在工業數字化轉型湧起的浪潮之下,存在著這樣一種情況,名為工廠運營技術網絡業已成為,為其定下基礎之物即是生產系統,而在這個系統裡起到核心作用的部分等於神經中樞部分。它本身擁有的安全性質這點,不單單是關於數據保密方面有著關聯,更加是在直接層面上關係著重要之處是存在生產連續性這個情況,還有設備安全方面的情況以及和人員安危相關的情況。然而,有許多管理者,他們的想法狀態現在卻依舊還是把它給看成當作的看待形式是傳統IT的附屬這一情況,這種存在偏差的認知狀況正在把企業放置於極大風險當中這一境地。本文要去做的事情是深入探究探討的對象為工廠OT網絡安全的獨特挑戰與務實對策。
什麼是工廠OT網絡安全的核心目標
確定性、可靠性與安全性這表明,諸多安全舉措,不能夠以致使生產流程被中斷,造成設備出現宕機狀況,又或者讓關鍵控制指令產生延遲,作為付出的代價。它首要司職重點在於安保物理世界,避免因遭受網絡攻擊,而致使生產線陷入停擺狀態,設備遭受損壞,甚至引發安全事故。
與IT網絡追求數據的機密性不同,OT網絡更強調操作的完整性和可用性先是一個閥門控制信號居然被篡改了,這帶來的後果要比一份文件被竊取嚴重好多呀。所以呢,OT安全著重的點就是要保證控制指令準確無誤,讓過程參數準確無誤,使傳感器讀數準確無誤,並且得保證關鍵系統在任何時刻始終處於可操作狀態呢。而了解這一根本的差異,是構建有效防禦體系的起始點喲。
工廠OT網絡面臨哪些獨特的安全威脅
OT 網絡的威脅環境是極為特殊的,一方面,存在著大量遺留設備,像可編程邏輯控制器、工控機這些,它們的設計壽命長達二三十年,普遍有著無法打補丁、使用弱口令或者明文通信協議等固有漏洞,它們宛如深植於生產網絡裡的“定時炸彈”,給攻擊者提供了長期穩定的入口,。
威脅來源更為複雜。除了外部的高級持續性威脅,內部人員的誤操作、惡意破壞,以及供應鏈引入的風險那是同樣會帶來致命後果的情況。譬如單單一個U盤。還有一次做出了錯誤的配置更新。這兩者都極有可能引發一系列的連鎖故障。更為嚴峻的狀況是,針對於工業協議所誕生的定向攻擊工具,正呈現出日益氾濫的態勢。這些工具具備直接對控制設備傳輸會造成破壞的指令的能力。像這類攻擊已然從理論層面邁向了現實場景。進而對每一個現代化工廠都構成了威脅。
如何對工廠OT網絡進行資產發現與風險評估
有效之安全起始於清晰之資產清單,你必然得曉得自身工廠裡究竟存有哪些OT 設備,其所處位置何在,運行著何種內容,以及何者在進行管理;此一過程絕不能僅憑藉人工盤點,而需借助專業的OT 資產發現工具。被動監聽實行方式為掃描網絡流量,會自動去辨識PLC、DCS、HMI等各種各樣的設備以及它們的品牌、型號、固件版本,以此來防止主動掃描有可能導致的系統崩潰。
在摸清家底後,必須進行貼合OT環境的風險評估評估的焦點並非通用的CVSS漏洞分數呀,卻是該漏洞在具體的生產場景之下的那種實際可利用性以及影響呢。比如說喲,存在那樣一個遠程代碼執行漏洞,在完全氣隙隔離的系統之上風險是比較低的呀,可是要是該設備能夠與辦公網進行間接通信,那麼風險等級便會急劇地升高呢。評估是需要結合設備的關鍵性、漏洞的嚴重性以及網絡暴露面來綜合判定的哦。
怎樣構建工廠OT網絡的縱深防禦體系
OT網絡的防禦不能依賴單一防火牆。你需要構建一個分層的縱深防禦體系。首先,在網絡架構上實現嚴格的區域隔離網絡依據安全等級被劃分成生產控制區,監控區,生產管理區等,區域之間借助工業防火牆或者數據二極管來施行單向通信控制,以此保證核心控制區能夠獲得最高級別的保護。
在關鍵區域內部部署工業入侵檢測系統它需要能夠深入剖析TCP、OPC UA等工業協議,精確辨認異常指令以及惡意流量,就像針對PLC的非法停啟命令那樣。最終,在主機層面,要盡可能在不干擾穩定性的狀況下,給工控機、服務器安裝具備輕量級、白名單機制的安全軟件,阻攔未獲授權的程序運行,加固最後一道防線。
工廠OT網絡安全日常管理與監控怎麼做
安全不是一次性的項目,而是持續的過程。必須建立專門的OT安全管理流程包含配置變更方面的管理,針對補丁管理,特別針對供應商所提供的安全更新予以特別關注,還有關乎外部設備接入審批等。其中任何變更,即為包括更新一個驅動這種情況,都應當在測試環境當中進行充分驗證之後,才能夠在計劃停機窗口予以實施進行,並且要做好回滾預案。
7×24小時的安全監控與事件響應也同樣具有關鍵性。要設立那種融合了IT人員以及OT人員的聯合安全運營中心,針對來自各式各樣安全設備的告警展開關聯分析。一旦察覺到異常情況,響應流程務必明晰、迅速,並且要優先去考量對於生產所造成的影響。演練是非常重要的,需要定期去模擬工控網絡遭受攻擊的場景,讓操作工、維修員以及安全團隊一同參與進來,以此提升協同處置的能力。
選擇工廠OT安全解決方案應注意什麼
面對著市場之上眾多的安全方案,擇選之際千萬不要盲目地隨意去亂來。首先得要切實保障解決方案它是。專為OT環境設計其所有功能,其中涵蓋探測、防護以及響應等,都必然得是以不會對生產穩定性以及實時性造成影響作為前提條件的,有關供應商,需要對主流工業協議以及控制器擁有深刻理解,並且其產品在石油、電力、製造等行業應該存有成熟的部署案例。
考察方案的可管理性與集成能力工廠現場常常欠缺專業安全人員,所以方案的操作界面應當盡量直觀,報警信息得易於理解。與此同時,它最好可以和你現有的IT 安全管理系統集成,達成跨IT/OT 的統一態勢感知。最終,供應商能不能提供持續的威脅情報更新,尤其是關於工控漏洞以及惡意軟件的情報,是衡量其服務價值的關鍵。
日趨嚴格的OT安全情形在瞅向,你的工廠有無完成關鍵的資產清查以及風險審評呀?你們當下推進裡最大的難處是哪一步呢,是老化設備的革新啦,是人員的觀念意識呀,還是技術同預算的均衡呢?盼請在評論區域分享你的實踐經歷和困惑喲,要是感覺本文存有啟發,那就點贊並且分發給更多同行去!
發佈留言