赞助功能 互联网连接改变了一切,包括老式工业环境。随着公司实现运营现代化,他们将更多的机器连接到网络。这种情况造成了明显且现实的安全问题,业界需要新的方法来处理这些问题。
工业物联网 (IIoT) 的采用正在加速推进。 研究 Inmarsat 的调查发现,77% 的受访组织已全面部署至少一个 IIoT 项目,其中 41% 是在 2020 年第二季度至 2021 年期间部署的。
该研究还警告说,安全性是开始部署工业物联网的公司的主要关注点,54% 的受访者抱怨这阻止了他们有效使用数据。一半的人还指出外部网络攻击的风险是一个问题。
IIoT 解决方案对于 IT 和 OT(运营技术)的融合至关重要。 OT 平台通常是工业控制系统 (ICS),帮助公司管理其物理设备,例如为制造生产提供动力的压力机和传送带,或保持市政水流动的阀门和泵。
在此过程中,他们会生成大量可用于分析目的的数据。但将这些信息纳入适当的企业工具意味着弥合 IT 和 OT 之间的差距。
运营商还希望这些 OT 系统能够远程访问。让传统 IT 应用程序能够控制这些设备意味着它们可以与 IT 系统中定义的相同后端流程链接。对于无法或不愿意进行数公里往返以进行操作更改的技术人员来说,启用远程访问也可以节省时间和金钱。
在 COVID-19 危机期间,由于社交距离和旅行限制,技术人员根本无法进行任何现场访问,因此对远程访问的需求变得更加强烈。例如,国际海事卫星组织 (Inmarsat) 发现,疫情是加速工业物联网采用的根本原因,84% 的受访者表示,他们已经或将加速其项目,作为对疫情的直接应对措施。
因此,对于许多人来说,IT 和 OT 的融合不仅带来便利,还带来便利。这是必要的。但它也为安全团队创造了一场完美风暴。可从外部访问的 ICS 系统增加了黑客的攻击面。
ICS 攻击行动
有时,IT/OT 融合就像有人在设施的 PC 上安装远程访问软件一样简单。这就是设置 允许 2021 年,黑客通过在佛罗里达州奥德马尔市政水厂安装远程访问工具来访问控制系统,然后试图用氢氧化钠毒害当地居民。攻击者入侵的 PC 可以访问工厂的 OT 设备。该镇治安官报告说,隐形入侵者在一名工作人员面前拖动鼠标光标。
目前尚不清楚是什么原因导致黑客试图毒害无辜的佛罗里达人,但一些攻击有经济动机。 EKANS 勒索软件攻击就是一个例子 击中本田 2020 年 XNUMX 月,关闭英国、美国和土耳其的制造业务。
攻击者使用 EKANS 勒索软件攻击该公司的内部服务器,导致其工厂遭受重大破坏。在一个 分析 关于这次攻击,网络安全公司 Darktrace 解释说 EKANS 是一种新型勒索软件。针对 OT 网络的勒索软件系统通常会先攻击 IT 设备,然后再进行攻击。 EKANS 相对较少,因为它直接针对 ICS 基础设施。它可以针对其杀伤链中多达 64 个特定的 ICS 系统。
专家认为其他 ICS 攻击是由国家支持的。 Triton 恶意软件于 2017 年首次针对石化厂, 仍然是一个威胁 根据联邦调查局的说法,该组织将袭击归咎于国家支持的俄罗斯组织。该局表示,这种恶意软件尤其令人讨厌,因为它会造成物理损坏、环境影响和人员伤亡。
标准安全解决方案在这里不起作用
传统的网络安全方法无法有效解决这些 OT 漏洞。公司可以使用包括反恶意软件在内的端点安全工具来保护他们的电脑。但如果端点是可编程逻辑控制器、支持人工智能的摄像机或灯泡呢?这些设备通常没有能力运行可以检查其内部进程的软件代理。有些可能没有 CPU 或数据存储设施。
即使工业物联网设备确实具有支持板载安全代理的处理带宽和功率能力,它们使用的自定义操作系统也不太可能支持通用解决方案。 IIoT 环境通常使用来自不同供应商的多种类型的设备,从而创建多样化的非标准系统组合。
然后是规模和分布的问题。习惯于在网络上处理数千台标准 PC 的管理员和安全专业人员会发现 IIoT 环境非常不同,其中传感器可能有数十万个。它们也可能传播到更广泛的区域,特别是当边缘计算环境受到关注时。他们可能会在一些更偏远的环境中限制与网络的连接以节省电力。
评估传统 ICS 保护框架
如果传统的 IT 安全配置无法应对这些挑战,那么以 OT 为中心的替代方案也许可以?首选标准模型是普渡大学网络安全模型。它由普渡大学创建,并被国际自动化协会采纳为 ISA 99 标准的一部分,它定义了描述 IT 和 ICS 环境的多个级别。
零级处理物理机器——完成任务的车床、工业压力机、阀门和泵。下一个层次涉及操纵这些机器的智能设备。这些传感器传递来自物理机器和驱动它们的执行器的信息。然后我们找到监控这些机器的监控和数据采集 (SCADA) 系统,例如可编程逻辑控制器。
这些设备连接到下一级的制造运营管理系统,执行工业工作流程。这些机器确保工厂保持最佳运行并记录其运行数据。
普渡模型的上层是完全属于 IT 领域的企业系统。这里的第一级包含特定于生产的应用程序,例如处理生产物流的企业资源规划。最上层是 IT 网络,它从 ICS 系统收集数据来驱动业务报告和决策。
在过去,当没有任何东西与网络外部的任何东西通信时,使用这种方法更容易管理 ICS 环境,因为管理员可以沿着网络边界对网络进行分段。
特意添加了非军事区 (DMZ) 层来支持这种类型的分段,该层位于两个企业层和堆栈下方的 ICS 层之间。它充当企业和 ICS 域之间的气隙,使用防火墙等安全设备来控制它们之间的流量。
然而,鉴于 ISA 最近才引入这一层,并非每个 IT/OT 环境都会有这一层。即使那些确实面临挑战的人。
今天的操作环境与 1990 世纪 XNUMX 年代不同,当时普渡大学模型首次发展,而我们所知的云还不存在。工程师希望直接登录本地管理操作或 SCADA 系统。供应商可能希望直接从互联网监控客户站点的智能设备。一些公司渴望将整个 SCADA 层转移到云端,例如 Severn Trent Water 决定 2020年要做的事情。
由第三方管理的 ICS 即服务 (ICSaaS) 的发展进一步让安全团队面临 IT/OT 融合的困境。所有这些因素都有可能在环境中打开多个漏洞并规避任何先前的细分工作。
斩断整个混乱的局面
相反,一些公司正在采用超越细分的新方法。他们不依赖快速消失的网络边界,而是实时检查设备级别的流量。这与 Open Group 杰里科论坛在二十世纪九十年代初提出的最初的去边界化提案相差不远,但分析网络中如此多不同点的流量是很困难的。如今,由于人工智能的出现,防御者能够更好地保持警惕。
暗迹是 应用 其中一些概念属于其工业免疫系统。它不是在网段边界监视已知的恶意签名,而是首先了解 IT 和 OT 环境中各处的正常情况,包括云中托管的该环境的任何部分。
该服务建立不断变化的正常基线,然后分析所有流量以查找超出该基线的活动。它可以提醒管理员和安全分析师注意这些问题,因为 做了 为一位欧洲制造客户。
该服务也是自主的。当客户足够信任其决策并打开开关时,免疫系统就可以从仅仅发出警报转变为采取适当的行动。这可能意味着阻止某些形式的流量、强制设备的正常行为,或者在严重的情况下完全隔离系统,包括 OT/ICS 层中的设备。
Darktrace 的高管希望,这种向持续、无处不在的流量分析的更精细模型的转变,与针对已知正常行为的实时评估相结合,将有助于阻止不断上升的 ICS 网络攻击浪潮。它还有望使公司变得更加敏捷,支持远程访问和基于云的 ICS 计划。将来,您不必冒着有人关灯的风险来保持灯亮着。
由暗迹赞助
