行业见解
数字工厂的网络安全实践
发表于02/12/2021.
作者:Kristin Lewotsky,特约编辑
学习在保护OT网络的同时拥抱数字化的策略
2020年是全球动荡的一年,工业自动化,尤其是制造业,也不例外。COVID-19施加的社交距离和“在家更安全”要求让人们认识到远程访问和数字化3 / 4(使用数字数据提高生产力、产品质量和盈利能力)的价值。今天的工厂在机器级、工厂级、组织级和云端的连接比以往任何时候都要紧密。数据是移动的,运行依赖于工业物联网(IIoT)中大量设备的通信能力。
不幸的是,2020年将另一个数字趋势带来自动化:制造目标的网络攻击数量快速增加(见图1)。据Beazley Group报道趋势科技的数据显示,从2019年第4季度到2020年第一季度,针对制造业的勒索软件攻击同比增长156%Q3 2020对制造业的攻击让其他部门相形见绌,包括政府部门和医疗保健部门。”威胁行动者以制造组织为目标是因为生产的时间敏感性Kivu Consulting最近的报告.“制造实体通常也没有投资于IT服务,这使它们很容易受到攻击。”
通过非法访问网络和设备,黑客可以窃取IP,破坏操作,危害安全,破坏设备,影响产品质量。在当今的企业中,攻击一个工厂的网络可以提供访问所有工厂的能力。风险不仅仅来自于与互联网的连接。在最近的SolarWinds黑客,攻击者在一个广泛使用的应用程序中嵌入恶意代码,在安装合法补丁的过程中通过加载自身来渗透客户系统。这次攻击凸显了即使是可信的¾和看似可信的¾软件的风险。问题不再是是否公开OT网络和OT资产。问题是这种暴露是有意且安全的还是无意且无保护措施的。
OT网络的挑战
在互联网诞生的最初几十年,运营技术(OT)网络与IT网络和互联网是分离的。这个所谓的气隙的目标是保护工业控制系统(ICS)和相关资产免受来自业务网络的入侵。然而,由于企业网络体系结构的发展,这种空气间隙不再有效。威胁不仅来自通过工业以太网和Internet远程访问的ICS资产,而且来自可能已被攻击者破坏的其他OT网络。
普渡企业参考体系结构(PERA)是一个多层层次结构,它建立了涉及ICS的行业操作的级别。它们是:
- 0级:物理层(例如,电机,驱动器,传感器)
- I级:智能设备(如plc、运动控制器、智能驱动器等)
- 第2级:监控层(如HMIs、SCADA软件等)
- 3级:制造操作系统(例如,MES、维护、数据历史学家等)
- 4级:企业网络及应用(如ERP、内部网、办公应用等)
ISA95/IEC-62264将这些层映射到一个区域体系结构,该体系结构以非军事区(DMZ;见图2):
使用纸张将订单、工作流程和食谱从顶层传递到底层的企业和行业正在迅速减少。企业之间是连接的,DMZ的气隙是防止入侵的必要工具,但不是充分的工具。即使在每个级别之间设置防火墙也不能防止水平威胁。思科(北卡罗来纳州罗利-达勒姆)工业交换和物联网安全产品线经理鲁本·洛博(Ruben Lobo)说:“如今,没人不上网就能工作。”“非军事区有很多漏洞,所以来自内部的威胁可能比来自外部的威胁更严重。”
至于内部威胁的例子,只要看看带有终极气隙¾的国际空间站系统就行了。多年来,该公司的系统多次遭到黑客攻击,一是由于宇航员携带了受感染的笔记本电脑,二是最近通过窃取一台未加密笔记本电脑获得的算法。
Lobo说:“大多数(攻击OT网络的)恶意软件和勒索软件都是传统IT领域的同类软件。”“也许控制工程师用来给plc编程的PC首先受到了从互联网上下载的某些东西的攻击,从而感染了你的操作员工作站。”毕竟,如果黑客能够加密PC上运行人机界面的图形文件,他们就不需要理解PLC的代码。最终的结果是相同的:生产停止,直到文件被释放。
这并不是说个人智能设备就不会受到攻击。工业物联网的不断扩大和对数字化的强调显著增加了现代工厂的攻击面。plc、运动控制器、驱动器、编码器和人机界面都有软件、固件和操作系统。它们可能与数据历史学家或其他已安装数据库的存储设备相连。曾经有一段时间,边缘设备是专用服务器,可以引入额外的保护层。如今,几乎任何智能设备都可以作为边缘设备,带来被黑客入侵的风险。与此同时,oem、集成商和可靠性技术人员等第三方供应商可能已经设置了后门来访问机器进行故障排除和维护。
更复杂的问题是大多数工业设施零散的长大,独立的设备上运行开始的现场总线连接到一个更广泛的工作系统,并最终对企业和互联网。绿地工厂是一个例外,而不是常规,虽然大多数生产线上的电子设备每5到10年就升级一次,但许多较老的工厂不得不与传统系统中的过时设备进行竞争。运行Windows XP甚至Windows NT的电脑并非闻所未闻,尽管这两种操作系统多年来都没有得到支持。“你在地板上放了很多本不该与互联网相连的设备,”加利福尼亚州布雷亚市Moxa美洲公司产品营销部经理理查德·伍德说。“这些设备可能是过时的、未打补丁的、已知的漏洞,或者根本没有自我保护能力。”
联网工厂带来了大量的网络安全挑战。幸运的是,组织可以使用成熟的技术从脆弱的体系结构发展到更安全的状态。这些进展包括在整个企业内映射连接的设备,划分网络以限制入侵,监控流量以识别这些网段内的威胁,以及从组织和程序上对响应进行编码。
治理
一个成功的网络安全计划必须建立在治理的基础上。只有在有效的、详细的过程到位的情况下,组织才能真正地实施保护组织及其资产的计划。
组织需要确定其风险容忍度和战略必要性,以使其网络安全工作与整个企业保持一致。治理模型需要建立固定的策略和规则来执行这些策略和规则,不只是针对连接的设备,还包括人员和过程。
设备
任何网络安全倡议的核心都是设备级政策。根据相关风险对网络设备进行分类,并指定如何配置网络设备,包括补丁和升级。
策略应该涵盖设备的生命周期,从安全采购开始。德勤(Deloitte)网络5G业务负责人温迪•弗兰克(Wendy Frank)表示:“你需要了解自己计划购买的设备的风险。”这包括评估供应商的网络安全计划的实施。他们的程序是否遵循NIST和ISA/IEC 62443等综合标准?他们是否对他们的设备进行安全和隐私风险评估并解决漏洞?他们是否进行了适当的测试?他们的合同条款是什么?如果他们承诺一定程度的安全和隐私,试着把这写入你和他们的合同。”
任何通用计算设备都应该进行工业加固,去掉任何不必要的应用程序,禁用任何未使用的端口和服务。每个设备都需要自己唯一的IP地址。工厂用户名和密码应替换为新的用户名和强密码。这对于plc和控制器等自动化组件尤其重要,这些组件中有大量在发货时没有激活安全条款。
有效治理的一部分是构建保持软件补丁更新的过程。然而,自动下载和安装补丁可能会有问题。有一个先前提到的例子,恶意软件嵌入了一个来自可信来源的补丁。然而,即使补丁是安全的,它仍然可能导致网络中的其他设备崩溃。更好的方法是使用工具来接收新补丁的自动通知,但在将其安装到生产系统之前进行测试和验证。“我们建议人们订阅ICS-CERT(见侧边栏)以获得漏洞警报,”Wood说。“大多数信誉良好的制造商都会通过RSS feed或电子邮件通知他们所销售的设备的更新,所以请联系你的供应商,确保你能以某种方式自动收到升级和补丁的通知。”如果做不到,那就设置一个定期检查这些设备的时间表。”
最后,良好的治理包括生命结束时的安全处理,特别是对于一般计算产品。如果设备没有经过适当的处理,其结果可能是敏感数据的意外泄露。
身份验证和用户
固件更新和安全补丁可能会引起关注,但通常,最大的风险不是软件或固件,而是人的软件。这样的例子比比皆是,从贴在人机界面屏幕上的便利贴上的密码,到操作员将受感染的智能手机插入工业PC上开放的USB端口,而没有意识到充电线不仅是电源连接,还是数据连接。一个工程师在停车场拿起记忆棒,用恶意软件感染他们的笔记本电脑(和网络)的场景已经成为cliché,但这并不意味着它没有风险。
网络安全政策应遵循最佳实践。消除共享凭据。每个用户应具有唯一的用户名和密码。根据最小权限的原则应用基于角色的权限,用户仅适用于他们需要完成任务所需的数据和功能。定期更改密码,并尽可能使用多因素身份验证。如果IT和OT正在密切关注安全性,这些技术应该是简单的。IT部门已经为企业区域设置了身份验证服务器;它很容易设置类似于OT网络的东西。该方法还简化了取证。如果存在问题,可以识别在特定时间内访问网络的个人或在特定设备上更改配置。 “It gives you the forensics capabilities need to really track down what happened if there is a breach,” says Wood.
认证需要与员工培训同时进行。许多被高度曝光的数据泄露都是由于简单的用户错误造成的,而这些错误本可以通过提高认识而轻易避免。例如工程和维护人员的pc机和移动设备可能直接连接到OT网络。对他们的电子邮件进行的网络钓鱼攻击将像感染企业专区一样有效。在教育上投入时间和精力。使用不同的设备与OT设备和网络接口,而不是商业应用程序,如电子邮件。
它并不能
网络安全传统上是IT部门的工作领域,主要关注企业领域的业务系统。通过IT管理OT网络安全的传统挑战是,生产车间的设备在通信流程和功能上与传统网络设备有根本不同。由这些分歧引起的误解可能是灾难性的。Frank说:“为了有效的运营安全,你真的需要利用OT标准,如ISA/IEC 62443,并了解制造车间、操作和特定设备,这是一个通常负责网络安全的IT员工通常没有受过培训的领域。”
Lobo说:“失败的项目通常是因为有人试图在不了解流程的情况下实施某种安全措施,最终阻碍了合法的流程。”It部门并不需要了解如何为PLC编程,甚至PLC是什么。他们确实需要了解哪些设备需要通信以及在什么时间框架内进行通信的过程。“他们需要有一个背景。他们需要知道这个PLC应该和这个IO通信,这两条线上的PLC应该互相通信,所以网络分段他们不应该阻塞它。”
认识到安全的重要性,公司越来越多地确立了首席信息安全官(CISO)的职位。CISO牵头治理进程,制定合作和优先事项,并监测平台和流量的威胁。在OT网络保护的情况下,他们同时监督IT和业务线(OT)。在可能的情况下,有了这个额外的层,可以简化流程并优化结果。
入门
一旦一个有效的网络安全政策被建立起来,它实际上就需要被实施。其中有四个关键步骤。
步骤1:网络可见性
保护网络的基本出发点是发现所有连接的资产,最后,有一些工具和方法可以监视和记录网络上的所有设备——IT和OT——并提供详细的网络架构。弗兰克表示:“资产可见性和管理的重要性,我怎么强调都不为过。”“组织需要能够说,‘这是我们网络中的设备列表。这是他们正在运行的软件版本,这些是制造商。’不幸的是,在大多数情况下,他们不能。”这一信息对于跟踪已知的漏洞并在以后修复它们非常重要。它用于协调端点的维护,以确定需要更新哪些设备,以及设备和控制系统之间是否存在通信问题。
这关键的第一步可能会带来惊喜。伍德说:“在这个过程中,发现安全团队不知道存在的联系是相当常见的。”“也许有人设置了一个无线接入点,这样他们就可以坐在办公桌前直接访问工厂网络,或者OEM在他们的机器上安装了一个设备,让他们只访问自己的设备。但因为他们没有使用防火墙或某种网络分割将设备与网络隔离,这种看似无害的资产连接现在变成了与整个网络的远程连接。”
这些隐藏设备往往代表着高度的脆弱性,要么因为它们无法按照最基本的标准进行配置,要么它们已经过时,存在已知的问题。从好的方面看,一旦他们被确定,他们就可以优先升级。
当清单完成后,下一步是评估每个设备,以确定它是否配置正确。去制造商的网站,检查固件更新。调查设备是否有任何已知的漏洞。从本质上讲,应该在获取和安装时进行尽职调查。
为了识别所有资产以及它们连接到网络的位置,以及它们如何彼此通信,需要将被动发现和主动发现结合起来。被动发现是指对流量进行深度报文检测。I / O的挑战是大多数交通和PLC的I / O点之间,这意味着它很少离开水平即被动发现识别所有连接设备的机器水平,深度数据包检测需要在网络模型的最低水平。Lobo说:“如果你在聚合层检查流量过高,你可能只会看到不到20%的流量。”“一些客户看到了20%,他们有一种错误的安全感,认为他们已经被关注了。但是,真的,你需要达到100%,所以你需要一直到工厂的底部。目前最具挑战性的问题是如何以更低的成本实现这一目标。”
活动发现使用工具主动扫描网络。它可能是一种有效的方法,但已经有些有争议的争议。遗留设备有时在积极发现期间崩溃,这导致了一些用户归咎于这项技术。然而,Lobo说,这并非如此。“关于积极发现的社区有很多误解,”Lobo说。“这不是带下控制系统的主动发现,这是因为网络设计得非常糟糕,并且执行积极发现的行为导致一系列导致某些传统设备崩溃的事件序列。如果在设计不良的网络环境中进行了活动发现,那么您必须使用某种方式。客户群不是很好地理解这方面。“该技术现在正在获得接受,越来越多的供应商提供了活动发现工具。这是Lobo的观点中的一个重要提升。 “To truly get to 100% visibility, you need to do a combination of active and passive discovery.”
步骤2:网络细分
一旦可见性过程已经完成,设备正确配置和修补,下一步是网络分段。网络分段有助于限制攻击的范围,也可用于隔离易受攻击的资产(见图4)。DMZ是分段的主要示例,使用防火墙将IT网络与OT网络隔离开来。DMC可以有效地阻止外部威胁,但如果认为这会使网络安全,那就错了。如果目标是真正防止由于网络攻击而导致的停机和损失,则需要对DMC下面的OT网络进行分段,以防止内部威胁。
从宏分段开始。例如,一个拥有10条装配线的工厂可能被分成10个部分。如果段1发生了什么,它就不会扩散到段2。然后在适当的时候进行微观细分。分段需要与来自IT和OT的输入一起完成,以确保它不会在时间敏感的过程中引入延迟。例如,不应该在PLC和I/O之间设置防火墙,后者为控制回路提供反馈。如果必须对网络的这一部分进行分段,可以使用访问控制列表(acl -白列表)来强制按线路速率分段,在不妨碍通信的情况下保护资产。一旦宏分段的所有工作都顺利进行,下一步就是使用acl和开关在装配线中创建微分段。
分段提供了一种解决方案,以降低运行已知漏洞的遗留网络设备的风险,例如那些Windows XP机器。如果它们被隔离在一个单独的网络中,它们就不会危及其他设备。它们还可以配备入侵保护设备,可以过滤进入的流量,找出已知的漏洞和威胁。
步骤#3:网络和设备监控
一旦进行了编目、配置和更新设备以及划分网络的过程,真正的工作就开始了。需要对网络中的每一段流量进行持续监控,以发现异常和威胁。安全事件事件管理(Security Incident Event Management, SIEM)系统是完成这一任务的一个好工具,它从整个网络聚集数据,集中分析和报告,同时消除误报。
“监控片非常重要。这是许多公司遇到麻烦的地方,因为他们不先使资产库存能够监控,“弗兰克说。“拥有威胁情报计划必须收集和分析内部威胁和外部威胁的数据是必不可少的,因此您可以提供更好的响应,有效监控您的OT设备,并主动管理这些风险。”
在一个实现中,级别2的交换机复制了流量,并将流发送到对通信协议进行解码的传感器,并将直播流馈送到级别3的服务器设备。设备使用分析来检测异常。如果通常从PLC读取的HMI突然写入它,例如,系统会检测到并发送警报。它将寻找交通量的突然变化,协议的变化,任何异常。它还将运行基于签名的检测以捕获任何已知的威胁。
第四步:响应
即使是最好的威胁检测系统也无效,而不能够采取该信息的能力。这一步骤涉及安全运营中心(SOC),向CISO办公室报告。SoC由协调对异常的反应的专家人员。可以使用软件处理某些类型的威胁。SoC的专家可以解决IT世界中常见的威胁。然而,OT网络呈现出其他类型的挑战。
如果一个控制工程师写一个新的程序到机器上的运动控制器,SIEM可能会把它推广到SOC团队。问题是接下来会发生什么。“坐在SOC中的IT人员甚至可能不知道PLC是什么,”Lobo说。“所以,你需要在工厂和SOC之间建立一个反馈回路。他们可以联系到那家工厂的OT用户,说:“嘿,我应该担心这个吗?你是把这个程序放到PLC上了还是这是你没想到的?”最有可能的是,你只是想宣传基于签名的对袜子的威胁,然后让工厂地板上的用户宣传对控制系统的异常情况进行调查,否则就会有太多的误报。”
最后,组织需要建立恢复和补救机制。确保所有关键系统文件都备份了,最好是备份到公共云或私有云。然而,仅仅发现威胁是不够的。需要将其从网络环境中移除,系统需要恢复运行。这并不总是在内部团队成员的技能范围内,所以确保将对外部专业知识的访问设置为组织政策和程序的一部分。
制造业和其他工业部门的网络攻击正在上升。组织需要建立一个全面的战略来保护自己。从适当的治理开始。一旦制定了策略,请遵循发现、设备保护、网络分割以及网络和设备监控等步骤。确保有一个响应团队,以便在发现异常时做出决定并采取行动。最后,也许也是最重要的一点,不要忽视培训。人的因素可能是最大的弱点。确保员工接受了适当程序的培训,并定期提醒他们在帮助保护组织方面的作用。最重要的是,无论组织的规模有多大,都要解决这个问题,现在就开始行动。Wood说:“需要制定安全策略并在网络上执行该策略。” “but failing to do it is just like not locking your front door when you leave your house.”