这种威胁存在于专有网络中,但随着共享网络被用于连接前台办公室和工厂车间,这种威胁变得越来越严重。不列颠哥伦比亚理工学院(BCIT)已经开始跟踪攻击,为那些想知道发生了什么以及如何处理的人提供了一个信息交换中心。
加拿大不列颠哥伦比亚省本那比市BCIT互联网工程实验室关键基础设施安全研究经理埃里克·拜尔斯说:“我们保留了一个数据库,目前有大约110起确认的事件,但这只是冰山一角,因为人们没有义务报告安全漏洞。”
这些违规行为的影响可能相当严重。与对前台的攻击不同,对制造业务的渗透可能会导致严重的问题。“如果你两个小时没有收到电子邮件,这很烦人。但是,如果车间网络故障两分钟,你就可以杀死人,”Bryan Singer说,他是密尔沃基罗克韦尔自动化公司的工程师,ISA- sp99的负责人,ISA是仪表、系统和自动化协会(ISA)的一个委员会,正在制定网络安全标准。
越来越多的公司正在采取预防措施,但这些措施通常都是初步的。行业分析公司ARC Advisory Group Inc.的一项调查发现,近四分之三的制造企业正在实施安全策略。但大多数仍处于早期阶段。最重要的三个步骤是编写安全程序、审计非法连接以及建立安全和培训计划。总部位于马萨诸塞州戴德姆的ARC新兴技术副总裁鲍勃•米克(Bob Mick)表示:“几乎所有人都意识到存在问题,但这三个步骤的实施率仍低于50%。”
但意识的提高并不完全是一件好事。拜尔斯说:“黑客社区刚刚意识到这是一个新的领域。
来自黑客的越来越多的关注将使已经存在的问题雪上加霜。到目前为止,大多数已知的攻击都是以一种在办公室环境中很有效的方式发生的。一旦病毒被释放出来,它通常由已知的朋友携带。
“大多数安全问题不是来自恶意的外部攻击者,而是来自员工和其他没有意识到自己携带病毒的人,”位于加州圣何塞的思科系统公司制造团队主管斯科特·韦斯特莱克说。他指出,保护网络内部,也就是人们被信任的地方,与保护外围一样重要。
内部工作
通常引用的内部攻击的例子是,一名员工从受感染的家用电脑登录,或将公司的笔记本电脑带回家,并在笔记本电脑在工厂使用时感染了病毒。受信任的运营商造成的问题普遍存在,这表明需要让员工、供应商和其他人参与到安全中来。
整个公司的所有业务,以及与一些设备制造商和其他人的互动,都必须参与其中。这包括高级管理层。“这是一个自上而下的问题。在高层管理人员介入之前,安全几乎是一个新鲜事物,”位于德克萨斯州奥斯汀的美国国家仪器公司工业网络解决方案工程服务经理巴里·贝克说。
拜尔斯说,确保设施安全有四个核心步骤。首先是确定什么是重要的,这需要上层管理人员的大力支持。如果安全性包含在该列表中,则公司需要查看确保解决安全性所需的行为。拜尔斯说:“一旦采取了这些步骤,最重要的就是培训人员。”最后一步进入技术领域,安装防火墙和其他工具。工程师必须从信息技术(IT)功能中借鉴知识。
培训要求
防止受信任的人携带病毒需要相当多的教育。大多数观察人士认为,这是任何安全计划的关键。“90%的解决方案是更好的政策和培训。安全漏洞的首要原因是人们不了解漏洞是如何发生的,”拜尔斯说。
不管实现了什么技术解决方案,如果人们不明白他们的行为会导致严重的问题,他们有时会关闭或绕过它们。“如果人们没有受过良好的培训,一些技术解决方案可能会在短短几个月内被颠覆。人们不会注意打开或关闭防火墙,也不会注意何时执行备份,”SP99的辛格说。
这种训练需要有时孤立存在的团体之间的合作。其中最关键的是IT人员,他们可能了解办公环境,以及工厂车间经理,他们了解工厂车间的运作方式。前台IT和车间类似产品之间的差异是巨大的。
“一旦你带一个纯IT背景的人参观工厂,他们很快就会意识到这不是一个高架机房。“这听起来很老套,但这是建立对话的关键,”化工行业网络安全计划制造控制系统项目组联合负责人Eric Cosman说,该小组由化工网络安全论坛赞助,专注于风险管理和降低,以最大限度地减少网络攻击对商业和制造系统的潜在影响。
机密性在办公室很重要,因此系统通常要求每天必须输入多次密码,这样就不会有人以另一个名字输入数据。但在车间,可能会出现紧急情况,让其他人访问控制可能出现故障并可能导致问题的设备的工作站是很重要的。“在被胁迫的情况下,工厂里的人可能不记得密码。没有密码的风险比当你需要做某事时无法做的风险要小。”
虽然前台办公室和工厂车间之间存在差异,但IT人员仍然可以使用他们熟悉的技术。思科的韦斯特莱克指出:“在实现方式上有很多不同,但很多工具都是相似的。”
虽然设备可能包括有助于提高安全性的功能,但辛格指出,技术进步本身并不能改变对适当培训和充分理解指导方针的需求。辛格说:“设备的使用寿命为10到15年,所以如果所有供应商都能立即在每台设备上完美地解决这个问题,那么10到15年都不会有什么变化。”
技术太
训练有素的员工是安全的关键,但如果没有一些技术工具,网络就无法得到保护。引领潮流的是一项众所周知的技术,它似乎运行得相当好。辛格说:“我们发现,使用防火墙将车间与前台分隔开来比使用其他任何方法都更成功。”
他对一些替代技术存在的问题直言不讳。有些人尝试过三层或四层交换机或虚拟局域网,但都没有成功。运行病毒扫描也是无效的,因为这些程序可以使可编程逻辑控制器(PLC)阻塞几分钟。
其中一个关键是发现所谓的“流氓连接”,这些连接没有被安全团队解释清楚。恶意链接通常是出于有益的原因而建立的。例如,设备制造商可能会打开连接,以便他们可以对硬件进行故障排除。“这很方便,但这些连接为可能的攻击提供了机会,”米克说。
寻找这些联系并不总是那么容易。“很多人都在谈论扫描恶意设备。在做之前,你必须知道你得到了什么。一些旧设备对扫描反应不佳,”科斯曼说。
拼接而成
保持领先于黑客需要时刻保持警惕。供应商的更新和补丁不容易处理,但它们必须安装到设备上。“不幸的是,每天都有新的病毒产生,所以你确实需要定期升级,”韦斯特莱克建议。
但是,安装补丁需要大量的工作。首先,前台办公室的深夜停工并不一定是停机时间。科斯曼说:“当你一年52周每天24小时不停地工作时,很难找到更新的机会。”
此外,获得为工厂设计的补丁也是一项挑战,因为工厂的设备通常是定制的。这使得在不破坏设备的情况下安装补丁变得更加困难。
米克说:“另一个因素是,许多软件都是独一无二的,因此需要进行高水平的测试,以确保补丁不会影响现有软件。”
大多数设备制造商测试补丁,这样客户只需要检查可能是他们设备特有的小方面。审批周期过去很慢,但随着意识的提高,延误正在缩短。科斯曼说:“供应商在缩短补丁发布和全面测试之间的时间方面做得很好。
虽然取得了重大进展,但安全风险仍在增加。无线技术(如ZigBee等)的便利性被额外的挑战所抵消,这些技术正在进入工厂车间。
“我们认为无线是一个巨大的增长领域,它有很多好处。但这也意味着有人可以坐在停车场里,登录到一个不安全的网络上,”国家仪器公司的贝克说。他补充说,要求身份验证和授权是减少这些威胁的两种方法。
欲了解更多信息,请在www.myenum.com上搜索关键字“安全”。
![Mps035 Sm 1200x628d [2]](https://img.automationworld.com/files/base/pmmi/all/image/2021/03/MPS035_SM_1200x628_D_2_.604a4a336bc60.png?auto=format%2Ccompress&bg=fff&fill-color=fff&fit=fill&h=146&pad=5&q=70&w=340)
