学习在保护OT网络的同时拥抱数字化的策略

2020年是全球动荡的一年，工业自动化，尤其是制造业也不例外。COVID-19要求保持社交距离和“在家更安全”，这充分体现了远程访问和数字化的价值——利用数字数据来提高生产力、产品质量和盈利能力。如今的工厂在机器层面、工厂层面、组织层面，甚至到云端，都比以往任何时候都更加紧密相连。数据在移动，操作取决于工业物联网(IIoT)中众多设备的通信能力。

不幸的是，2020年给自动化带来了另一个数字化趋势:针对制造业目标的网络攻击数量迅速增加(见图1)。根据比兹利集团的说法趋势科技的数据显示，从2019年第四季度到2020年第一季度，对制造业的勒索软件攻击环比增长了156%2020年第三季度对制造业的攻击其他所有部门都相形见绌，包括政府和医疗保健。”威胁行为者以制造组织为目标，因为生产通常对时间敏感Kivu咨询公司最近的报告．“制造业实体通常也没有投资于IT服务，这使它们容易受到攻击。”

通过获得未经授权的网络和设备访问权限，黑客可以窃取IP、破坏操作、危及安全、损坏设备并影响产品质量。考虑到今天的互联企业，攻击一个工厂的网络可能提供访问所有工厂的能力。风险不仅仅来自于互联网连接。最近SolarWinds黑客在美国，攻击者在广泛使用的应用程序中嵌入恶意代码，通过在安装合法补丁期间加载自身来渗透客户系统。这次攻击凸显了即使是可信的3 / 4和看似值得信任的3 / 4软件的风险。问题不再是是否公开OT网络和OT资产。问题是，这种暴露是有意的、安全的，还是无意的、不受保护的。

OT网络的挑战

在互联网的最初几十年里，运营技术(OT)网络从IT网络和互联网中分离出来。这种所谓的气隙的目标是保护工业控制系统(ICS)和相关资产免受来自业务网络的入侵。然而，由于不断发展的企业网络架构，这种空气间隙不再有效。威胁不仅来自通过工业以太网和互联网远程访问的ICS资产，还来自其他可能已被攻击者破坏的OT网络。

普渡企业参考体系结构(PERA)是一个多层层次结构，它建立了涉及ICS的工业操作的级别。它们是:

• 0级:物理层(如电机、执行器、传感器)
• I级:智能设备(如plc、运动控制器、智能驱动器等)
• 第2级:监控层(如HMIs、SCADA软件等)
• 第3级:制造操作系统(如MES、维护、数据历史记录等)
• 第4级:企业网络和应用(如ERP、内部网、办公应用等)

ISA95/IEC-62264将这些层映射到一个区域架构，该架构以非军事区(DMZ;见图2):

使用纸张从顶层到车间传递订单、工作流程和食谱的企业和行业正在迅速减少。企业之间相互连接，DMZ的气隙是防止入侵的必要工具，但还不够。即使在每一层之间设置防火墙也无法抵御水平威胁。“如今，没有人能在不接入互联网的情况下工作，”思科(北卡罗来纳州罗利-达勒姆)工业交换和物联网安全产品线经理鲁本·洛博说。“非军事区漏洞百出，因此来自内部的威胁可能比来自外部的威胁更严重。”

举个内部威胁的例子，只要看看国际空间站(International Space Station)的3 / 4终极气隙系统就知道了。多年来，它的系统曾多次遭到黑客攻击，一是由于宇航员携带受感染的笔记本电脑登机，另一种是由于从未加密的笔记本电脑中窃取的算法。

Lobo说:“大多数(攻击OT网络的)恶意软件和勒索软件与传统IT世界中发现的类型相同。”“也许控制工程师用来编程plc的电脑首先受到从互联网上下载的某些东西的攻击，然后感染你的操作工作站。”毕竟，黑客不需要理解PLC的代码，如果他们可以为运行机器的人机界面加密PC上的图形文件。最终结果是相同的:生产停止，直到文件发布。

这并不是说个人智能设备不容易受到攻击。不断扩大的工业物联网和对数字化的重视，明显增加了现代工厂的攻击面。plc、运动控制器、驱动器、编码器和hmi都有软件、固件和操作系统。它们可以连接到数据历史记录或其他安装了数据库的存储设备。曾经有一段时间，边缘设备是专用服务器，可以引入额外的保护层。如今，几乎任何智能设备都可以充当边缘设备，这也带来了黑客入侵的风险。与此同时，oem、集成商和可靠性技术人员等第三方供应商可能已经设置了后门来访问机器以进行故障排除和维护。

更复杂的事实是，大多数工业设施都是零零碎碎的，在现场总线上运行的独立设备开始连接到更广泛的全厂系统，最终连接到企业和互联网。绿地工厂在很大程度上是例外，而不是普遍现象，尽管大多数生产线上的电子设备每5到10年升级一次，但许多老设备不得不与遗留系统中的过时设备作斗争。运行Windows XP甚至Windows NT的电脑也不是闻所未闻，尽管这两种操作系统都已经支持多年了。Moxa Americas (Brea, California)的产品营销部门经理理查德·伍德(Richard Wood)说:“在地板上有很多设备从来没有打算连接到互联网。”“这些设备可能已经过时，没有打补丁，有已知的漏洞，或者根本没有能力保护自己。”

互联工厂带来了大量的网络安全挑战。幸运的是，组织可以使用一些成熟的技术从脆弱的体系结构发展到更安全的状态。这些进展包括映射整个企业的连接设备，划分网络以限制入侵，监控流量以识别这些网络段内的威胁，以及从组织上和程序上编写响应。

治理
一个成功的网络安全计划必须建立在治理的基础上。只有有了一个有效的、详细的过程，组织才能真正实施一个保护组织及其资产的计划。

组织需要确定其风险承受能力和战略要求，以便将其网络安全工作与整个企业相一致。治理模型需要建立固定的策略和规则来实施它们，不仅是在连接设备方面，还包括人员和流程。

设备

任何网络安全举措的核心都是设备级策略。它应该根据相关风险对网络设备进行分类，并指定如何配置它们，包括补丁和升级。

政策应涵盖设备的生命周期，从安全采购开始。“你想了解你计划购买的设备的风险，”德勤(Deloitte)网络5G负责人温迪·弗兰克(Wendy Frank)说。这包括评估供应商的网络安全计划实施情况。他们的程序是否遵循NIST和ISA/IEC 62443等综合标准?他们是否对其设备进行安全和隐私风险评估并解决漏洞?他们是否进行了适当的测试?他们的合同条款是什么?如果他们承诺一定程度的安全和隐私，试着把它写进你和他们的合同里。”

任何通用的计算设备都应该进行工业加固，去除任何不必要的应用程序，并禁用任何未使用的端口和服务。每台设备需要有自己唯一的IP地址。出厂用户名和密码应替换为新的用户名和强密码。这对于plc和控制器等自动化组件尤其重要，其中有相当多的组件在发货时没有激活安全措施。

有效治理的一部分是构建使软件补丁保持最新的程序。然而，自动下载和安装补丁可能会有问题。有一个前面提到的来自可信来源的恶意软件嵌入到补丁中的例子。然而，即使补丁是安全的，它仍然可能导致网络中的其他设备崩溃。更好的方法是使用工具来接收新补丁的自动通知，但在安装到生产系统之前进行测试和验证。“我们建议人们订阅ICS-CERT(见侧栏)以获取漏洞警报，”Wood说。“大多数信誉良好的制造商都会提供RSS订阅或电子邮件通知他们所销售的设备的更新，所以联系你的供应商，以确保你能以某种方式自动收到升级和补丁通知。如果不可能，那就建立一个定期检查这些设备的时间表。”

最后，良好的治理包括在生命周期结束时的安全处理，特别是在通用计算产品的情况下。如果设备没有经过适当的处理，结果可能是敏感数据无意中泄露。

认证与用户

固件更新和安全补丁可能会引起人们的担忧，但通常最大的风险不是软件或固件，而是人。这样的例子比比皆是，从贴在人机界面屏幕上的便利贴上的密码，到操作员将受感染的智能手机插入工业PC上的开放USB端口，却没有意识到充电线不仅是电源连接，还是数据连接。工程师在停车场捡起记忆棒，用恶意软件感染他们的笔记本电脑(和网络)的场景已经变成了cliché，但这并不意味着它没有风险。

网络安全政策应遵循最佳实践。消除共享凭证。每个用户都应该有唯一的用户名和密码。应用基于角色的权限，基于最小权限¾原则，仅允许用户访问完成任务所需的数据和功能。定期修改密码，尽可能使用多因素身份验证。如果IT和OT在安全方面密切合作，这些技术应该很容易应用。IT部门已经为企业区设置了一个认证服务器;为OT网络设置类似的东西很容易。这种方法还简化了取证。如果出现问题，可以识别在特定时间访问网络或更改特定设备上配置的个人。 “It gives you the forensics capabilities need to really track down what happened if there is a breach,” says Wood.

认证需要伴随着员工培训。许多被广泛报道的数据泄露都是由于简单的用户错误造成的，如果有更好的意识，这些错误是可以很容易避免的。例如，工程维护人员的个人电脑和移动设备可能直接连接到OT网络。对他们的电子邮件进行网络钓鱼攻击会像感染企业区域一样有效地感染区域。在教育上投入时间和精力。使用不同的设备与OT设备和网络连接，而不是用于电子邮件等业务应用程序。

IT和OT

传统上，网络安全一直是IT部门的领域，主要关注企业区的业务系统。通过IT管理OT网络安全的传统挑战是，制造车间的设备在通信流程和功能上与传统网络设备有着根本不同。由这些差异引起的误解可能是灾难性的。Frank说:“为了有效的运营安全，你真的需要利用ISA/IEC 62443等OT标准，并了解生产车间、操作和特定设备，这是通常负责网络安全的IT人员通常没有接受过培训的领域。”

“失败的项目通常是因为有人试图在不了解流程的情况下实施某种安全措施，实际上最终阻碍了合法的流程，”Lobo说。It部门并不需要了解如何编程PLC，甚至不需要了解PLC是什么。他们确实需要了解哪些设备需要在什么时间范围内进行通信。“他们需要有一个背景。他们需要知道这个PLC应该与这个IO对话，这两条线上的PLC应该相互对话，所以网络分割不应该阻止它。”

意识到安全的重要性，公司越来越多地设立首席信息安全官(CISO)的职位。CISO领导治理过程，编纂合作和优先事项，并监控平台和流量的威胁。在OT网络保护的情况下，他们同时监督IT和业务线(OT)。有了这个额外的层，如果可能的话，可以简化过程并优化结果。

开始

一旦建立了有效的网络安全政策，实际上就需要实施。有四个关键步骤。

步骤1:网络可见性

保护网络的基本出发点是发现所有连接的资产，确定它们的连接位置以及彼此之间的通信方式(见图3)。最后，有可用的工具和方法来监控和盘点网络上的所有设备(IT和OT)，并提供详细的网络架构。“我怎么强调资产可见性和管理的重要性都不为过，”弗兰克说。“组织需要能够说，‘这是我们网络中的设备列表。这是他们正在运行的软件版本，这些是制造商。’不幸的是，在大多数情况下，他们做不到。”这些信息对于跟踪已知的漏洞并在以后修复它们至关重要。它用于协调端点的维护，以确定需要更新哪些设备，以及设备和控制系统之间的通信是否存在问题。

这关键的第一步会带来惊喜。伍德说:“在这个过程中，发现安全团队不知道存在的连接是很常见的。”“也许有人设置了无线接入点，这样他们坐在办公桌前就可以直接访问工厂的网络，或者OEM在他们的机器上安装了一个设备，让他们只访问他们的设备。但由于他们没有使用防火墙或某种网络分割将该设备与网络隔离，到一个资产的看似无辜的连接现在变成了到整个网络的远程连接。”

这些隐藏的设备通常代表着高度的脆弱性，因为它们甚至不能配置到最基本的标准，或者它们已经过时并且有已知的问题。有利的一面是，一旦它们被识别出来，就可以优先进行升级。

清单完成后，下一步是评估每个设备，以确定它是否配置正确。访问制造商的网站，检查固件更新。调查设备是否有任何已知的漏洞。从本质上讲，在收购和安装时执行本应完成的尽职调查。

为了识别所有资产以及它们连接到网络的位置，以及它们如何相互通信，需要将被动发现和主动发现相结合。被动发现涉及到流量的深度包检查。挑战在于，大多数I/O流量都在I/O点和PLC之间传递，这意味着它很少离开I级。为了在机器级别上识别所有连接设备的被动发现，需要在网络模型的最低级别进行深度包检查。“如果你在聚合层检查流量过高，你可能只会看到不到20%的正在发生的事情，”Lobo说。“一些客户看到了20%，他们有一种错误的安全感，认为他们已经获得了可见性。但是，真的，你需要达到100%，所以你需要一直到工厂地板的底部。目前最具挑战性的是如何降低成本。”

主动发现使用工具主动扫描网络。这可能是一种有效的方法，但一直存在争议。传统设备有时会在主动发现过程中崩溃，这导致一些用户指责这项技术。然而，洛博说，事实并非如此。Lobo说:“社区中存在许多关于主动发现的误解。“并不是主动发现导致控制系统崩溃，而是因为网络设计非常糟糕，主动发现行为导致一系列事件，导致某些遗留设备崩溃。如果主动发现是在一个设计不好的网络环境中进行的，那么就必须采用某种方式进行。客户群体对这方面还不是很了解。”现在，随着越来越多的供应商提供主动发现工具，该技术正在获得接受。在洛博看来，这是一个重要的进步。 “To truly get to 100% visibility, you need to do a combination of active and passive discovery.”

步骤2:网络分割

一旦可视性过程完成，设备正确配置和打补丁，下一步就是网络分段。网络分段有助于限制攻击的范围，也可用于隔离易受攻击的资产(见图4)。DMZ是分段的主要示例，使用防火墙将IT网络与OT网络分开。DMC可以有效地阻止外部威胁，但认为这使网络安全是错误的。如果真正的目标是防止网络攻击造成的停机和损失，那么DMC下面的OT网络需要被分割以防止内部威胁。

从宏观分割开始。例如，一个拥有10条装配线的工厂可能被划分为10个部分。如果段1发生了什么，它不会扩散到段2。然后在适当的时候进行微分割。分割需要与IT和OT的输入一起完成，以确保它不会在时间敏感的过程中引入延迟。例如，在PLC和为控制循环提供反馈的I/O之间不应该设置防火墙。如果必须对网络的某一部分进行分段，则可以使用访问控制列表(acl -白列表)以线路速率强制分段，在不妨碍通信的情况下保护资产。一旦宏分段工作顺利，下一步就是使用acl和开关在装配线中创建微分段。

分段提供了一种解决方案，以降低运行具有已知漏洞的设备(例如Windows XP机器)的遗留网络的风险。如果它们被隔离在单独的网络中，它们就不会危及其他设备。它们还可以配备入侵保护设备，可以过滤传入的流量，以查找已知的漏洞和威胁。

步骤#3:网络和设备监控
一旦完成了编目、配置和更新设备以及划分网络的过程，真正的工作就开始了。需要在每个网段中持续监控网络中移动的流量，以检测异常和威胁。安全事件事件管理(SIEM)系统是完成这项任务的一个很好的工具，它可以聚合来自整个网络的数据，以集中分析和报告，同时消除误报。

“监控部分非常重要。这是许多公司陷入麻烦的地方，因为他们首先没有能够监控的资产库存，”弗兰克说。“有一个威胁情报计划来收集和分析内部威胁和外部威胁的数据是至关重要的，这样你就可以提供更好的响应，有效地监控你的OT设备，并主动管理这些风险。”

在一种实现中，第2级的交换机复制流量并将流发送到传感器，传感器解码通信协议并将实时流馈送到第3级的服务器设备。该设备使用分析来检测异常。例如，如果一个通常从PLC读取数据的HMI突然向它写入数据，系统就会检测到它并发送警报。它会寻找流量的突然变化，协议的变化，任何不寻常的东西。它还将运行基于签名的检测来捕捉任何已知的威胁。

步骤4:回应

如果不能对这些信息采取行动，即使是最好的威胁检测系统也是无效的。这一步涉及到向CISO办公室报告的安全运营中心(SOC)。SOC由协调异常反应的专家组成。有些类型的威胁可以用软件来处理。在IT世界中常见的威胁可以由SOC的专家来解决。然而，OT网络带来了其他类型的挑战。

如果控制工程师为机器上的运动控制器编写了一个新程序，SIEM可能会将其推广给SOC团队。问题是接下来会发生什么。Lobo说:“坐在SOC中的IT人员甚至可能不知道PLC是什么。“所以，你需要在工厂员工和SOC之间建立一个反馈循环。他们可以联系到特定工厂的OT用户，说，“嘿，我应该担心这个吗?你把这个程序推到PLC上了吗?还是说这是你没有预料到的?”最有可能的是，你只是想把基于签名的威胁推广到袜子上，然后让工厂车间的用户把异常情况推广到控制系统进行调查，否则就会有太多的误报。”

最后，组织需要适当的恢复和补救机制。确保所有关键系统文件都已备份，最好备份到公共云或私有云。然而，仅仅发现威胁是不够的。它需要从网络环境中删除，系统需要返回到操作中。这并不总是在内部团队成员的技能范围内，所以要确保获得外部专业知识是组织政策和程序的一部分。

针对制造业和其他工业部门的网络攻击正在上升。组织需要建立一个全面的战略来保护自己。从适当的治理开始。一旦制定了策略，请遵循发现、设备保护、网络分段以及网络和设备监控的步骤。确保有一个响应团队在发现异常时做出决定并采取行动。最后，也许也是最重要的一点，不要忽视培训。人的因素可能是最大的弱点。确保员工接受了适当程序的培训，并定期提醒他们在帮助保护组织方面的作用。最重要的是，无论组织的规模有多大，都要解决问题，现在就开始行动。伍德说:“制定安全政策并在网络上实施该政策可能会涉及到。” “but failing to do it is just like not locking your front door when you leave your house.”