2020年是全球动荡的一年，工业自动化，特别是制造业也不例外。COVID-19提出的保持社交距离和“在家更安全”的要求充分体现了远程访问和数字化以及使用数字数据提高生产率、产品质量和盈利能力的价值。今天的工厂在机器级、工厂级、组织级，甚至到云上的连接都比以往任何时候都要紧密。数据在移动，操作依赖于工业物联网(IIoT)中众多设备的通信能力。

不幸的是，2020年给自动化带来了另一个数字化趋势:对制造业目标的网络攻击数量迅速增加(见图1)。据比兹利集团称趋势科技的数据显示，从2019年第四季度到2020年第一季度，对制造业的勒索软件攻击季度环比增长了156%2020年第三季度对制造业的攻击让包括政府和医疗保健在内的所有其他部门相形见绌。”威胁行为者将制造组织作为目标，因为生产往往对时间敏感Kivu咨询公司的最新报告．“制造业实体通常也不投资IT服务，这使它们容易受到攻击。”

图1:在过去的两年里，针对制造业的有针对性和非针对性的网络攻击急剧增加，因为这些企业被认为是高价值、脆弱的目标。(Moxa Americas提供)

通过未经授权访问网络和设备，黑客可以窃取IP、扰乱运营、破坏安全、损坏设备和影响产品质量。鉴于当今企业的互联性，攻击一个工厂的网络可能提供访问所有工厂的能力。而且风险不仅仅来自与互联网的连接。在最近SolarWinds黑客，攻击者在一个广泛使用的应用程序中嵌入恶意代码，通过在安装合法补丁时加载自身来渗透客户系统。这次攻击凸显了即使是可信的3 / 4和看似可信的3 / 4软件的风险。问题不再是是否公开OT网络和OT资产。问题是，这种暴露是有意的、安全的，还是无意的、没有保护的。

OT网络的挑战

在互联网的最初几十年里，操作技术(OT)网络从IT网络和互联网中分离出来。这个所谓的气隙的目标是保护工业控制系统(ICS)和相关资产免受源自商业网络的入侵。然而，随着企业网络架构的发展，这种气隙不再有效。威胁不仅来自通过工业以太网和Internet远程访问的ICS资产，还来自其他可能已被攻击者破坏的OT网络。

Purdue企业参考体系结构(PERA)是一个多层层次结构，它建立了涉及ICS的工业操作的级别。它们是:

0级:物理层(例如，电机、执行器、传感器)

I级:智能设备(如plc、运动控制器、智能驱动器等)

第2级:监督控制层(如HMIs、SCADA软件等)

第3级:制造操作系统(例如，MES、维护、数据历史学家等)

第4级:企业网络和应用程序(例如ERP、内部网、办公应用程序等)

ISA95/IEC-62264将这些层映射到一个区域架构，该架构以非军事区(DMZ;参见图2):

图2:企业参考体系结构显示了典型工业操作中工业控制系统(ICS)与业务应用程序之间的关系。顶级工业区域和企业区域之间的防火墙(DMZ)是防止入侵的必要但不充分的工具。

使用纸张将订单、工作流程和菜谱从顶层传递到车间的企业和行业正在迅速减少。企业之间是相互连接的，DMZ的气隙是防止入侵的必要工具，但不是充分的工具。即使在每个关卡之间设置防火墙也无法抵御水平的威胁。“如今，没有人可以在不接入互联网的情况下工作，”思科(Cisco, raley - durham, North Carolina)工业交换和物联网安全产品线经理Ruben Lobo说。“非军事区漏洞百出，因此来自内部的威胁可能比来自外部的威胁更严重。”

举个内部威胁的例子，看看国际空间站3 / 4的终极气隙系统就知道了。多年来，它的系统曾多次遭到黑客攻击，一次是由于宇航员将受感染的笔记本电脑带上了飞船，另一次是由于盗取了一台未加密的笔记本电脑，从而获得了算法。

Lobo说:“大多数(攻击OT网络的)恶意软件和勒索软件都是在传统IT世界中发现的同一类型。”“也许控制工程师用来给plc编程的PC首先受到了从互联网上下载的某种东西的攻击，从而感染了你的操作工作站。”毕竟，黑客不需要理解PLC的代码，如果他们可以为运行机器的人机界面加密PC上的图形文件。最终的结果是相同的:生产停止，直到文件被释放。

这并不是说个人智能设备不容易受到攻击。不断扩大的工业物联网和对数字化的重视明显增加了现代工厂的攻击面。plc、运动控制器、驱动器、编码器和人机界面都有软件、固件和操作系统。它们可能连接到数据历史学家或其他已安装数据库的存储设备。曾经有一段时间，边缘设备是专门的服务器，可以引入额外的保护层。今天，几乎任何智能设备都可以充当边缘设备，这带来了黑客入侵的风险。与此同时，第三方供应商，如oem、集成商和可靠性技术人员可能已经设置后门来访问机器进行故障排除和维护。

使问题更加复杂的是，大多数工业设施都是零零碎碎地发展起来的，在现场总线上运行的独立设备开始连接到更广泛的工厂系统，最终连接到企业和互联网。绿地工厂在很大程度上是例外，而不是规则，虽然大多数生产线上的电子设备每5到10年升级一次，但许多老旧的设施不得不与遗留系统中的过时设备竞争。运行Windows XP甚至Windows NT的计算机也不是没有听说过，尽管这两种操作系统都已经支持多年了。Moxa Americas (Brea, California)产品营销部经理Richard Wood说:“你在地板上放了很多本不打算连接到互联网的设备。”“这些设备可能过时了，没有打补丁，存在已知的漏洞，或者根本没有自我保护的能力。”

联网工厂带来了大量的网络安全挑战。幸运的是，有一些成熟的技术可以帮助组织从脆弱的架构发展到更安全的姿势。进展包括映射跨企业的连接设备，划分网络以限制入侵，监控流量以识别这些网段内的威胁，以及组织上和程序上编制响应。

治理

一个成功的网络安全倡议必须建立在治理的基础上。只有有了一个有效的、详细的过程，组织才能真正实施一个保护组织及其资产的计划。

一个组织需要确定其风险承受能力和战略要求，以便使其网络安全工作与整个企业相一致。治理模型需要建立固定的策略和规则来执行这些策略和规则，不仅是在连接的设备方面，而且在人员和过程方面。

设备

任何网络安全计划的核心都是设备级政策。它应该根据相关风险对网络设备进行分类，并指定如何配置它们，包括补丁和升级。

策略应该涵盖设备的生命周期，从安全采购开始。德勤(Deloitte & Touche)网络5G负责人温迪•弗兰克(Wendy Frank)表示:“你想了解计划购买的设备的风险。”这包括评估供应商的安全控制和体系结构。“他们是否对其设备及其漏洞进行安全和隐私风险评估?他们是否进行了适当的测试?他们的合同条款是什么?如果他们承诺一定程度的安全和隐私，试着把这些写进你和他们的合同里。”

任何通用的计算设备都应该进行工业加固，去掉任何不必要的应用程序，禁用任何未使用的端口和服务。每台设备都需要自己唯一的IP地址。工厂用户名和密码应替换为新的用户名和强密码。这对于像plc和控制器这样的自动化组件来说尤为重要，因为它们中有惊人数量的部件在发货时没有激活安全条款。

有效治理的一部分是构建保持软件补丁更新的过程。然而，自动下载和安装补丁可能会有问题。有一个前面提到的恶意软件嵌入到来自可信来源的补丁中的例子。然而，即使补丁是安全的，它仍然会导致网络中的其他设备崩溃。更好的方法是使用工具来接收新补丁的自动通知，但在安装到生产系统之前进行测试和验证。“我们建议人们订阅ICS-CERT(参见侧栏)以获取漏洞警报，”Wood说。“大多数信誉良好的制造商都会提供RSS feed或电子邮件通知，通知他们销售的设备的更新，所以请与供应商联系，确保你能以某种方式自动获得升级和补丁通知。如果不可能，那就制定一个定期检查这些设备的计划。”

最后，良好的治理包括生命周期结束时的安全处理，特别是在通用计算产品的情况下。如果设备没有经过适当的处理，结果可能是敏感数据无意中被泄露。

认证与用户

固件更新和安全补丁可能会引起关注，但通常，最大的风险不是软件或固件，而是人的软件。这样的例子很多，从贴在HMI屏幕上的便利贴上的密码，到操作员将受感染的智能手机插入工业PC的开放USB端口，而没有意识到充电线不仅仅是电源连接，也是数据连接。工程师在停车场捡起记忆棒，用恶意软件感染他们的笔记本电脑(和网络)的场景已经成为一个cliché，但这并不意味着它没有风险。

网络安全政策应遵循最佳实践。消除共享凭据。每个用户都应该有唯一的用户名和密码。应用基于角色的权限，基于最小权限3 / 4原则，使用户只访问他们完成任务所需的数据和功能。定期修改密码，尽可能使用多因素身份验证。如果IT和OT在安全方面密切合作，这些技术应该很容易应用。IT部门已经为企业区域设置了一个身份验证服务器;为OT网络设置类似的东西很容易。这种方法还简化了取证。如果出现问题，就可以识别在特定时间访问网络或更改特定设备上配置的个人。 “It gives you the forensics capabilities need to really track down what happened if there is a breach,” says Wood.

认证需要伴随着员工培训。许多被高度宣传的数据泄露都是由简单的用户错误造成的，如果提高意识，这些错误本来可以很容易地避免。例如，工程和维护人员的pc和移动设备可能直接连接到OT网络。对他们的电子邮件进行网络钓鱼攻击，对区域和企业区域的感染效果是一样的。把时间和精力投入到教育中。使用不同的设备与OT设备和网络连接，而不是用于像电子邮件这样的业务应用程序。

IT和OT

传统上，网络安全一直是IT部门的工作，主要关注企业区内的业务系统。通过IT管理OT网络安全的传统挑战是，制造车间的设备在通信流程和功能上与传统网络设备有根本不同。由这些差异引起的误解可能是灾难性的。弗兰克说:“为了有效的运营安全，你真的需要了解生产车间、操作系统和特定的设备，而负责网络安全的IT人员通常不具备这些知识。”

Lobo说:“项目失败的典型原因是，有人试图在不了解流程的情况下实施某种安全措施，最终阻碍了合法的资金流动。”这并不是说It部门需要了解如何为PLC编程，甚至也不是说PLC是什么。他们确实需要了解哪些设备需要通信以及在什么时间范围内通信的过程。“他们需要有一个背景。他们需要知道这个PLC应该和这个IO说话，这两条线上的PLC应该互相说话，所以网络分割他们不应该阻塞它。”

认识到安全的重要性，公司越来越多地设立首席信息安全官(CISO)的职位。CISO领导治理过程，制定合作和优先事项，并监测平台和流量的威胁。在OT网络保护的情况下，他们同时监督IT和业务线(OT)。有了这个额外的层，如果可能的话，可以简化过程并优化结果。

开始

一旦建立了有效的网络安全政策，实际上就需要实施。其中涉及四个关键步骤。

步骤1:网络可见性

保护网络的基本出发点是发现所有连接的资产，确定它们在哪里连接，以及它们如何彼此通信(参见图3)。结果是网络上所有设备的清单和详细的网络架构。“我怎么强调资产可见性和管理的重要性都不为过，”Frank说。“组织机构需要能够说，‘这是我们网络中的设备列表。这是他们运行的软件版本，这些是制造商。’不幸的是，在大多数情况下，他们做不到。”这些信息对于跟踪已知的漏洞并在以后对其进行补救至关重要。它用于协调端点的维护，以确定需要更新哪些设备，以及设备和控制系统之间的通信是否存在问题。

图3:实施网络安全计划的第一步是对所有连接的设备进行清查并映射网络。(Moxa Americas提供)

这关键的第一步可能会带来惊喜。伍德说:“在这个过程中，发现安全团队不知道存在的连接是很常见的。”“也许有人设置了一个无线接入点，这样他们坐在办公桌前就可以直接访问工厂网络，或者原始设备制造商在他们的机器上安装了一个设备，让他们只访问自己的设备。但由于他们没有使用防火墙或某种网络分割将设备与网络隔离，原本看似无害的设备连接现在变成了与整个网络的远程连接。”

这些隐藏的设备通常代表着高度的脆弱性，因为它们甚至不能按照最基本的标准配置，或者它们已经过时，存在已知的问题。好的一面是，一旦它们被识别出来，就可以优先进行升级。

当清单完成后，下一步是评估每个设备，以确定其是否正确配置。到制造商的网站检查固件更新。调查设备是否存在已知的漏洞。从本质上说，执行在获取和安装时应该完成的尽职调查。

为了识别所有资产以及它们连接到网络的位置，以及它们如何相互通信，需要将被动发现和主动发现相结合。被动发现是对流量进行深度包检测。挑战在于，大多数I/O流量在I/O点和PLC之间传递，这意味着它很少离开I级。为了被动发现识别机器级上所有连接的设备，需要在网络模型的最低级别上进行深度包检查。Lobo说:“如果你在聚合层检查流量过高，你可能只能看到不到20%的情况。”“一些客户看到了这20%，就产生了一种错误的安全感，以为自己已经有了知名度。但是，真的，你需要达到100%，所以你需要一直到工厂地板的底部。目前最具挑战性的事情是如何以成本效益来完成。”

主动发现是一种主动扫描网络的工具。这可能是一种有效的方法，但有些争议。在主动发现过程中，遗留设备有时会崩溃，这导致一些用户指责该技术。然而，洛博说，事实并非如此。Lobo说:“社区中对主动发现有很多误解。“并不是主动发现导致了控制系统的崩溃，而是因为网络的设计非常糟糕，主动发现的行为会导致一系列事件，导致某些遗留设备崩溃。如果主动发现是在一个设计糟糕的网络环境中进行的，那么就必须以某种方式进行。客户群体对这方面还不是很了解。”现在，随着越来越多的供应商提供主动发现工具，该技术正在获得接受。在Lobo看来，这是一个重要的进步。 “To truly get to 100% visibility, you need to do a combination of active and passive discovery.”

步骤2:网络分割

一旦完成了可见性过程，并且正确配置了设备并打了补丁，下一步就是网络分段。网络分段有助于限制攻击的范围，还可以用于隔离易受攻击的资产(参见图4)。DMZ是分段的主要示例，使用防火墙将IT网络与OT网络分开。DMC可以有效地阻止外部威胁，但假设这使网络安全将是错误的。如果目标是真正防止由于网络攻击而导致的停机和损失，那么DMC下面的OT网络需要被分割，以保护免受内部威胁。

图4:网络分段减少了入侵的攻击面。(Moxa Americas提供)

从宏观细分开始。例如，一个拥有10条装配线的工厂可能被划分为10个部分。如果第一段发生了什么，它不会扩散到第二段。然后在适当的时候进行微分割。分割需要与来自IT和OT的输入一起完成，以确保它不会在时间敏感的流程中引入延迟。例如，在PLC和为控制循环提供反馈的I/O之间不应该放置防火墙。如果必须对网络的这一部分进行分段，可以使用访问控制列表(acl -白列表)以线路速率强制分段，在不妨碍通信的情况下保护资产。一旦宏分段的所有工作都顺利进行，下一步就是在装配线中使用acl和开关创建微分段。

分段提供了一种解决方案，可以减少来自运行有已知漏洞的设备的遗留网络的风险，例如那些Windows XP机器。如果它们被隔离在一个单独的网络中，它们就不能将其他设备置于危险之中。它们还可以安装入侵保护设备，可以过滤传入的流量，以寻找已知的漏洞和威胁。

步骤#3:网络和设备监控

一旦完成了编目、配置和更新设备以及划分网络的过程，真正的工作就开始了。需要对网络中移动的流量进行不断的监控，以检测异常和威胁。安全事件事件管理(Security Incident Event Management, SIEM)系统是完成这项任务的一个很好的工具，它可以从整个网络聚合数据，集中进行分析和报告，同时消除误报。

弗兰克说:“监控是非常重要的，这也是很多公司陷入麻烦的地方，因为他们首先没有资产清单，然后又不进行监控。”“有一个威胁情报项目来收集和分析内部威胁和外部威胁的数据非常重要，这样你就可以提供更好的响应，对OT设备进行有效的端点监控，并主动管理这些风险。”

在一个实现中，第2级的交换机复制流量并发送一个流到传感器，该传感器解码通信协议，并将实时流提供给第3级的服务器设备。该设备使用分析来检测异常。例如，如果一个通常从PLC读取数据的人机界面突然向它写入数据，系统就会检测到它并发送警报。它会寻找流量的突然变化，协议的变化，任何不寻常的东西。它还将运行基于签名的检测，以捕获任何已知的威胁。

步骤4:响应

如果不能对这些信息采取行动，即使是最好的威胁检测系统也是无效的。这一步涉及到安全操作中心(SOC)，它向CISO的办公室报告。SOC由协调异常反应的专家组成。有些类型的威胁可以用软件来处理。在IT世界中常见的威胁可以由SOC中的专家解决。然而，OT网络带来了其他类型的挑战。

如果控制工程师向机器上的运动控制器编写一个新程序，SIEM可能会将其提升到SOC团队。问题是接下来会发生什么。Lobo说:“坐在SOC里的IT人员可能甚至不知道PLC是什么。”“所以，你需要在车间人员和SOC之间建立一个反馈回路。他们可以联系到那个特定工厂的OT用户，然后说，“嘿，我应该关注这个吗?你把这个程序推给PLC了吗，还是说这是你没有预料到的?”最有可能的是，你只是想让袜子受到基于签名的威胁，然后允许工厂里的用户向控制系统提出异常情况，以便进行调查，否则就会出现太多的误报。”

最后，组织需要适当的恢复和补救机制。确保备份所有关键的系统文件，最好备份到公共云或私有云。然而，发现威胁是不够的。需要将其从网络环境中移除，系统需要恢复运行。这并不总是在内部团队成员的技能范围内，所以要确保获得外部专业知识是组织政策和程序的一部分。

制造业和其他工业部门遭受的网络攻击正在增加。组织需要建立一个全面的战略来保护自己。从适当的治理开始。一旦策略就位，遵循发现、设备保护、网络分段、网络和设备监控的步骤。确保有一个响应团队在发现异常时做出决定并采取行动。最后，也许也是最重要的，不要忽视培训。人为因素可能是所有因素中最大的弱点。确保员工接受了适当程序的培训，并定期提醒他们在帮助保护组织中的角色。最重要的是，不管组织的规模有多大，现在就解决问题。“开发一个安全策略并在网络上执行该策略可能会涉及到，”Wood说。 “but failing to do it is just like not locking your front door when you leave your house.”