制造企業(yè)需要思考如何適應(yīng)新的網(wǎng)絡(luò)安全環(huán)境，并在不影響生產(chǎn)運(yùn)營(yíng)的情況下提供更好的支持。

網(wǎng)絡(luò)安全曾經(jīng)是信息技術(shù)（IT）領(lǐng)域?qū)俚摹Ｄ切碛杏?jì)算機(jī)科學(xué)學(xué)位的人會(huì)封好入口，看住貴重物品，防止入侵者進(jìn)入IT網(wǎng)絡(luò)。由于IT網(wǎng)絡(luò)被視為進(jìn)入運(yùn)營(yíng)技術(shù)（OT）網(wǎng)絡(luò)的唯一途徑，很多公司認(rèn)為這已經(jīng)足夠了。

潛伏的威脅仍然游走在OT網(wǎng)絡(luò)的邊緣。一些員工電腦上的惡意軟件、插入USB密鑰或?qū)⒃O(shè)備接入網(wǎng)絡(luò)的物理訪問(wèn)，以及偶爾的無(wú)線訪問(wèn)都可能會(huì)讓帶來(lái)風(fēng)險(xiǎn)。雖然可能導(dǎo)致的問(wèn)題很嚴(yán)重，但這些事件很少發(fā)生，對(duì)很多公司來(lái)講，這種風(fēng)險(xiǎn)被認(rèn)為是可以接受的。

01

新的OT網(wǎng)絡(luò)架構(gòu)

近年來(lái)，OT網(wǎng)絡(luò)之間的互聯(lián)比以往任何時(shí)候都更加緊密。一些企業(yè)正在運(yùn)行扁平的網(wǎng)絡(luò)拓?fù)?，而另一些企業(yè)正在將與云通信的物聯(lián)網(wǎng)或工業(yè)物聯(lián)網(wǎng)（IoT/IIoT）設(shè)備和系統(tǒng)添加到網(wǎng)絡(luò)中。這些較新的OT裝置，繞過(guò)了網(wǎng)絡(luò)分層或普渡模型，帶來(lái)了巨大的變化。

企業(yè)需要了解如何在不減緩數(shù)字化轉(zhuǎn)型計(jì)劃的情況下，適應(yīng)這些不斷變化的環(huán)境并支持這些網(wǎng)絡(luò)。他們還需要考慮如何在保持網(wǎng)絡(luò)安全警惕的同時(shí)，實(shí)現(xiàn)預(yù)期的業(yè)務(wù)目標(biāo)。

使用合適的技術(shù)可以降低風(fēng)險(xiǎn)?，F(xiàn)在，企業(yè)和用戶應(yīng)該熟悉四個(gè)關(guān)鍵技術(shù)和安全概念：零信任；最小特權(quán)原則；被動(dòng)和主動(dòng)網(wǎng)絡(luò)監(jiān)控；和安全信息和事件管理（SIEM）集成。

1.零信任

零信任是過(guò)去十年中出現(xiàn)的最重要的安全理念之一，被許多人視為安全領(lǐng)域的新黃金標(biāo)準(zhǔn)。它已經(jīng)被世界各地的工業(yè)公司和軍事網(wǎng)絡(luò)所采用。零信任的理念是假設(shè)攻擊者可能已經(jīng)在網(wǎng)絡(luò)上了，而且沒(méi)有被發(fā)現(xiàn)。正因?yàn)槿绱耍静粦?yīng)該信任進(jìn)入的任何設(shè)備、服務(wù)器和軟件的任何通信。

這容易讓人陷入一種左右為難的困境：如果你不信任通信，那你怎么能進(jìn)行通信？在零信任網(wǎng)絡(luò)中，所有系統(tǒng)都必須驗(yàn)明正身，這是實(shí)現(xiàn)通信的第一步。身份證明通常通過(guò)一些機(jī)制來(lái)完成，如使用公認(rèn)標(biāo)準(zhǔn)的加密、用戶名和密碼驗(yàn)證，有時(shí)還可以通過(guò)客戶端證書或密鑰形式的附加憑據(jù)。這其中的關(guān)鍵部分是負(fù)責(zé)證明“它是誰(shuí)”的系統(tǒng)。

對(duì)于棕地工業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，零信任很難實(shí)現(xiàn)。許多可編程邏輯控制器（PLC）和遠(yuǎn)程終端單元（RTU）的通信方式都是門戶洞開(kāi)。只要與控制工程師交談，就可以得知哪些PLC在設(shè)計(jì)上是不安全的。如果用戶僅使用其IP地址，就可以通過(guò)本地協(xié)議從監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)連接到PLC或RTU，那么這很可能就是不安全的。有理由假設(shè)，很多PLC和RTU在設(shè)計(jì)上是不安全的，包括現(xiàn)在正在生產(chǎn)中使用的大多數(shù)設(shè)備。

▲圖1 ：使用零信任方法，網(wǎng)絡(luò)上的所有內(nèi)容都必須驗(yàn)明正身。

▲圖2 ：近年來(lái)安全需求發(fā)生了變化。技術(shù)也隨之改變。

如果企業(yè)正在保護(hù)這些網(wǎng)絡(luò)并希望采用零信任理念，那么通常有兩種選擇：一種是更換現(xiàn)有的PLC；另一種是消除它們不安全的通信，通常是將它們隔離在安全設(shè)備的后面。許多人正在使用運(yùn)行邊緣軟件的簡(jiǎn)單工業(yè)PC，以使這些系統(tǒng)遠(yuǎn)離主控制網(wǎng)絡(luò)，并使用MQTT Sparkplug和OPC UA等安全協(xié)議提供數(shù)據(jù)和通信。

對(duì)于綠地網(wǎng)絡(luò)來(lái)說(shuō)，情況要容易得多。一些關(guān)注安全的現(xiàn)代PLC，在默認(rèn)情況下被鎖定，支持零信任策略。MQTT Sparkplug和OPC UA等協(xié)議以及Ignition等軟件，都內(nèi)置了強(qiáng)大的身份驗(yàn)證和安全性。在配置安全設(shè)置的同時(shí)，使用現(xiàn)代設(shè)備、協(xié)議和軟件可以簡(jiǎn)化最佳實(shí)踐，真正實(shí)現(xiàn)零信任架構(gòu)。

2.最小特權(quán)原則

從概念上來(lái)講，最小特權(quán)原則非常簡(jiǎn)單：用戶的帳戶應(yīng)只能訪問(wèn)用戶需要做的事情。許多企業(yè)都有工程團(tuán)隊(duì)，他們可以管理所有系統(tǒng)。如果企業(yè)遵循的是這一原則，那這就不是最小特權(quán)原則了。初級(jí)工程師只能訪問(wèn)有限數(shù)量的系統(tǒng)和有限的功能集。管理這些需要做更多的工作，但如果用戶的帳戶被泄露，或者心懷不滿的員工決定采取可能損害業(yè)務(wù)的行動(dòng)，最小特權(quán)原則也會(huì)降低風(fēng)險(xiǎn)。

3.被動(dòng)和主動(dòng)網(wǎng)絡(luò)監(jiān)控

許多IT團(tuán)隊(duì)都有IT網(wǎng)絡(luò)的監(jiān)控工具。在OT網(wǎng)絡(luò)上使用這些監(jiān)控工具也是一個(gè)好主意。入侵檢測(cè)系統(tǒng)（IDS）可提供被動(dòng)監(jiān)控，這意味著它在不向網(wǎng)絡(luò)本身添加任何內(nèi)容的情況下監(jiān)視網(wǎng)絡(luò)流量。這些系統(tǒng)通常由人工智能和機(jī)器學(xué)習(xí)（AI/ML）工具支持，以識(shí)別模式并嘗試定位異常。

有時(shí)，入侵檢測(cè)系統(tǒng)還采用主動(dòng)網(wǎng)絡(luò)監(jiān)控，在網(wǎng)絡(luò)上發(fā)送通信并嘗試與設(shè)備對(duì)話，作為其監(jiān)控的一部分。主動(dòng)監(jiān)控系統(tǒng)有時(shí)指向PLC或其它設(shè)備，以監(jiān)控它們何時(shí)發(fā)生變化或變化的內(nèi)容。

如果一個(gè)零信任系統(tǒng)已經(jīng)就位并且運(yùn)行良好，即使“壞人”進(jìn)入網(wǎng)絡(luò)，也可能什么都做不了。然而，這些監(jiān)控系統(tǒng)旨在幫助IT部門識(shí)別那些不良行為者，并將他們踢出網(wǎng)絡(luò)，以防止他們?cè)噲D找到易受攻擊的系統(tǒng)。一些主動(dòng)監(jiān)控還可以識(shí)別意外變化并標(biāo)記這些變化。

4.安全信息和事件管理集成

大多數(shù)公司的IT部門都使用安全信息和事件管理（SIEM）系統(tǒng)，但在OT網(wǎng)絡(luò)上則很容易忽略這些很有價(jià)值的工具。作為一個(gè)日志分析系統(tǒng)，它們可以幫助識(shí)別熱點(diǎn)并追溯發(fā)生的問(wèn)題。這些系統(tǒng)側(cè)重于安全性，但有時(shí)也可用于現(xiàn)場(chǎng)系統(tǒng)的一般故障排除和IT支持。如果一家公司配置了SIEM，而OT系統(tǒng)沒(méi)有發(fā)送安全提要，那么可能值得探索將SCADA或其它OT系統(tǒng)添加到SIEM中。

安全性是一個(gè)復(fù)雜的話題，對(duì)于當(dāng)今的制造商來(lái)講，現(xiàn)在需要向零信任和更好的安全性邁進(jìn)。企業(yè)和用戶對(duì)本文強(qiáng)調(diào)的網(wǎng)絡(luò)安全技術(shù)和概念越熟悉，就越有可能做出更明智的決策。大多數(shù)制造企業(yè)還有很長(zhǎng)的路要走，獲得更好的安全性更像是一場(chǎng)馬拉松，而不是百米沖刺。在工業(yè)領(lǐng)域構(gòu)建更好的安全性對(duì)每個(gè)人都有幫助。

審核編輯 ：李倩