摘要
小型,不受保护的工业控制系统的普及正在破坏我们关键基础设施的安全性。许多公司低估了风险,却高估了管理这些系统的成本,更多信息尽在振工链。
无论系统大小如何,失去控制系统完整性都是一个严重的问题。可能会造成人员受伤,设备损坏,产品质量下降以及操作中断。工业公司投资于全面的网络安全计划,以减轻大型机构的这些风险,但是小型系统通常被忽略。 经理们认为风险不能证明网络安全计划的高昂成本是合理的。他们还忽略了以下事实:数字化转型可以使小型系统成为攻击大型,更关键系统的理想启动板。
公司没有理由接受这些风险。有效的网络安全策略不必复杂或昂贵。具有成本效益的低维护方法可以显着降低威胁和未经授权的更改的风险。
最近,ARC咨询小组与来自Bayshore Networks的管理人员讨论了将安全性扩展到较小系统的挑战。该公司为工业和关键基础设施控制系统提供一系列实用,经济高效的工业网络安全解决方案。
小型系统可能代表巨大风险
工业控制系统(ICS)的大小通常从建筑物,数据中心中用于HVAC的小型隔离系统到大型集成式工厂控制系统。小型系统中的故障可能与大型系统中的故障相同。没有可信赖的HVAC和电源管理系统,数据中心和建筑物将无法运行。小型系统还可以为攻击者提供进入大型,更关键的OT和IT系统的途径。当攻击者通过不安全的HVAC系统访问4100万客户帐户时,Target遭受了1830万美元的损失。随着数字化转型要求与小型系统的更多连接,这些类型的枢转风险正在增长。
小型,不受保护的系统很容易成为攻击者的目标,因为许多使用已知漏洞的产品都可以使用。安全研究人员的调查还显示,许多网络具有开放的Internet连接,可以通过常见的开放源代码工具发现它们。这些端口通常为设备供应商提供VPN访问,并提供简单的安全密码。由于许多供应商缺乏安全的开发实践,因此即使交付新系统也存在安全风险。
企业至少需要认识到这些安全风险,并实施基本的安全策略和防御措施,以阻止攻击者访问小型系统及其与更关键系统的链接。
为小型系统建立网络安全计划
ARC的工业/ OT网络安全成熟度模型可以帮助工业公司在减少网络风险与财务和资源能力之间取得平衡。该模型符合NIST网络安全框架的建议,并提供了建议的安全层顺序,以逐步减少网络风险。每层解决一个特定的,易于理解的安全问题,例如保护单个设备的安全,保护系统免受外部攻击,包含恶意软件的传播,监视潜在危害的迹象以及管理主动攻击和网络事件。每个层都有一组相关的技术,可以用来实现其目标。模型中的蓝色和橙色将基本防御技术与先进技术区分开来,以支持主动防御者。
资源需求随着程序的增加而增加。安全技术需要定期更新,警报需要分析,妥协需要解决。维护人员通常可以使用廉价的漏洞管理工具维护基本防御。但是,要想从高级安全解决方案中获取价值,公司就需要网络安全专业人员和先进的工具来进行取证和补救。网络安全的成本包括安全技术,安全管理技术和资源。当公司实施高级网络安全计划时,这些成本会迅速增加。
对于大型且关键的控制系统而言,高级安全性的额外成本可能是合理的。但是对于大多数小型系统而言,ARC模型的前三个步骤中描述的基本防御措施通常足以降低本地安全和操作风险,以及降低攻击者将系统用作攻击更关键系统的启动板的风险。将网络投资集中在这些层上还可以最大程度地减少或消除对昂贵的网络安全资源的需求,更多信息尽在振工链。
Bayshore Networks解决方案可满足小型系统需求
Bayshore Networks是工业/ OT系统网络安全解决方案的供应商,它认识到保护小型工业控制系统的重要性。该公司还了解合理化安全投资所面临的挑战。Bayshore设计了具有成本效益的实用安全解决方案组合,以使公司能够保护所有控制系统,而不论其大小如何。
保卫和遏制产品
Bayshore Networks提供了两种产品,可以帮助公司实现ARC的防御并控制目标。这些产品可保护资产免受基于网络的网络攻击和其他危险事件的侵害。这些事件包括配置更改,逻辑编程修改以及设备复位,这些操作可能会危害过程控制和操作性能。该产品还可以防止未经授权访问关键的专有数据。
该公司的旗舰产品OTfuse是一种工业深度数据包检测(DPI)网络安全解决方案。该设备基于Pallaton Policy Enforcement Engine提供OSI第7层消息解析功能,可用于各种工业协议和粒度有效性检查。OTfuse包括一种学习模式,该模式可自动生成消息白名单策略,以进行资产之间的正常操作交换。违反这些策略的消息可以被阻止和/或发出警报,因此该设备也可以用于基本异常和违规检测。OTfuse可用于保护单个设备,小型网络段或整个控制系统组。
NetWall是公司提供的产品,可帮助公司保护和隔离关键的IT和OT系统以及受信任的域,而不会增加典型网络分段项目的成本,时间和复杂性。它允许受保护网段内的资产将消息发送到外部系统,但阻止外部消息进入受保护域。通过基于软件的高速数据二极管来实现这种隔离,以确保不可路由的单向文件传输,数据库共享和服务器复制。该设备支持针对TCP,UDP,文件传输,OPC和Modbus / TCP消息的单向通信的保证传递。NetWall可以在IT和OT系统的外围使用,以隔离整个系统组,或创建小型网段的受信任域隔离。
安全管理产品
Bayshore Networks提供两种产品,可以帮助公司在所有系统资产中建立和维护安全性。
审查是Bayshore Network的OT资产发现和流程可视化工具,公司可以使用它来保护OT系统。这个基于Windows的应用程序通过本地网络接口或交换机跨度/镜像端口收集OT网络流量数据的快照。分析收集到的数据以识别所有系统资产和数据流,并生成报告以识别所有设备以及开发安全防护所需的相关信息。这包括操作系统,IP地址,MAC地址和供应商,以及国家和公共DNS(如果有)。该产品可以理解工业和IT协议,并且可以识别正在使用的设备,协议和端口以及所有消息流的源和目的地。该产品还可以用于分析数据包捕获(PCAP)数据文件。
OT访问
OTaccess是一种灵活的远程访问解决方案,可对指定的OT资产和服务进行精细的受控访问。该产品提供比传统VPN连接更高的安全性,因为它可以根据协议,端口和用户管理端到端的加密访问。在允许任何访问之前,用户需要显式公开终结点和服务,并授予用户访问特定终结点/服务组合的权限。这种方法允许远程员工和第三方供应商访问特定的OT系统资产,而不会使系统的其余部分受到威胁。它还可以启用禁止在没有视线支持的情况下禁止对OT资产和网络执行操作的用户策略。
结论
显然,保护小型工业控制系统是一件很重要的事情。网络入侵或未经授权的更改可能会影响人员的健康和安全,损坏昂贵的设备并长时间中断操作。正在进行的数字化转型工作还增加了使用小型系统对关键公司系统发起攻击的可能性。不幸的是,许多公司仍然不理解这些风险。那些确实仍然难以证明安全投资合理性的人,因为他们认为他们需要昂贵的高级网络安全计划。
据ARC了解,对于每个小型工业控制系统,公司都不需要昂贵的解决方案和昂贵的网络安全专家。在许多情况下,它们可以使用基本的安全实践和技术来大大降低风险。Bayshore Networks提供实用,经济高效的解决方案来满足这些需求。谨慎的公司将审查其小型系统风险,并在基本的网络安全防御措施上进行适当的投资,更多信息尽在振工链。
