毫无疑问,“工业4.0”革命已经戏剧性地改变了制造业和其他工业企业的运营方式。工业IT团队在过去执行的是基于“哑”电子控制的手动操作,而现在是基于数据驱动单元,依靠分析和自动化操作以提高效率、产品质量,驱动业务决策和盈亏业绩。
“工业4.0”的核心趋势是运营技术(OT)的物理网络和信息技术(IT)的数字网络的融合。或者,换句话说,工业网络和传统网络的融合。
尽管这个与过去截然不同的融合网络模式确实促进了数据交换,并使组织机构能够提高业务效率,但也带来了许多新的安全问题。
迄今为止,工业控制系统(ICS)和其他OT设备都是孤立部署的,缺乏安全保障措施。IT人员没有必要担心安全问题,因为工业技术已经从传统的IT网络中隔离出来。但是现在,随着OT和IT网络的融合,工业设备启用IP成为网络生态系统的一部分,这些以前受保护的隔离设备周围的壁垒正在坍塌。
这意味着工业控制系统,传感器和其他控制器现在成为IT / OT融合网络上的工业物联网(IIoT)端点,这极大地增加了组织机构的攻击面,使其面临更高的安全风险。
实际上,ICS攻击变得越来越频繁,不仅仅是出于传统原因(例如,工业破坏,关键基础设施攻击等),而且因为OT或IT网络的渗透可能会导致威胁隐患横向转移到其他企业资产。换句话说,对控制系统的攻击可能导致企业数据泄露,并且企业IT网络可能因为一次ICS攻击就全盘崩溃。
这是极其可怕的,因为这些OT相关网络肩负诸多关键职能,例如电力,清洁自来水,制造过程,拯救生命的医疗服务等等 – 如果它们遭受侵害,结果将是灾难性的。
在这个全新的威胁环境中,工业IT团队现在意识到自己正在奋力保护最初部署时没有充分考虑安全性的资产和环境。结果,出现了两个主要的安全挑战:
· 缺乏可视性。大多数工业IT安全团队无法全面掌握其IT和OT网络以及云的所有端点。在当今动态的业务环境中,新的网络技术和开发流程不断被实施,当前的网络状态的保质期微乎其微 – 使安全团队难以实现实时的可视性。实际上,Lumeta关于生产环境的研究表明,平均而言,当前超过40%的动态网络、端点和云基础架构是未知的,未受管理的,野生的或非认证IT。
此外,大多数IT团队根本不知道网络正在发生什么?基础设施是否妥善管理?是否存在可能被恶意入侵者攻陷的脆弱环节?还有哪些其他漏洞?如果缺乏对网络和端点的实时可视性,组织机构就无法回答这些问题,因此无法准确掌握其风险状况 – 使其容易受到攻击。
· 缺乏对安全策略的管控。得益于“工业4.0”和其他数字化转型技术,工业业务的安全需求已经超越了IT团队的保障能力。因此,安全政策通常没有得到有效执行,而且糟糕的政策体系已成为常态(组织机构正在与过时地,未使用,多余和不合规的混乱规则作斗争)。这意味着旨在降低风险的安全策略,在实际执行中在安全性和合规性方面的效果不尽如人意。
保护OT / IT融合环境
由于OT设备传统上是封闭的,因此无法通过回撤和简单地添加安全软件来降低风险?他们甚至根本没有运行安全软件的能力。这使得对复杂网络的实时可视性和控制变得更加重要,因为必须在威胁到达OT端点之前识别并阻止威胁。为了保持坚不可摧的安全状态,IT安全专业人员必须能够回答以下问题:网络上有哪些设备?他们在做什么?流量模式表现如何?是否有异常提示存在漏洞或危害?
令人兴奋的是,组织机构可以通过联网设备监测技术帮助他们识别网络中的所有资产并实时监控其状态,从而轻而易举地回答以上问题。通过实时了解IT,OT和云基础架构的端点,IT安全团队可以运用跨混合环境的策略管理,确保网络上的所有内容都遵循安全策略,即计算机环境中的每个资产都遵循正确的规则和配置。
网络分段,顾名思义,将网络分解为相互隔离的网段,是IT / OT网络安全的关键组成部分,因为它会限制威胁隐患在资产中的横向转移。
按照类型,目的,访问权限和解决方案类型对网络进行分段,即使网络犯罪分子或未经授权的用户能够破坏资产,也只能被限制在特定的网段,而不能自由地跨越到其他相邻的网段。
换言之,上文中提到的案例,将控制系统的攻击将被遏制在特定区域,而不会导致企业数据泄露,反之,如果企业IT网络遭到破坏,ICS将会幸免。
最后一个难题是活动网络基础设施监控,它提供实时更新的监控功能,可检测网段通信违规,泄密隐患以及异常活动和威胁。有了这些信息,IT安全团队方可在安全风险破坏关键基础设施之前立即采取行动,对其进行修复。
安全要从头抓起
越来越多的工业公司引入OT / IT融合网络,以保持竞争力,推动更优的业务决策和业绩增长。但是,为了实现“工业4.0”创造的所有商业利益,组织机构必须将安全问题放在新计划的最首要考虑,而不是作为事后的补充考虑。唯有这样,组织机构才能在不增加风险的情况下享受数字化转型,IIoT和其他下一代技术带来的红利。如此一来,组织机构最终将安全视为业务推动器,而不是瓶颈。
及时掌握网络安全态势 尽在傻蛋联网设备搜索系统
【网络安全监管单位】免费试用→→点击申请
更多安全资讯请关注:
微信公众号 安数网络;新浪微博 @傻蛋搜索
来源:freebuf.com 2019-03-29 14:58:42 by: 安数君
请登录后发表评论
注册