网络安全需要在生产运营进行彻底的根深蒂固,就像安全性一般今天成了。这就是为什么许多网络安全的倡导者早就提出,自动化专业人士利用一些网络安全和安全之间的相似性。这个想法是从安全性适应的最佳做法,以防范网络攻击。
“有数十年的应用安全标准和最佳实践的经验,”安全系统的全球产品经理Luis Duran解释道“ABB.“这种经验有助于建立新的最佳实践,以处理网络安全等不同的问题。”
“安全的做法已经更加广泛的理解,比网络安全的做法根深蒂固,补充说:”亚历山大肖托,在对网络安全的DeltaV的产品经理爱默生自动化解决方案.“所以,安全比较对网络安全的接受度有很大帮助。”
这些比较是可能的,因为这两个学科在一些重要方面是相似的。从根本上说,两者都旨在管理那些永远不会完全消失的风险。正如粗心大意或不可预见的情况可能会破坏精心设计的安全实践,一个有经验的攻击者所采取的协同努力最终也会通过最好的网络防御。
从这一有利位置出发,一般的安全策略是通过建立多层防御来降低风险,每层防御的目的都是防止事件发生或在防御最终被破坏时遏制损害。Peixoto说:“工业控制系统的有效网络安全态势是基于深度防御战略,这很像安全系统的防护层分析。”
这意味着,如安全,网络安全必须从一开始就设计为控制网络。“经常,制造组织稍后增加网络安全防御,”PeiCaoto观察。“它更昂贵,很少像建造网络安全进入项目一样有效。”
安全和网络安全的实现,而且必须超越的技术解决方案。“双方还需要行为和文化变革,”肖托解释。“根深蒂固的理解‘为什么’,每个人都在其中‘如何’公司从管理到工厂人员,是网络安全驾驶有意义的行为变化的关键。”
因此,制造商必须通过制定政策和程序以及进行定期培训,以便他们为其安全计划进行定期培训来支持这一策略。“资产所有者具有定义和执行的政策和程序是至关重要的,以便在工厂中的每个人都清晰而熟知安全操作程序,”强调Peixoto。
然而,对于安全和网络安全来说,降低风险并不是真正可以达到的目标。相反,ABB的Duran将其称为一个旅程,一个需要持续警惕、准备和适合每个资产生命周期的每个阶段的行动的旅程。“用户应该定期重新评估现有的做法,并确定它们是否有效,”他说。
称为Cybersafety,这里介绍了如何分析制造业务的网络安全的四步方法。麻省理工学院研究人员通过调整模型来开发这种方法,用于分析事故,将其应用于网络物理系统上的网络攻击。礼貌的麻省理工学院。
相似但不同的
尽管有这些相似之处,在工业自动化中使用安全作为网络安全模型的想法尚未在工业中广泛实施。原因往往围绕着这两个学科之间的一些关键差异。
首先是缺乏法规强制要求网络安全。虽然监管机构已经要求,目前执行的行业各种安全标准几十年来,为工业自动化网络安全标准,不仅是相对较新,但也往往是自愿的。因此,他们的收养大多依赖于生产组织及其不执行他们的风险的看法。
然而最近,亚历山大博士霍希,在研发和产品管理副总裁修玛集团,已经注意到一个可喜的趋势。“公司在加工工业中越来越认识到安全和安全标准的安全和他们的工厂的经济活力的重要性,”他说。过程工业遵循的主要标准是IEC 61508和IEC 61511安全和IEC 62443标准的网络安全。
霍希认为,遵守这些标准对于防范网络攻击和提高安全性同样重要。“在安全方面,它已经出色地运行了50年,”他说。但就安全而言,标准是必要的,但还不够。由于威胁是不断变化的,安全也必须不断检查,不仅是功能,而且是有效性。”
这种不断变化的景观可能是网络安全与安全性不同的最重要的方式。“在安全的情况下,我们努力了解物理过程以及操作或设计中的各种故障可能会产生危险的条件,”Duran在ABB解释。“然后,我们设计缓解。我们通常不会期望新的失败模式实现。
随着网络安全,情况就不同了。“我们必须对付恶意,这是非常难以预料,”多诺万Tindill,霍尼韦尔关联企业的一份网络安全专家说。“这更多的是对威胁的性质。什么是攻击者的能力和动机,以及他们如何比较的网络安全保护控制系统?”
除了上述因素外,攻击者所使用的策略也在不断地发展,因此很难预测任何攻击的成功或失败的可能性。因此,工艺和安全设计人员通常不能依赖类似于在设备故障的数据,可用于安全工程的统计数据的机构。
造成网络攻击不可预测性的另一个因素是技术的不断发展。Tindill指出:“每当一项新技术被发明出来,比如云计算、移动设备和量子计算,都会带来一系列新的网络安全挑战。”必须开发新的保护和检测控制,并将其集成到业务流程和技术中。
网络攻击的不可预测性意味着设计师们真的在防范不同类型的错误。Horch说:“功能安全基本上是处理随机错误,而安全攻击更有可能是由于弱点造成的系统性错误。”
这些基本差异导致不同的实施策略。“安全通常是一次完成,并定期检查所采取措施的有效性,”他说。“安全必须不断完成,因为风险不断变化。”
ABB的Duran补充道:“你需要不断评估威胁状况,以及探测指标,这意味着要主动监控边缘防火墙和系统网络。这也意味着积极参与工业控制系统网络安全社区,共享信息,了解趋势,以便做好准备和适应。”
斯图尔特·马德尼克教授(左)和研究生沙哈里亚尔汗,与詹姆斯柯特利教授(未显示)工作,发现了几个安全漏洞,当他们在这个小电厂的应用MIT的计算机安全方法。该植物是易受网络攻击,因为它使用的软件,而不是机械装置,以保持涡轮超出他们的控制范围。图片来源:斯图尔特Darsch
一种新方法
考虑到这些关键差异,研究人员继续利用安全和网络安全之间的相似之处,以吸取教训。这项研究的成果之一就是网络安全,这是麻省理工学院(MIT)开发的一种自上而下的分析方法。15年前,麻省理工学院的南希·利弗林(Nancy Levering)开发了一种用于分析各种事故的模型。
麻省理工学院(MIT)教授、麻省理工学院斯隆联盟(MIT Sloan Consortium)网络安全创始董事斯图尔特·马德尼克(Stuart Madnick)表示,这种新的网络安全方法有四个步骤。第一步是确定流程中需要保护的内容。其想法是确定不可接受的损失和可能导致这些损失的关键风险。
不幸的是,这项运动不是大多数公司定期进行的。“当你问你业务中最重要的功能是什么,大多数高管偶然绊倒,试图通过清楚地思考,”马尼克报道。“如果他们给你一个答案,他们经常改变他们的想法。”因此,他强调需要将时间带到前面,以便仔细确定需要受到保护的保护。
一旦公司执行本练习,MIT的第二步是MIT的CyberSafety方法是开发一个谁或控制每个功能发生的活动的模型。该控制层次结构必须包括各种影响,无论是机械,计算机化还是人。世卫组织或什么决定了手头活动的状态?那么,谁或什么控制了该控制器?问题在控制层次结构中的每一个监管层面都在递归地继续,一直到行政套件,甚至超过外部监管机构。
工程师可以使用这些信息执行第三步,即识别可能不安全、破坏性或破坏性的控制动作。在这里,Madnick说关键是思考这个过程可以做什么,而不是它应该做什么。例如,如果损坏的传感器信号阻止控制器采取纠正措施,或导致控制器在错误的时间采取行动,将会发生什么?改变变速驱动器的标志使马达向后运行会引起什么问题?
第四个也是最后一步是或推测控制器可以如何交互发出不安全的命令,给攻击者的恶意行为。分析师们现在能够确定,将防止在第一步中指定的最坏可能的结果了新的要求。
为了帮助进行这类研究,一些公司聘请外部专家进行定期安全审计和威胁测试。霍希表示:“这相当于主动雇佣黑客,以发现可能被其他黑客利用的潜在漏洞。”
进行定期演练
除了使用自上而下的分析来识别风险,网络安全可以借鉴的另一个最佳实践是进行定期演习。这里的目标不是训练工人应对各种可能的攻击,而是建立必要的心态。Madnick指出:“大多数工程师在大学里并没有学习网络安全,尤其是在十多年前上大学的时候。”“所以,他们不会考虑这个问题。”
他指出,2000年,一名心怀不满的承包商对澳大利亚马鲁奇郡水务管理局发起了攻击。当污水泄漏等一系列问题开始发生时,工作人员只是认为这些事件是由于一连串的坏运气。马德尼克表示:“他们甚至没有考虑到自己遭受网络攻击已有3个月的可能性。”“不幸的是,这种情况在许多制造工厂仍然存在。”
定期的网络事件演习可以改变这种情况,让人员更早地意识到这种可能性。Tindill说:“在网络安全事件中,检测可疑的系统行为或损害并作出反应所需的时间与影响的严重程度有直接关系。”
演习也是训练操作人员的好方法。训练不仅是一个练习应对攻击的机会,而且还能有效地将知识传授给缺乏经验的员工。Tindill指出:“当网络事件发生时,你的最高级别人员可能不会在场。
除了演习,他还倡导在安全倡议中常见的其他措施,如教育研讨会、提醒、宣传活动、合规控制,以及研究从基于行为和侥幸报告中收集的数据。
