成员自1984年以来

了解更多

AIA-Advanced Vision+Imaging已转变为Advanced Automation协会,这是全球领先的视觉+成像、机器人技术、运动控制和工业人工智能行业自动化行业协会。

内容提交:

工业:
安全/监督安全/监督

应用:
N / A.

数字工厂的网络安全实践

发表于02/18/2021.

作者:Kristin Lewotsky, A3特约编辑

2020年是全球动荡的一年,工业自动化,尤其是制造业,也不例外。COVID-19带来的社交距离和“在家更安全”要求让人们认识到远程访问和数字化以及使用数字数据对提高生产力、产品质量和盈利能力的价值。今天的工厂在机器级、工厂级、组织级和云端的连接比以往任何时候都要紧密。数据是移动的,运行依赖于工业物联网(IIoT)中大量设备的通信能力。

不幸的是,2020年将另一个数字趋势带来自动化:制造目标的网络攻击数量快速增加(见图1)。据Beazley Group报道,从2019年第4季度到2020年第1季度,针对制造业的勒索软件攻击同比增长156%,而趋势科技的数据显示Q3 2020对制造业的攻击让其他部门相形见绌,包括政府部门和医疗保健部门。”威胁行动者以制造组织为目标是因为生产的时间敏感性Kivu Consulting最近的报告。“制造业实体也常常投资IT服务,使他们易受攻击。”

有针对性和非针对性的网络攻击

图1:在过去的两年里,有针对性的和非目标网络制造业的网络攻击急剧增加,因为这些公司被认为是高价值,脆弱的目标。(由Moxa Americas提供)

通过非法访问网络和设备,黑客可以窃取IP,破坏操作,危害安全,破坏设备,影响产品质量。在当今的企业中,攻击一个工厂的网络可以提供访问所有工厂的能力。风险不仅仅来自于与互联网的连接。在最近的SolarWinds黑客,攻击者在一个广泛使用的应用程序中嵌入恶意代码,在安装合法补丁的过程中通过加载自身来渗透客户系统。这次攻击凸显了即使是可信的¾和看似可信的¾软件的风险。问题不再是是否公开OT网络和OT资产。问题是这种暴露是有意且安全的还是无意且无保护措施的。

OT网络的挑战

在互联网的前几十年中,操作技术(OT)网络与IT网络和互联网分开。该所谓的气球的目标是保护工业控制系统(ICS)和相关资产免受源于商业网络的侵查。然而,由于企业网络架构的不断发展,这种气隙不再有效。威胁不仅来自远程访问工业以太网和互联网的ICS资产,而且来自其他可能因攻击者可能受到损害的其他OT网络。

PURDUE企业参考架构(PERA)是一个多层层次结构,该层次结构建立涉及IC的工业操作的级别。他们是:

0级:物理层(例如,电机,驱动器,传感器)

I级:智能设备(如plc、运动控制器、智能驱动器等)

第2级:监控层(如HMIs、SCADA软件等)

第3级:制造操作系统(如MES、维护、数据历史等)

第4级:企业网络和应用程序(如ERP、intranet、office应用程序等)

ISA95/IEC-62264将这些层映射到一个区域体系结构,该体系结构以非军事区(DMZ;见图2):

企业参考体系结构显示工业控制系统(IC)在典型工业操作中对业务应用的关系。顶级工业区和企业区之间的防火墙(DMZ)是一种必要但不足以防止侵占的工具。

图2:企业参考体系结构显示工业控制系统(IC)在典型工业操作中对业务应用的关系。顶级工业区和企业区之间的防火墙(DMZ)是一种必要但不足以防止侵占的工具。

使用纸张将订单、工作流程和食谱从顶层传递到车间的企业和行业正在迅速减少。企业是相互联系的,非军事区的气隙是防止入侵的必要工具,但不是足够的工具。即使每个级别之间都有防火墙,也无法抵御横向威胁。”如今,没有人能在没有互联网的情况下完成工作,”思科(北卡罗来纳州罗利达勒姆)工业交换和物联网安全产品线经理鲁本·洛博(Ruben Lobo)说非军事区的漏洞很大,因此来自内部的威胁可能比来自外部的威胁更严重。”

举一个内部威胁的例子,看看国际空间站的最终空气间隙为¾的系统就知道了。多年来,它的系统多次遭到黑客攻击,既有宇航员将受感染的笔记本电脑带上太空的结果,也有最近从一台未加密笔记本电脑失窃中获得的算法。

Lobo说:“大多数(攻击OT网络的)恶意软件和勒索软件都是传统IT领域的同类软件。”“也许控制工程师用来给plc编程的PC首先受到了从互联网上下载的某些东西的攻击,从而感染了你的操作员工作站。”毕竟,如果黑客能够加密PC上运行人机界面的图形文件,他们就不需要理解PLC的代码。最终的结果是相同的:生产停止,直到文件被释放。

这并不是说个人智能设备就不会受到攻击。工业物联网的不断扩大和对数字化的强调显著增加了现代工厂的攻击面。plc、运动控制器、驱动器、编码器和人机界面都有软件、固件和操作系统。它们可能与数据历史学家或其他已安装数据库的存储设备相连。曾经有一段时间,边缘设备是专用服务器,可以引入额外的保护层。如今,几乎任何智能设备都可以作为边缘设备,带来被黑客入侵的风险。与此同时,oem、集成商和可靠性技术人员等第三方供应商可能已经设置了后门来访问机器进行故障排除和维护。

进一步复杂的事项是大多数工业设施的零碎地长大,独立的设备在现场总线上运行,开始与更广泛的整个植物系统连接,并最终到企业和互联网。格林菲尔德工厂是一个例外而不是规则,而大多数线的电子设备每五到10年升级,而许多较旧的设施必须与遗留系统中的过时的设备争斗。运行Windows XP甚至Windows NT的计算机也不是闻所未闻,即使在多年来都不支持操作系统。“你在那里的地板上有很多设备,从来没有打算与互联网相连,”米西亚美洲(加利福尼亚州Braea)的产品营销部经理Richard Wood说。“这个设备可能已经过时,没有被咬合的,具有已知的漏洞,或根本没有保护自己的能力。“

联网工厂带来了大量的网络安全挑战。幸运的是,组织可以使用成熟的技术从脆弱的体系结构发展到更安全的状态。这些进展包括在整个企业内映射连接的设备,划分网络以限制入侵,监控流量以识别这些网段内的威胁,以及从组织和程序上对响应进行编码。

治理

一个成功的网络安全计划必须建立在治理的基础上。只有在有效的、详细的过程到位的情况下,组织才能真正地实施保护组织及其资产的计划。

组织需要确定其风险承受能力和战略要求,以便使其网络安全工作与整个企业保持一致。治理模型需要建立固定的策略和规则来执行这些策略和规则,不仅是在连接的设备方面,而且在人员和程序方面。

设备

任何网络安全倡议的核心是设备级政策。它应根据关联风险进行分类网络设备,并指定如何配置它们,包括修补程序和升级。

策略应该涵盖设备的生命周期,从安全采购开始。德勤(Deloitte & Touche)网络5G业务负责人温迪•弗兰克(Wendy Frank)表示:“你需要了解计划购买的设备的风险。”这包括评估供应商的安全控制和体系结构。“他们是否对自己的设备及其漏洞进行安全和隐私风险评估?”他们是否进行了适当的测试?他们的合同条款是什么?如果他们承诺一定程度的安全和隐私,试着把这写入你和他们的合同。”

任何通用计算设备都应该经过工业加固,去掉任何不必要的应用程序,禁用任何未使用的端口和服务。每个设备都需要自己唯一的IP地址。工厂用户名和密码应替换为新用户名和强密码。这对于PLC和控制器之类的自动化组件尤其重要,其中数量惊人的一些在装运时没有启用安全措施。

有效治理的一部分是迄今为止保持软件补丁的构建程序。但是,自动下载和安装修补程序可能是有问题的。先前指出的恶意软件示例嵌入在可信源的补丁中。但是,即使修补程序是安全的,它仍然可能导致网络中的其他设备崩溃。更好的方法是使用工具接收新修补程序的自动通知,而是在生产系统中安装之前测试和验证。“我们建议人们订阅ICS-Cert(见侧栏)进行漏洞警报,”Wood说。“大多数信誉良好的制造商将有RSS源或电子邮件通知,以便在其销售的设备上更新,因此请与您的供应商联系,以确保您在某种程度上自动通知升级和修补程序。如果是不可能的话,请设置一个定期计划以检查这些设备。“

最后,良好的治理包括在生活结束时的安全处置,特别是在一般计算产品的情况下。如果没有通过适当的过程进行设备,则结果可能是无意发布的敏感数据。

身份验证和用户

固件更新和安全补丁可能会引起关注,但通常,最大的风险不是软件或固件,而是人的软件。这样的例子比比皆是,从贴在人机界面屏幕上的便利贴上的密码,到操作员将受感染的智能手机插入工业PC上开放的USB端口,而没有意识到充电线不仅是电源连接,还是数据连接。一个工程师在停车场拿起记忆棒,用恶意软件感染他们的笔记本电脑(和网络)的场景已经成为cliché,但这并不意味着它没有风险。

网络安全政策应遵循最佳实践。消除共享凭据。每个用户应具有唯一的用户名和密码。根据最小权限的原则应用基于角色的权限,用户仅适用于他们需要完成任务所需的数据和功能。定期更改密码,并尽可能使用多因素身份验证。如果IT和OT正在密切关注安全性,这些技术应该是简单的。IT部门已经为企业区域设置了身份验证服务器;它很容易设置类似于OT网络的东西。该方法还简化了取证。如果存在问题,可以识别在特定时间内访问网络的个人或在特定设备上更改配置。 “It gives you the forensics capabilities need to really track down what happened if there is a breach,” says Wood.

认证需要与员工培训同时进行。许多被高度曝光的数据泄露都是由于简单的用户错误造成的,而这些错误本可以通过提高认识而轻易避免。例如工程和维护人员的pc机和移动设备可能直接连接到OT网络。对他们的电子邮件进行的网络钓鱼攻击将像感染企业专区一样有效。在教育上投入时间和精力。使用不同的设备与OT设备和网络接口,而不是商业应用程序,如电子邮件。

IT和OT

Cyber​​security传统上是IT商店的省,重点是企业区的业务系统。通过它来管理OT网络安全方面的传统挑战是,制造地板上的设备在传统网络设备的通信流程和功能上基本不同。从这些差异产生的误解可以证明灾难性。“对于有效的操作安全,您真的需要了解制造业地板和OPS和特定设备,这是通常对网络安全负责的IT人员通常没有,”弗兰克说。

Lobo说:“失败的项目之所以这样做,通常是因为有人试图在不了解流程的情况下实施某种安全措施,结果实际上阻止了合法的流程。”。It部门并不需要了解如何编程PLC,甚至不需要了解什么是PLC。他们确实需要了解哪些设备需要通信以及在什么时间范围内进行通信的过程。”他们需要有一个背景。他们需要知道这个PLC应该与这个IO通信,这两条线路上的PLC应该相互通信,所以他们不应该阻止它。”

认识到安全的重要性,公司越来越多地设立首席信息安全官(CISO)的职位。CISO领导治理过程,制定合作和优先事项,并监控平台和流量以防威胁。在OT网络保护的情况下,他们同时监督IT和业务线(OT)。有了这个额外的层,在可能的情况下,简化了流程并优化了结果。

入门

一旦制定了有效的网络安全政策,实际上就需要加以实施。其中包括四个关键步骤。

步骤#1:网络可见性

保护网络的基本出发点是发现所有连接的资产,确定它们连接在哪里,以及它们如何彼此通信(参见图3)。结果是网络上所有设备的清单和详细的网络架构。弗兰克表示:“资产可见性和管理的重要性,我怎么强调都不为过。”“组织需要能够说,‘这是我们网络中的设备列表。这是他们正在运行的软件版本,这些是制造商。’不幸的是,在大多数情况下,他们不能。”这一信息对于跟踪已知的漏洞并在以后修复它们非常重要。它用于协调端点的维护,以确定需要更新哪些设备,以及设备和控制系统之间是否存在通信问题。

实现网络安全程序的第一步是进行所有连接设备的库存并映射网络。(由Moxa Americas提供)

图3:实施网络安全计划的第一步是对所有连接设备进行清点并绘制网络地图。(由Moxa Americas提供)

这关键的第一步可能会带来惊喜。伍德说:“在这个过程中,发现安全团队不知道存在的联系是相当常见的。”“也许有人设置了一个无线接入点,这样他们就可以坐在办公桌前直接访问工厂网络,或者OEM在他们的机器上安装了一个设备,让他们只访问自己的设备。但因为他们没有使用防火墙或某种网络分割将设备与网络隔离,这种看似无害的资产连接现在变成了与整个网络的远程连接。”

这些隐藏设备往往代表着高度的脆弱性,要么因为它们无法按照最基本的标准进行配置,要么它们已经过时,存在已知的问题。从好的方面看,一旦他们被确定,他们就可以优先升级。

清单完成后,下一步是评估每个设备,以确定其配置是否正确。请访问制造商网站并检查固件更新。调查设备是否存在任何已知漏洞。基本上,在收购和安装时进行本应进行的尽职调查。

要识别所有资产及其连接到网络的位置,以及它们之间的通信方式,需要将被动发现和主动发现相结合。被动发现涉及对流量的深度数据包检查。挑战在于,大多数I/O流量在I/O点和PLC之间传递,这意味着它很少离开I级。对于在机器级别识别所有连接设备的被动发现,需要在网络模型的最低级别进行深度数据包检查。”如果你在聚合层检查的流量太高,你可能会看到不到20%的情况一些客户看到了20%,他们有一个错误的安全感,认为他们有能见度。但是,真的,你需要达到100%,所以你需要一直到工厂的底部。如何经济高效地完成这项任务是目前最具挑战性的事情。”

活动发现使用工具主动扫描网络。它可能是一种有效的方法,但已经有些有争议的争议。遗留设备有时在积极发现期间崩溃,这导致了一些用户归咎于这项技术。然而,Lobo说,这并非如此。“关于积极发现的社区有很多误解,”Lobo说。“这不是带下控制系统的主动发现,这是因为网络设计得非常糟糕,并且执行积极发现的行为导致一系列导致某些传统设备崩溃的事件序列。如果在设计不良的网络环境中进行了活动发现,那么您必须使用某种方式。客户群不是很好地理解这方面。“该技术现在正在获得接受,越来越多的供应商提供了活动发现工具。这是Lobo的观点中的一个重要提升。 “To truly get to 100% visibility, you need to do a combination of active and passive discovery.”

步骤2:网络细分

一旦可见性过程已经完成,设备正确配置和修补,下一步是网络分段。网络分段有助于限制攻击的范围,也可用于隔离易受攻击的资产(见图4)。DMZ是分段的主要示例,使用防火墙将IT网络与OT网络隔离开来。DMC可以有效地阻止外部威胁,但如果认为这会使网络安全,那就错了。如果目标是真正防止由于网络攻击而导致的停机和损失,则需要对DMC下面的OT网络进行分段,以防止内部威胁。

分割网络减少了入侵的攻击表面。(由Moxa Americas提供)

图4:分段网络减少了入侵的攻击表面。(由Moxa Americas提供)

从宏分割开始。例如,一个拥有10条装配线的工厂可能被分成10个部分。如果第1段发生了什么,它就不会扩散到第2段,然后在适当的时候进行微段。分段需要使用IT和OT的输入来完成,以确保它不会在时间敏感的进程中引入延迟。例如,不能在PLC和为控制回路提供反馈的I/O之间设置防火墙。如果必须对网络的这一部分进行分段,则可以使用访问控制列表(ACL–白名单)以线路速率强制进行分段,从而在不妨碍通信的情况下保护资产。一旦宏分段顺利进行,下一步就是使用acl和开关在装配线中创建微分段。

分段提供了一种解决方案,以降低运行已知漏洞的遗留网络设备的风险,例如那些Windows XP机器。如果它们被隔离在一个单独的网络中,它们就不会危及其他设备。它们还可以配备入侵保护设备,可以过滤进入的流量,找出已知的漏洞和威胁。

步骤#3:网络和设备监控

一旦清点、配置和更新设备,以及对网络进行分段,真正的工作就开始了。在网络中移动的流量需要在每一段中不断地被监控,以检测异常和威胁。这项任务的一个好工具是安全事件管理(SIEM)系统,它通过网络聚合数据以集中分析和报告,同时消除误报。

弗兰克说:“监控环节非常重要,这正是很多公司陷入困境的原因,因为他们首先没有资产库存,然后就没有对它们进行监控。”必须有一个威胁情报计划来收集和分析内部威胁和外部威胁的数据,以便您能够提供更好的响应,对OT设备进行有效的端点监控,并主动管理这些风险。”

在一个实现中,级别2的交换机复制了流量,并将流发送到对通信协议进行解码的传感器,并将直播流馈送到级别3的服务器设备。设备使用分析来检测异常。如果通常从PLC读取的HMI突然写入它,例如,系统会检测到并发送警报。它将寻找交通量的突然变化,协议的变化,任何异常。它还将运行基于签名的检测以捕获任何已知的威胁。

第四步:响应

即使是最好的威胁检测系统也无效,而不能够采取该信息的能力。这一步骤涉及安全运营中心(SOC),向CISO办公室报告。SoC由协调对异常的反应的专家人员。可以使用软件处理某些类型的威胁。SoC的专家可以解决IT世界中常见的威胁。然而,OT网络呈现出其他类型的挑战。

如果控制工程师给机器上的运动控制器写一个新程序,SIEM可能会把它推广到SOC团队。问题是接下来会发生什么。”坐在SOC上的IT人员甚至可能不知道PLC是什么所以,你需要在工厂和SOC之间建立一个反馈回路。他们可以和那个工厂的OT用户取得联系,然后说,“嘿,我应该关心这个吗?您是否将此程序下推到PLC或这是您没有预料到的情况?“很可能,您只是希望提升基于特征码的sock威胁,然后允许工厂层的用户将异常提升到控制系统以进行调查,否则会有太多误报。”

最后,组织需要建立恢复和补救机制。确保所有关键系统文件都备份了,最好是备份到公共云或私有云。然而,仅仅发现威胁是不够的。需要将其从网络环境中移除,系统需要恢复运行。这并不总是在内部团队成员的技能范围内,所以确保将对外部专业知识的访问设置为组织政策和程序的一部分。

制造业和其他工业领域的网络攻击正在上升。组织需要建立一个全面的战略来保护自己。从正确的治理开始。一旦制定了策略,请遵循发现、设备保护、网络分段以及网络和设备监视等步骤。当发现异常情况并采取行动时,一定要有一个反应小组来做出决定。最后,也许是最重要的,不要忽视培训。人的因素可能是最脆弱的。确保员工接受适当程序的培训,并定期提醒他们在帮助保护组织方面的作用。最重要的是,无论组织规模有多大,都要解决问题,现在就做。”伍德说:“制定一个安全策略,并在网络上强制执行该策略,可能会涉及其中。”但如果不这样做,就像你出门时不锁门一样。”