面向工业4.0的安全制造白皮书-有效确保网络安全的五大方法

面向工业的安全制造 4.0 有效确保网络安全的五大方法 作者：NickBurrows 执行摘要 对制造商而言，这是一个激动人心且充满挑战的时刻，因为行业在产品的设计、开发、生产和交付方式方面经历了近250年来最重大的转变。 这种转变由制造业数字化推动，是工业领域发生的第四次革命。第一次工业革命通过水和蒸汽动力实现机械化；第二次工业革命通过电力实现大规模生产和组装流水线；第三次工业革命采用计算机和自动化；第四次工业革命（又称“工业4.0”）则在第三次工业革命的基础上引入以数据和机器学习为驱动的智能自主系统来增强计算机和自动化。 维护制造组织商业利益的机密性、完整性和可用性所需的工具必须渗透整个组织，但我们认为以下五种主要方法可以满足制造领域对有效网络安全的需求： 1.实现IT/OT环境的安全统一 2.维护制造运营的正常运行 3.保护知识产权安全 4.检查供应链中的机密性、完整性和可用性 5.确保新的市场渠道和客户参与安全 本文概述了如何通过在选择、创建和部署安全服务时采用新一代思维来缓解这些风险。 2 StratabyPaloAltoNetworks|面向工业4.0的安全制造 简工介业：4.0如何推动数字化转型 第三次工业革命期间，在全新技术的助力下，引入计算机和自动化带来了颠覆性的影响。工业4.0将计算机、制造系统设备（例如可编程逻辑控制器[PLC]）以及基于云的机器学习功能连接在一起，为无需人工干预即可作出决策的“智能工厂”奠定了基础。ICS/SCADA系统、物联网(IoT)和迅速发展的IT组件的结合使工业 4.0成为可能，让制造商能够在充满挑战的市场中实现更高的效率、生产率和敏捷性。工业4.0还大幅改善了客户体验。 然而，对制造商来说，工业4.0不仅仅是一条可选路线，更代表了行业的一个成败阶段。21世纪初，由于未能充分利用“线下和线上”商业模式的激增态势，多家知名零售连锁商倒闭；若不想重蹈零售行业的覆辙，制造商必须迅速采取行动，避免过早消失在历史中。以前需要三到五年才能应对行业变化的组织不会再有如此宽裕的反应时长，因为同时发生的大量变化正在造成巨大的破坏，令人难以应对。 由此产生的“应变间隔”让制造商在多条战线上作战。在着重于数字化转型的同时充分利用工业4.0并实现相关优势，则要求改变加强更多传统制造模式的思维。 3 StratabyPaloAltoNetworks|面向工业4.0的安全制造 可以这么说，网络安全在10年前可能算不上普通制造公司CEO的心腹大患。完全隔离的系统、法律协议、员工意识培养以及针对主要运营威胁的保险，都是降低风险的基础。然而，近年来，随着数字化转型需求将制造商推出其舒适区，网络攻击的危险已成为一种新型的重大威胁载体。制造业成为威胁执行方最针对行业之一毫不奇怪：据英国制造业协会MakeUK称，48%的制造商曾受过网络安全事件的侵害，其中半数则遭受了经济损失或业务中断。1 由于工业4.0要求消除传统的“完全隔离”方法（这种方法曾使操作技术(OT)系统因远离互联网而免受攻击），专注于解决这些新威胁的大部分精力都集中在OT和信息技术(IT)系统的安全集成上。这是一个重大的挑战，尤其是OT和IT系统的职责通常分属两个不同的团队，这两个团队之间的协作通常很差。 虽然IT和OT团队之间的距离是必须克服的文化障碍，但IT和OT系统的安全统一只是难题的一部分。为了恰当保护自己的业务，制造商必须在维护整个制造企业的机密性、完整性和可用性的情境下审查许多其他IT用例。 4 1.“CyberSecurityforManufacturing”，英国制造业协会MakeUK，2019年11月5日访问： https://www.makeuk.org/insights/reports/2019/02/11/cyber-security-for-manufacturing。 StratabyPaloAltoNetworks|面向工业4.0的安全制造 1.实现IT/OT环境的安全统一 工业4.0模型的核心构成是来自OT和IT空间的数据和信息的统一。将这些不同的基础架构整合到一起后，工业4.0可以为组织提供制造流程各个部分的情报和见解。对于设法做好事情的人来说，这会有显著的成效。有报告显示，将人工智能(AI)纳入工业4.0架构，为早期采用者的现金流带来了高达122%的改善率。2 然而，采用率仍然相对较低，部分原因是操作这些系统的工作通常由两个不太习惯相互交谈的非常不同的团队负责。另一个关键原因（也是习惯于提供整体安全性的IT团队与习惯于提供极权主义“完全隔离”战略的IT团队之间的一个重要争论点）是网络攻击可能会关闭生产工厂或滥用关键OT资产，以及缺乏减轻这种风险的可信机制。对Stuxnet和Duqu等恶意软件攻击 的恐惧进一步加剧了这些担忧，这些攻击在2010年至 2012年间袭击了公用事业行业，对看似安全的工业基础设施造成了物理破坏。虽然这些攻击并非专门针对制造业，但其表明可以通过数字载体进行破坏，从而引发较长的停机时间，甚至会在严重情况下危及人类性命。 在许多情况下，与安全相关的担忧对工业4.0产生了负面影响，妨碍了试点项目和生产部署，让它们没有机会成熟并发挥优势。若要保护与工业4.0相关的商业利益，则要求保护仅启用IP的OT资产（例如PLC、人机界面[HMI]和调试系统）与网络、私有数据中心和云中的相关IT应用（如优化平台、先行性维护系统和计算机辅助/增材制造存储库）之间的连接。 与安全相关的担忧对工业4.0产生了负面影响，妨碍了试点项目和生产部署，让它们没有机会成熟并发挥优势。 2.“FourthIndustrialRevolution:BeaconsofTechnologyandInnovationinManufacturing”，世界经济论坛与麦肯锡公司，2019年1月： http://www3.weforum.org/docs/WEF_4IR_Beacons_of_Technology_and_Innovation_in_Manufacturing_report_2019.pdf。 5 StratabyPaloAltoNetworks|面向工业4.0的安全制造 零信任的重要性 将OT和IT网络安全地整合在一起的关键，是重新定义特权访问管理的传统方法。制造商需要采用“零信任”方法来保护对组织关键资源的访问，包括本地基础架构、基础架构即服务(IaaS)、容器、大数据和其他现代企业IT服务。此外，还必须检测和预防数据泄漏的诱因：特权访问滥用。包括3M、陶氏化学公司、本田汽车公司和波音公司在内的领先制造商都在采用“零信任”方法，以此保护对其最关键基础架构的特权访问。 若使用得当，“零信任”可以极大地增强NISTSP800-82和BSENIEC62443标准套件中推荐的网络分段类型所提供的功能和保护。“零信任”支持对统一OT和IT基础架构进行精细微分段，从而允许基于资产敏感度以及对用户和应用的可视性与控制来实施策略。早在任何高级反恶意软件解决方案发挥作用之前， 这便能大幅减小威胁范围。通过对已知和未知威胁进行连续自动扫描来增强功能时，与OT/IT统一相关的风险将大大降低，从而为工业4.0计划铺平了道路。 提供“零新任”的部分优势包括： •降低攻击范围和意外网络事件的风险 •严格遵守NISTSP800-82和BSENIEC62443 标准 •准确识别ICS/SCADA网络流量，例如Modbus、DNP3和CIPEtherNet/IP™ •有效检测并缓解已知和未知威胁，尝试利用允许的流量 •针对传统或未打补丁的HMI和控制系统中的已知漏洞进行防护 •降低已发生的数据泄露的风险 零信任是什么？ “零信任”要求对试图访问网络资源的每个人和每台设备执行严格的身份验证，不管用户或设备在网络边界之内还是之外。“零信任”不是一种单一的特定技术，而是一种结合了多项不同原理和技术的综合性网络安全方法。借助最低特权访问方法，只需向用户和设备授予生产运营所需的权限，即可最大限度避免他们接触基础架构的敏感部分。考虑到与工业4.0相关的技术的普及，这就要求提供易于管理的且可在网络、端点和云中实施的精细分段。 StratabyPaloAltoNetworks|面向工业4.0的安全制造6 在OT环境中顺畅地实现零信任 幸运的是，构建“零信任”架构来确保IT和OT网络的集成比看起来简单得多。只要准备好合适的安全平台，“零信任”便可增强现有架构，不需要全面改造技术。其可在组织继续使用现有工具和技术时进行迭代部署。消除网络分段昂贵且费时的问题的一种方法是使用VLAN插入，即将安全设备逻辑放置于OT和IT资产之间，无需进行物理重新布线或引入其他交换机。 VLAN插入的优点是连接为逻辑连接，物理连接则保持不变。逻辑连接允许在不修改物理电缆或更改IP地址的情况下动态插入或删除设备。在制造环境中，VLAN插入提供了对网络进行分段的方法，这种方法对工厂流程几乎没有影响。操作员可以放心地进入流程控制网络 和远程站点（即使是多年未接触过的站点），不必担心有人拔错电缆而中断操作。 提供有效安全防护不受地点和时间限制 请注意，建议慎重选择用于实现“零信任”的工具。如前所述，工业4.0包含了IT和OT领域的最新技术，因此，交付的安全防护必须高效且完全自动化，并能扩展到私有和公有云基础架构以及物理硬件。 合适的解决方案必须能提供多层防御，能在智能制造价值链的每个环节维护机密性、完整性和可用性。 观看如何在工业控制系统中构建零信任网段了解更多内容。 7 StratabyPaloAltoNetworks|面向工业4.0的安全制造 2.维护制造运营的正常运行 2019年3月，全球最大铝生产商之一的NorskHydroASA成为勒索软件攻击的受害者，疫情迫使该公司停止部分生产，并将其他设施切换到手动操作。从长远来看，NorskHydro显然拥有网络保险来帮助克服攻击带来的许多负面影响；但初步数据显示，ExtrudedSolutions的外部销量从2018年第一季度的36.2万 吨降至2019年第一季度的33.3万吨，让该公司在 2019年第一季度损失高达4.5亿挪威克朗（5200万美元）。 这次攻击以及在2010、2012和2017年分别袭击公用事业行业的更险恶的Stuxnet、Duqu和Triton攻击 （Triton会定期重新露面），进一步凸显了网络安全方法的短板和业界保护部署不足的危险—受网络攻击次数位居第二，仅次于医疗保健业。此外，这表明有效的网络安全策略在提供不间断运营方面与其他更传统的业务连续性准则同样重要，例如弹性供电、灭火和工厂更广泛地抵御自然和人为灾难。 如果允许访问和感染NISTSP800-82或BSENIEC62443分层模型中的设备，针对ICS/SCADA应用的恶意软件（以及勒索软件和关键IT系统面临的其他威胁）显然能够让制造运营陷入停顿，甚至可能危及人类安全。威胁可能会中断敏感数据或服务的可用性，并迫使公司向攻击者支付费用（或从备份恢复操作）来重新获取访问权限，这就要求从根本上转向预防。阻止勒索软件攻击的最佳策略是让这些攻击无法侵入到您的组织中。 当然，这说起来容易做起来难，一方面是因为组织运营过程所需的应用和服务数量在不断增加，另一方面则是攻击范围也在随之增加。随着威胁执行方的能力不断提高，新攻击出现的速度超过了修复漏洞或安装补丁的速度。因此，组织需要对自己的安全平台进行全面地考量。为了在攻击可能感染制造组织并造成损害之前阻止攻击，必须建立恰当的安全架构，实现从检测到预防的转变。 阻止勒索软件攻击的最佳策略是让这些攻击无法侵入到您的组织中。 这包括四个关键要素： 1.缩小攻击范围 2.防御已知威胁 3.保护老化和无法打补丁的基础架构 4.识别并防御未知威胁 8 StratabyPaloAltoNetworks|面向工业4.0的安全