最近,美国最大燃油运输管道商遭受网络安全暂停运营,导致国家宣布进入紧急状态一事,引起安全业界热议。随着OT技术不断与信息技术(IT)相融合,IT技术的利用越来越成为攻击OT系统并产生破坏性影响的枢纽,如何保护工业互联网络,阻止攻击者成功执行控制命令并产生破坏性网络影响?
早先,美国国家安全局(NSA)发布工业网络安全风险应对建议的公告,指出关键基础设施领域中将出现的安全威胁,并就如何保护工控系统的OT网络环境提供了建议。本文翻译和引用了该公告的主要内容,供工业网络和OT系统的管理人员参考评估,提升OT网络环境的监控和检测能力,防止网络入侵带来的灾难性影响。
改善网络安全的措施
从企业领导到OT系统运营商,许多人都在问:“在有限的资源下,我们怎么能改善OT和控制系统的网络安全并确保成功?“为了回答这个问题,NSA提出了OT网络的实用评估方法和基本的网络安全改进方法。
全面评估企业IT-to-OT连接的价值、风险和成本
(1) 认识到独立的、未连接的孤岛式OT系统比通过外部连接连接到企业IT系统的(不管外部连接被认为是多么安全)的系统更安全。间歇连接的OT系统可能是一个不错的折衷方案,因为它只有在连接时才有风险,只有在需要时才可以这样做,例如下载更新或在有限的时间内需要远程访问的时间。
(2) 将IT系统连接到OT网络和/或控制系统环境对企业有价值,涉及许多方面,包括:
便于连接和使用数据/信息。
充分利用现有的能力,如 TT 技术人员。
利用或与IT工具结合进行系统监视。
通过IT集成实现理论上的协同效应,例如管理OT资产的更新。
(3) 将IT系统连接到OT环境给企业带来的风险,可能涉及的方面,包括:
难以控制。
安全系统/设备不能正常运作。
程序中断或关闭造成的收入损失。
如果安全系统/设备运行不正常,严重时会造成人员伤亡。
(4) 量化因连接现有OT网络和设备到企业IT系统而额外增加的成本,相关成本可能涉及许多方面,包括:
对OT网络和基础设施进行分段和保护,以减少大规模危害的风险。
下载和更新OT资产到最新版本所需的更新产品或系统许可费用。这对于减轻关于过时固件、软件等的潜在漏洞是至关重要的,并且对于减少连接环境中被利用的风险也是必要的。
如果OT资产中包含使用寿命即将到期的设备或即将提供产品支持的设备,则OT系统的升级成本将会增加。 这不仅应包括设备成本,还应包括因OT设备更换和测试而造成的任何潜在收入损失或任务可用性。
需要额外的人员和资源来正确维护和保护OT资产。
(5) 向领导提供报告结果,以便他们能够有效地评估价值、风险和费用/资源。
改善连接企业 IT-to-OT 网络的网络安全
战略上,现有的IT资源和免费可用的工具应更安全的应用于企业IT-to-OT网络,也适用于孤岛式和间歇性连接的网络和系统,以提高网络恢复能力和确保任务准备就绪。
(1) 全面管理、加密保护(加密和认证) ,并对所有访问通道设置允许访问的列表,确保记录所有访问尝试。访问通道可包括许多方面,例如:
供应商或任何外包的IT资产支持,包括具有已知和未知远程监控连接的供应商便携式计算机。
用于监视和/或警报通知的远程连接。
内部访问,特别是通过现有的开放式,不受管网络,服务器或设备连接。
直接的物理访问。
(2) 在允许远程访问的任何地方,添加监控探针并监视所有跨域连接。建议断开所有远程访问连接,直到进行主动监视为止。
(3) 创建OT网络地图和设备设置基线,并验证所有设备在网络上。
利用地形和物理网络绘图和盘点。
利用可满足要求的现有开源工具。
(4) 创建OT网络通信基准
利用可满足要求的现有开源工具。
(5) 评估OT网络的网络安全需求并确定其优先级,以识别所需的缓解措施并定义短期、中期和长期的网络安全改进成果。
根据内部IT/OT专业知识和能力,制定有效的网络安全改进计划将确定并优先考虑具体的OT网络安全风险。它还将为持续应用缓解措施、近期改进和实现长期网络安全目标的策略提供路线图。
(6) 创建备份基准,以使所有OT网络和设备都能得到修复和重建。
关键备份文件应保持一份副本存储在未连接位置, 通过在线或网络方式无法访问的区域。
在发生安全问题或恶意攻击时,重新还原OT网络,采取措施确保成功,以缩短OT网络的停机时间。
虽然对于网络连接和自动化流程有着非常现实的需求,但是OT网络和控制系统连接到企业 IT系统本身是存在风险的。在连接(或保持连接)企业IT网络之前,要认真评估风险、收益和成本。
在允许企业 IT-to-OT 连接之前,谨慎地区分优先级和考虑风险。虽然OT系统很少需要外部连接才能正常运作,但为了方便起见,它们经常连接起来而没有适当考虑到真正的风险以及潜在的不利因素。建议遵循以上方法,立即采取行动帮助它们提高网络安全。