新的一年,新的计划。说到工业网络安全,过去几年最重要的信息是“做点什么”。每个人都同意,那些躲在沙子里,空挡就能保护我们,我们太小了,黑客根本不关心我们的网络安全战略已经一去不复返了。您需要一个计划来阻止工业网络入侵者——无论入侵者是来自外部的外国黑客,还是来自内部的心怀不满的员工或无意的恶意软件感染。以下是构建或增强工厂网络安全策略的实用步骤。
根据美国国土安全部工业控制系统网络应急响应小组(ICS-CERT)的预测,无论他们的身份和来源,工业网络入侵者在2013年造成的事件可能是2012年的两倍。这些事件将发生在所有国内关键基础设施,包括制造工厂。实际数字可能会更大,因为sc - cert的预测仅基于报告的病例。
潜在的漏洞无处不在,从打印机和暖通空调系统到自动化控制系统中未使用的端口。入侵的影响可以从烦恼到窃取知识产权到系统关闭。这些现实促使奥巴马总统于2013年2月12日发布了一项关于“改善关键基础设施网络安全”的行政命令,旨在为行业和其他方面提供一些对抗此类威胁的方法。工业界的许多人已经接受了他所说的“严重的国家安全挑战”。
随着全球网络安全威胁的增长,并敦促采取更多防御行动,私营部门必须提高对加强安全和更好的网络设计的必要性的认识。“这是过去一年里真正的口头禅,”肯•奥斯汀(Ken Austin)表示菲尼克斯.
防护层
2013年6月白皮书《保护工业自动化和控制系统网络的设计考虑》的作者Gregory Wilcox和Paul Didier表示,没有任何一种产品、技术或方法能够完全保护自动化和控制系统应用罗克韦尔自动化而且思科系统公司最好的网络保护结合了分层防御和网络分割。
“纵深防御”方法在不同的系统级别上使用多层防御——物理的、程序的和电子的。罗克韦尔自动化公司业务开发经理Wilcox解释说,这种策略和程序方案有助于保护网络资产,如数据和端点,而多层物理安全有助于保护高价值资产。思科解决方案架构师Didier补充说,这些策略和流程必须保护资产,同时平衡功能和应用需求,如24/7运营、低平均修复时间(MTTR)和高总体设备效率(OEE)。
威尔科克斯和迪迪埃建议你建立一个“工业非军事区”。该DMZ是一个外围网络,在工业区和企业区之间提供了屏障。他们说,加强控制器,以限制对控制系统的逻辑和物理访问。同时加强区域监控站,以限制逻辑和物理访问。通过访问控制列表和端口安全保护交换机和路由器。创建信任域,将网络划分为更小的基于功能和访问的区域。开发和应用策略、程序和基础设施,为可信用户提供安全的远程访问。
Wilcox说,传统的气隙技术——将工业网络与其他网络和网络物理隔离——是不够的。这是因为它无法保护网络免受病毒和其他入侵。
当然,任何解决方案都必须与公司文化相联系。“网络安全不是你用支票簿就能解决的问题——你需要的是一种心态,而不是一种产品,”吉姆·托珀强调说,艾他是工业以太网基础设施网络组件的产品经理。Phoenix Contact的奥斯汀补充道,安全“不仅仅是一个附加的东西”。“它必须和任何过程一样重要。”
成功的市场细分
要在公司或设施的电子安全范围内获得最安全的网络,最有效的方法是不将网络连接到任何东西。当然,这是不切实际的,但防火墙不是。防火墙提供了抵御外部威胁的最基本的保护——如果你的公司有互联网连接,防火墙就不是可有可无的。Moxa现场应用工程师Nick Sandoval说:“防火墙是夜总会的保镖。为了反弹不受欢迎的信息,它会查看互联网协议(IP)和媒体访问控制(MAC)地址,并要求在消息通过之前进行身份验证。
Toepper说,针对单个设备的防火墙通常没有完成。但如果一家公司想要防范内部知识产权窃贼,他建议在每个关键设备前安装一个能够进行深入检查的防火墙。DPI通过查看实际数据来决定是否应该通过。Toepper说,DPI确实可以挽救局面。
第一个问题是谢恩达菲,光纤和电信产品经理B&B电子在保护工厂网络时,他会问:“有没有防火墙或门卫?”它与公司网络隔离了吗?是否所有网络都受到了保护?”
防火墙还需要“一个实用的伙伴”,Duffy说,这就是虚拟局域网(VLAN)。Sandoval将vlan和防火墙称为行业工具,以在工厂层获得强大的细分。虚拟网络配有路由器和防火墙来限制web访问。达菲解释说:“你要控制所有的网络连接,这样就不会有漏洞被利用。”
细分市场填补了这些空白。达菲说,首先,使用托管设备提供从控制和可见性到正在发生的事情的安全性。“这是至关重要的。”接下来,使用单独的防火墙——使用单独的设备只管理安全网关。
在工厂、企业和互联网连接存在的地方,回到它们之间的安全层。达菲建议,允许使用u盘时要小心。“就在今年,人们(对这种威胁)的认识有所提高。现在这是一个日常话题。”
网络分割关闭的一个恼人的漏洞是公司内部的意外黑客攻击。Toepper在Moxa 2013年的白皮书《工业网络安全最佳实践》中说:“无意的黑客攻击可能是网络中断最常见的原因,通常是由设备配置不当造成的。”
内部威胁
Phoenix Contact的austin估计,大约80%导致停机的网络事件是内部人员造成的,其中75% - 80%是非恶意的。例如,一个坏的网卡用广播风暴淹没网络。或者IT部门进行ping扫描以检查IP地址。奥斯汀说,三巨头的一个客户的实验室网络因为这样的扫荡而关闭,因为实验室和IT网络是相连的。
虽然Toepper同意意外黑客攻击不是恶意的,但他认为最好的做法仍然是使用路由器进行简单的子网分割来防止黑客攻击。他说,每个单元(例如PLC网络)都应该有自己的小型、受保护的网络。他会在网络的其余部分和制造单元或一组关键控制plc之间设置防火墙,然后配置防火墙,只允许来自特定发送方的以太网/IP通信。
安全设备通过提供外围防御和独立的信任区域来完成分割方案。Moxa现场应用工程师Mike Werning说,通常情况下,应该在边界上使用拒绝所有的方法,只有特定的流量可以通过。他说,选择这些设备和开关最关键的方面是保护和远程管理设备的能力。他的同事Sandoval不同意这种观点:他说,使用具有快速启动和恢复时间的工业级设备是最关键的。
无论正确答案是什么,大多数专家都相信全面纵深防御。“每一层防护都使潜在攻击者的工作变得更加困难,并显著增加了他或她寻找其他更容易获得的果实的机会,”Phoenix Contact的丹·谢弗说。因此,公司应该关注整体,而不是从基层到高管的任何一个方面。首先从全面的安全策略开始。然后,继续进行风险和安全评估。然后,遵循那些选择,安装和激活补救措施。”
Schaffer和Austin在使用交换机和其他网络安全设备等补救措施时提出了以下建议:
- 不要低估开关的安全性。在使用深度防御方案时尤其如此。交换机成为另一个安全层。
- 安全设计。如果要建一个新设施,这是必须要做的。对于翻新来说,修复要困难得多,因为正如奥斯汀强调的那样,“你总是试图把东西硬塞进去。”
- 逐步添加过程和设备。记住安全是模拟的,不是二进制的。逐步增加设备,使工厂越来越安全,就像“你如何吃大象”问题的答案。答:一次咬一口。
- 记住,安全不仅仅是技术和小部件。它也在教育员工,制定适当的程序,检查日志——购买好的防火墙或交换机无法获得的东西。
