應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊個人注冊登錄

物聯(lián)網(wǎng)時代的網(wǎng)絡(luò)安全 如何打造安全可靠的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

2020-06-01 09:01 AI國際站

導(dǎo)讀:如今,大多數(shù)制造公司都在從事某種數(shù)字化轉(zhuǎn)型計劃。但是,要在通用物聯(lián)網(wǎng)(IoT)平臺上互連的系統(tǒng)差異很大。理想的是在多個系統(tǒng)之間共享數(shù)據(jù)。

如今,大多數(shù)制造公司都在從事某種數(shù)字化轉(zhuǎn)型計劃。但是,要在通用物聯(lián)網(wǎng)(IoT)平臺上互連的系統(tǒng)差異很大。理想的是在多個系統(tǒng)之間共享數(shù)據(jù)。

安全對于公司數(shù)字化轉(zhuǎn)型項(xiàng)目的成功乃至整個公司的生存至關(guān)重要。網(wǎng)絡(luò)攻擊的頻率和破壞性不斷增加已經(jīng)眾所周知。公司必須承擔(dān)計劃外停機(jī)的風(fēng)險,以避免聲譽(yù)受損和財產(chǎn)損失。

為此,他們需要采取措施,以在潛在攻擊發(fā)生之前將其檢測出來,并防止過去幾年來我們看到的那種勒索軟件的嚴(yán)重后果。人為錯誤是另一個風(fēng)險因素–當(dāng)然是內(nèi)部人員犯罪,我們將在后面詳細(xì)介紹,但也可能是由于技術(shù)復(fù)雜性增加而可能導(dǎo)致的意外錯誤。

實(shí)施網(wǎng)絡(luò)安全策略的公司將需要考慮兩個方面:在防止攻擊的技術(shù)和人力資源,以及詳細(xì)描述如果發(fā)生攻擊時必須采取的風(fēng)險遏制策略。零風(fēng)險是沒有的,因此生產(chǎn)需要盡快回到正軌。

安全可靠的網(wǎng)絡(luò)

有效的網(wǎng)絡(luò)安全策略的基礎(chǔ)是安全可靠的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。這通常說起來容易做起來難。制造業(yè)公司面臨許多挑戰(zhàn)-缺乏合格的員工,舊系統(tǒng)和各種增加脆弱性的協(xié)議,不靈活的基礎(chǔ)架構(gòu)以及運(yùn)營技術(shù)(OT)和信息技術(shù)(IT)員工之間的協(xié)作很少。

由于不同的理念,后一種觀點(diǎn)是一個挑戰(zhàn):異構(gòu)的,針對特定任務(wù)的系統(tǒng),其對OT的物理結(jié)果,以及同類的,廣泛使用的系統(tǒng),其對IT的數(shù)字結(jié)果。廣泛的系統(tǒng)使用已使IT成為多年的目標(biāo),而對OT系統(tǒng)的嚴(yán)重攻擊只是在最近才出現(xiàn),例如2010年的Stuxnet攻擊。但是他們正在迅速追趕。

威脅向量

那么,網(wǎng)絡(luò)罪犯如何潛入公司?一種常見的方式是通過網(wǎng)絡(luò)釣魚和涉及身份和密碼盜用的類似做法。這使他們可以訪問IT和工程系統(tǒng)。其他媒介包括感染計算機(jī)和VPN的受損USB驅(qū)動器。想象一下,如果犯罪分子能夠訪問I / O和傳感器級別的所有設(shè)備,那么他們將會發(fā)生什么情況–他們可能會改變食品公司的產(chǎn)品配方,甚至改變制藥公司生產(chǎn)的藥物配方,從而可能產(chǎn)生巨大的后果。考慮內(nèi)部威脅因素也很重要–心懷不滿的IT或工程人員可能造成很大損失當(dāng)他們具有廣泛的訪問權(quán)限時。這就是為什么公司需要具有威脅檢測功能,以監(jiān)視正常的系統(tǒng)行為并觸發(fā)警報,并在發(fā)現(xiàn)任何異常時采取一套預(yù)定義的措施。

工業(yè)安全必須作為一個系統(tǒng)來實(shí)施

工業(yè)公司的網(wǎng)絡(luò)安全解決方案需要作為一個完整的系統(tǒng)實(shí)施,并滿足四個主要要求:

深度防御可使用多種保護(hù)級別來保護(hù)每臺設(shè)備,以降低風(fēng)險開放性支持各種供應(yīng)商的異構(gòu)資產(chǎn)適應(yīng)公司政策,流程和程序的靈活性符合行業(yè)標(biāo)準(zhǔn)和法規(guī)要求,例如IEC 62443

在IEC 62443標(biāo)準(zhǔn)我很重要,因?yàn)樗鼜淖詣踊纳婕胺秶輪T,包括ISA-99計劃的國際社會發(fā)出羅克韋爾自動化。它還符合ISO 27000。羅克韋爾自動化軟件已通過認(rèn)證,符合IEC 62443。

NIST網(wǎng)絡(luò)安全框架

羅克韋爾自動化建議將由美國商務(wù)部國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)開發(fā)的網(wǎng)絡(luò)安全框架作為可行的網(wǎng)絡(luò)安全指南,并以該標(biāo)準(zhǔn)為基礎(chǔ)制定自己的網(wǎng)絡(luò)安全策略。它包括五個方面:識別(知道您擁有什么);保護(hù)(確保您擁有的財產(chǎn));檢測(快速發(fā)現(xiàn)威脅);響應(yīng)(立即采取行動);和恢復(fù)(恢復(fù)操作)。識別:這涉及對所有IT和生產(chǎn)網(wǎng)絡(luò)資產(chǎn)(包括舊的或過時的系統(tǒng))進(jìn)行完整清單清點(diǎn),并定義其關(guān)鍵級別。它還包括對所有文檔以及密碼及其管理方式的審查。羅克韋爾自動化連接服務(wù)提供的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全評估是一種推薦的方法,可用于清晰了解網(wǎng)絡(luò)安全相關(guān)基礎(chǔ)結(jié)構(gòu)和程序的當(dāng)前狀態(tài)以及必要的改進(jìn)。

該保護(hù)階段涉及實(shí)施各地的資產(chǎn),合格的補(bǔ)丁管理組的安全區(qū),以及現(xiàn)場設(shè)備,可以監(jiān)控所有資產(chǎn)-無論是OT和IT。它了解流入和流出資產(chǎn)的正常數(shù)據(jù)流量的樣子,從而更容易立即發(fā)現(xiàn)異常。它還涉及為關(guān)鍵系統(tǒng)創(chuàng)建全面的備份,以幫助確保在事件確實(shí)發(fā)生時能夠快速恢復(fù)。檢測:黑客可以進(jìn)行可能無法立即識別的更改。他們可以更改機(jī)器設(shè)定點(diǎn),配方,步驟或任何其他參數(shù)。如果僅在較長時間后才發(fā)現(xiàn)這些修改,可能會造成巨大的損失可能對人員,機(jī)器和公司聲譽(yù)造成嚴(yán)重影響。借助威脅檢測服務(wù),該服務(wù)包括對所有IT和OT數(shù)據(jù)流以及低至0級(傳感器和I / O卡級別)的設(shè)備進(jìn)行自動深包檢查(DPI),將立即發(fā)現(xiàn)這些異?,F(xiàn)象并避免損壞。響應(yīng):DPI功能一旦檢測到異常(例如,來自未知IP地址的登錄或控制器中的代碼更改),便會立即觸發(fā)警報。然后,客戶和/或羅克韋爾自動化服務(wù)中心可以啟動事先約定的事件響應(yīng)措施,例如關(guān)閉已定義的資產(chǎn)以限制事件的影響。

恢復(fù):保護(hù)階段的備份發(fā)揮作用,以使系統(tǒng)在事件發(fā)生后盡快恢復(fù)并運(yùn)行,并限制對生產(chǎn)的影響。此外,資產(chǎn)管理系統(tǒng)(例如FactoryTalk AssetCentre)提供控制器代碼和其他設(shè)備程序的最新有效版本。目標(biāo)是盡快恢復(fù)正常狀態(tài)。此階段還意味著要對攻擊或異常發(fā)生的位置進(jìn)行事后分析,以填補(bǔ)任何漏洞并可能識別肇事者。