这是来自自动化世界的新的点对点常见问题系列内容的第二部分。本系列主要介绍工业自动化领域中最常见和最具发展趋势的技术。
本系列的第一篇文章关注机器视觉和智能仪器传感器,以及如何使用人工智能分析它们的数据,以改进生产操作(通过awgo.to/1382在线访问第一篇文章)。本点对点常见问题解答系列的每一部分都将重点介绍每种技术的简明而详细的解释,然后是终端用户和集成商对它们的选择、实现和使用的见解。
本文关注网络安全,特别是深度防御方法,它已被证明是一种成功的方法,可以保护工业控制系统,并在网络攻击后恢复其运行。
深度防护解释
使用多种网络安全保护措施是确保工业网络尽可能保持安全的纵深防御方法的关键。
基于边界的网络安全策略使用防火墙和边界路由器等工具,或者使用工业非军事区将工厂内部网络与与互联网相连的企业网络分开,这些策略曾被推荐为确保个人信息和资产受到保护的高级安全策略。
然而,在企业可能在企业数据中心、私有和公共云中开发和部署应用程序,甚至利用软件即服务模型(要求它们与更广泛的互联网保持连接)的世界中,这些工具本身不再是一种可行的方法。虽然这些技术推动了数字转型的许多方面,但它们也创造了新的载体,恶意行为者可以通过这些载体进入网络。此外,越来越多的网络罪犯正在使用网络钓鱼或其他手段窃取员工的证书。在这些情况下,需要配置网络来检测外部入侵和识别不寻常的内部活动。
当深度防御策略被正确部署时,即使恶意行为者获得了访问网络的权限,也存在安全协议来防止他们造成广泛的伤害。通常,这些策略不仅应用于IT系统,还应用于物理基础设施和组织过程。
尽管专家对什么构成纵深防御的意见各不相同,但以下是常用来为工业控制系统建立纵深防御网络安全策略的关键工具和技术的解释。
网络边界安全
虽然作为一种独立的保护方法,基于边界的安全机制已不再足够,但在纵深防御战略中仍发挥着重要作用。可靠的基于边界的方法包括防火墙、vpn(虚拟专用网)和vlan(虚拟局域网)。
- 防火墙会扫描进入网络的数据包,找出已经确定的威胁的恶意代码,并在适当的时候将其标记为安全风险。
- vpn通过加密的私有服务器(而不是公共互联网服务提供商)路由所有通信来屏蔽用户数据,允许用户通过安全隧道远程连接到网络。工厂内想要将本地数据发送到企业网络的人员,或者工厂外需要安全地连接到内部工业控制系统的人员,都可以使用这种方法。
- vlan是限制在单个工厂内的私有虚拟网络。它们允许将一个物理局域网划分为几个更小的单元,以便从事实时控制等功能的工业自动化系统可以与用于电子邮件或其他需要连接到更广泛互联网的任务的内部IT系统分离。
虽然作为第一道防线至关重要,但外围策略可以被专门的黑客绕过。网络钓鱼、物理cd、u盘或其他携带数据的硬件设备,以及防火墙软件中的盲点,都可能导致入侵。因此,使用额外的网络安全工具非常重要。
终端安全
保护网络入口点的实践称为端点安全。因为任何连接到网络的物联网设备都可以作为入口点,工业4.0环境可能包含数百甚至数千个漏洞。
端点安全依赖于被称为EPPs(端点保护平台)的软件包,它有时还包括一个EDR(端点检测和响应)组件。EPPs的工作原理是,在文件进入网络时检查它们,并与包含威胁信息库的云数据库进行检查。这使得终端用户可以将在现场存储此类大型信息库的成本和负担外包出去。此外,它还支持基于许多不同站点的活动不断更新威胁库。
edr通过提供实时分类新威胁的机器学习算法增强了EPP。当使用EDR时,即使EPP库中没有包含类似入侵的先前记录,也可以识别可能代表威胁的异常文件签名。EDR通过研究所有已知网络攻击常见的基本行为和策略,并定期扫描它们来实现这一点。这允许检测新的入侵,即使小细节如IP地址、注册表项和域名号不同。
补丁管理工具
补丁管理是使用定期扫描和软件更新来修复错误、添加新功能或解决应用程序、系统或网络中新发现的漏洞的过程。虽然这在IT中是一个很好的实践,但当应用到操作技术(OT)时,它会稍微更具挑战性。这是由多种因素造成的,包括但不限于:
- 缺乏对终端系统的自动库存监控,使其难以确定哪些资产需要更新以及何时更新;
- 难以跟踪所有系统和应用程序的补丁发布,特别是在多供应商环境中工作时;和
- 在每个单独的设备上部署补丁、确认更新按预期工作并记录更改的耗时特性。
随着来自OT环境内部的网络攻击数量的增长,必须对连接的物理资产应用补丁管理程序。幸运的是,补丁管理可以通过部署集中的补丁管理服务器或专用的补丁管理工具实现自动化,这可以简化检测缺失补丁、安装更新和记录大量设备的更改的过程。然而,这种自动化程序需要由OT进行管理,以确保在不影响生产的情况下发生。
入侵检测和防御工具
IDS(入侵检测系统)和IPS(入侵防御系统)就像EPP和EDR,需要注意的是,IDS和IPS不仅仅是扫描恶意文件,而是更广泛地跟踪用户活动。这使得他们能够更有效地发现操纵用户泄露敏感信息的社交工程企图。
IDS通过监视用户行为来检测恶意意图,在识别出已知有害的模式时扫描进程,以及监视对系统设置和配置的更改。如果检测到可疑活动、违反安全策略或不适当的配置更改,则由IPS接管。IPS可以丢弃恶意报文,阻断违规IP地址,将不需要的用户踢出网络。每当执行这些操作之一时,IPS就会向安全人员发出警报。
用户身份和访问管理
身份和访问管理(IAM)的目标是授权用户访问他们预先批准的资产和设备。这确保了只有经过培训和审查的用户才能使用脆弱的或任务关键的应用程序和系统。网络安全经理可以使用IAM来限制和控制对敏感信息的访问。一些最常见的IAM框架组件是:
- 特权帐户管理:这是指基于授予用户帐户的一组特权对用户帐户访问的数据进行管理和审计。简单地说,特权帐户管理允许管理员创建一个用户存储库,可以根据用户在组织中的角色对其分配和删除特权。
- 多因素身份验证:当登录需要用户名和密码以外的信息时,将使用多因素身份验证。例如,在输入用户名和密码后,用户可能需要输入通过短信发送到智能手机的代码,或提供生物特征数据,如指纹扫描。
- 风险认证:采用风险认证时,系统可以根据用户正在进行认证时的情况动态调整认证需求。例如,如果用户试图从以前没有关联的地理位置或IP地址访问远程系统,基于风险的身份验证机制可能要求用户通过请求附加信息来确认其身份。
- 上下文感知的网络访问控制:与基于风险的身份验证类似,上下文感知的网络访问控制是一种基于策略的方法,根据用户寻求访问的上下文授予或拒绝用户对网络的访问。典型的上下文方面包括用户身份、位置、设备安全状态和IP地址。当用户进行不寻常的登录尝试时,与需要额外的身份验证步骤不同,上下文感知的网络访问控制将完全阻止它们。
终端用户和集成商的攻击经验
正如几年前大型制造商遭受网络攻击的消息开始浮出水面时所预测的那样,网络入侵在整个行业变得更加普遍,无论业务规模或行业纵向。
《自动化世界》读者在终端用户和系统集成商部门的调查数据表明,大量的系统破坏。超过三分之一的终端用户(36%)表示,他们的公司曾遭遇网络安全漏洞。在系统集成商受访者中更细致地观察这个问题,可以发现89%的集成商报告称,他们多达50%的客户经历过网络入侵。
终端用户和集成商都注意到,针对工业公司的主要攻击形式往往是恶意软件,如勒索软件、间谍软件、蠕虫、木马和其他病毒。除了这些主要因素之外,终端用户和集成商之间的反应也有所不同。
据报告,破坏远程访问和网络钓鱼是接下来最常经历的网络攻击(有25%的终端用户受访者注意到这两种攻击)。集成商也提到了远程访问和网络钓鱼,但这两种情况的发生率分别为38%和50%,高于终端用户。只有13%的终端用户表示有过密码攻击的经历,但50%的集成商表示在客户网站上有过这种经历。
缓解持续问题的最佳实践
当被问及他们在网络安全方面最大的担忧时,终端用户和集成商都提到了从入侵中恢复后的持久问题。这方面的具体关切包括:
- 信息丢失;
- 系统访问否认;
- 无法访问文件;和
- 持续的生产中断。
持续存在的问题尤其难以应对勒索软件攻击。Rubrik(云数据管理公司)指出,以下最佳实践适用于任何网络漏洞恢复场景:
- 安全恢复:只有在勒索软件被中和后才开始恢复操作。这可能意味着数据需要单独恢复或恢复到新系统。在勒索软件被中和之前恢复系统或数据可能会导致系统/数据再次受到攻击。如果无法及时隔离和中和勒索病毒,则可选择在系统无法再次感染的地方进行恢复。
- 解密数据:如果识别出的勒索病毒有一个解密器,则可能不需要恢复。如果可能,对现有数据进行解密,以防止数据丢失。解密应该在安全的环境中进行。如果无法消除勒索软件,则可能需要单独解密。
- 孤立恢复:由于勒索软件攻击非常普遍,恢复到原来的位置只会导致二次攻击,因此恢复到一个孤立的环境,在那里勒索软件没有访问权,是防止二次攻击的最好方法。这需要预先识别和测试一个隔离的环境,以便在恢复阶段使用。
- 优先级恢复:恢复应该基于应用程序和业务线的优先级。首先确保基本功能所需的基础服务(如DNS、DHCP、认证)处于运行或恢复状态。没有这些,恢复的系统可能无法正常工作。
- 自动化:通过应用程序编程接口(api)和软件开发工具包(sdk)等工具进行的自动化恢复将加快恢复时间。自动化特别有用的例子包括恢复具有数十或数百个共享的网络连接存储系统(连接到计算机网络以提供对一组客户机的访问的文件级数据存储服务器),恢复具有数百或数千个虚拟机的完整虚拟环境,恢复具有许多数据库的数据库服务器,以及跨多个服务器的文件集。
应用深度防护
多年来,工业网络安全专家一直强调纵深防御战略的重要性。幸运的是,这一信息并没有被业界忽视。我们的研究显示,77%的终端用户和70%的集成商在网络安全方面采用了纵深防御的方法,44%的终端用户和50%的集成商已使用该方法5年或更长时间。
杀毒软件、防火墙/ vpn、用户身份验证和特权访问保护是集成商和终端用户在深度防御方法中部署的前四种技术。然而,除了这四大技术之外,进一步的国防深度技术应用在终端用户和集成商之间存在差异。尽管终端用户和集成商都认为入侵/异常检测和补丁管理工具是接下来两个最广泛使用的技术,56%的终端用户使用补丁管理工具,50%使用入侵/异常检测。然而,只有33%的集成商使用入侵/异常检测,17%的集成商使用补丁管理工具作为其深度防御方法的一部分。
终端用户注意到的其他深度防御方法包括深度网络流量可见性和在关键基础设施和业务LAN(局域网)之间使用数据二极管。数据二极管是仅允许源和目标网络之间进行单向数据传输的通信设备。