賴性成長速度,遠遠超過其保護這些設備的能力。
需要開發基本概念,並為不同的工業環境定義安全機制。OT 營運商迫切需要花費時間和精力,來改善其安全狀況。所有這些都受到,圍繞工業安全主題的許多神話和誤解的阻礙。
這些措施經常會阻止計劃,和實現必要的措施。這些頑固的神話之一是,網運安全事件是「惡意駭客攻擊」的代名詞。早期研究顯示,絕大多數事件,是由人為錯誤或設備故障引起的。在這兩種情況下,製造工廠的效率都會受到直接影響。即使涉及網運犯罪,與外部網運犯罪分子相比,犯罪分子更經常是惡意內部人員。在這些情況下,員工或外部合作者,通常試圖破壞或損壞系統、流程、設備或人員。
更好地保護平面網路的第一步,是對它們進行分段。你可以透過監視協議活動,並根據已辨識的漏洞,為每個分類系統分配風險評分來開始。在此階段,組織已經實現了一定程度的透明性,下一步通常是對防火牆,或修補程序解決方案的投資。從那時起,關鍵目標應該是對環境的持續監控。
一旦建立了滿足安全要求的配置,就需要正確的工具,來盡快發現該安全基準的任何偏離。對於你的組織而言,最有效的監視解決方案,可能是被動、主動和混合工具的組合,因為不同的工具最適合不同的環境。
從本質上講,每種類型的工具都可以有效地工作,提供最大程度的透明性,並保持網路盡可能穩定和可用。但是對於「一種尺寸適合所有人」的解決方案,各種網路環境之間的差異太大。無論你選擇哪種解決方案,都將始終需要對其進行微調。這是該過程的重要組成部分,特別是對於根據受信任的行業標準或框架,對網路安全建模的組織而言。
結論
許多人仍然認為較小的製造商,在很大程度上不受攻擊。不幸的是,這種情況並非如此。實際上,網路罪犯將缺乏專業知識,人員和資源的組織視為自身有吸引力的目標,方便的培訓場所,並且經常將其作為方便的第一手基地和跳板,以應對未來更大的攻擊。
作為一個過程,工業網路安全在範圍和時間方面,可與健康與安全媲美。你應該為團隊和技術定義策略,並開發過程以強制執行它們,建立基準並持續監視安全狀況,以便不斷維護和改進它並確保合規性。
這在公共和私人部門都是必要的,因為政客和管理人員,都不希望出於錯誤的原因而發布新聞。無論網路事件是否會損害公司的聲譽,破壞生產或在 OT 中引起安全警報,網路安全現在都由最高管理層負責。
0 comments:
張貼留言