隨著 OT/IT 融合的趨勢(shì)不斷普及,幾乎所有工業(yè)企業(yè)都開(kāi)始著手加固網(wǎng)絡(luò)安全,采取預(yù)防措施保障正常運(yùn)營(yíng)。企業(yè)之所以這么做,主要是因?yàn)殛P(guān)鍵基礎(chǔ)設(shè)施和生產(chǎn)設(shè)備更容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。這并不是在杞人憂天。我們??吹竭@樣的新聞:某家企業(yè)由于遭受網(wǎng)絡(luò)攻擊,停產(chǎn)一天(甚至更久)。網(wǎng)絡(luò)攻擊不但會(huì)帶來(lái)資金損失,還有可能會(huì)讓公司成為新聞焦點(diǎn),損害公司聲譽(yù)。勒索軟件攻擊的目標(biāo)也在日益擴(kuò)大,即使是已經(jīng)采取預(yù)防措施的大型企業(yè)也難以幸免。這些攻擊事件表明,如今高度互聯(lián)的世界充滿風(fēng)險(xiǎn),沒(méi)有任何機(jī)構(gòu)可以高枕無(wú)憂。
毫無(wú)疑問(wèn),首席安全官 (CSO) 和首席信息安全官 (CISO) 亟需進(jìn)一步理解 OT 環(huán)境,以及如何在不干擾正常生產(chǎn)運(yùn)營(yíng)的前提下有效部署網(wǎng)絡(luò)安全措施。這是個(gè)十分復(fù)雜的問(wèn)題,公司在決定采用哪些措施和架構(gòu)之前需要審慎考慮。本文將探討當(dāng)前最常用的兩個(gè)安全架構(gòu)并提供實(shí)用建議,幫助工業(yè)企業(yè)更好地將這些架構(gòu)應(yīng)用于各自的 OT 環(huán)境。
深度防御與零信任架構(gòu)
根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 特刊 800-207,零信任架構(gòu)的關(guān)鍵在于為需要操作網(wǎng)絡(luò)的人員開(kāi)放最低限度的訪問(wèn)權(quán)限。我們可以讓有正當(dāng)事由的人員訪問(wèn)網(wǎng)絡(luò),但沒(méi)有必要授予無(wú)限制訪問(wèn)權(quán)限讓他們自由訪問(wèn)所有網(wǎng)絡(luò),因?yàn)檫@會(huì)增加網(wǎng)絡(luò)遭遇攻擊的概率。零信任架構(gòu)則可以規(guī)避這一點(diǎn)。
我們還可以采取深度防御策略,其中包括多層安全防護(hù),為生產(chǎn)運(yùn)營(yíng)網(wǎng)絡(luò)安全保駕護(hù)航。深度防御背后的原理是,即使第一層防護(hù)失效,還有第二次機(jī)會(huì)來(lái)保護(hù)其他區(qū)域和線路免受侵害。網(wǎng)絡(luò)安全標(biāo)準(zhǔn) IEC 62443 建議,部署深度防御時(shí)應(yīng)根據(jù)所需防護(hù)等級(jí)為網(wǎng)絡(luò)分區(qū)。每個(gè)分區(qū)叫做區(qū)域 (Zone),區(qū)域內(nèi)的所有通信設(shè)備同屬一個(gè)安全等級(jí),也就是說(shuō)他們的防護(hù)等級(jí)相同。如果想要進(jìn)一步加強(qiáng)保護(hù),還可以將一個(gè)區(qū)域置于另一個(gè)具備額外安全措施的區(qū)域內(nèi)。
將上述兩個(gè)措施結(jié)合起來(lái),我們可以在多層保護(hù)的基礎(chǔ)上進(jìn)行生產(chǎn)運(yùn)營(yíng),再利用零信任策略,確保根據(jù)具體情況授予有限的訪問(wèn)權(quán)限,進(jìn)一步增強(qiáng)網(wǎng)絡(luò)安全。對(duì)這兩種措施進(jìn)行分析可以看出,網(wǎng)絡(luò)安全問(wèn)題沒(méi)有絕佳方案,需要多角度全面考慮,確保網(wǎng)絡(luò)安全無(wú)虞。
零信任與深度防御網(wǎng)絡(luò)應(yīng)用示例
提高網(wǎng)絡(luò)安全意識(shí)
除了應(yīng)用零信任架構(gòu)和深度防御網(wǎng)絡(luò)以外,提高各部門(mén)的網(wǎng)絡(luò)安全意識(shí)、確保所有團(tuán)隊(duì)成員以同樣的理念看待網(wǎng)絡(luò)安全也十分重要。應(yīng)鼓勵(lì)員工了解遵循技術(shù)安全要求的益處,從而提高他們遵守安全指南的意愿。
這需要:
● 統(tǒng)籌協(xié)調(diào)安全響應(yīng)及網(wǎng)絡(luò)監(jiān)管
● 假設(shè)所有設(shè)備和網(wǎng)絡(luò)都會(huì)遭受攻擊,為最壞的情況做準(zhǔn)備
● 確保具備強(qiáng)大的恢復(fù)能力和響應(yīng)流程
對(duì)用戶和網(wǎng)絡(luò)設(shè)備執(zhí)行嚴(yán)格的授權(quán)認(rèn)證
用戶憑證泄露是工業(yè)網(wǎng)絡(luò)面臨的一大險(xiǎn)境。如果網(wǎng)絡(luò)訪問(wèn)沒(méi)有遵循零信任原則,入侵者可能只需要一條用戶憑證就可以訪問(wèn)整個(gè)網(wǎng)絡(luò)。但在零信任網(wǎng)絡(luò)架構(gòu)中,入侵者需要同時(shí)獲得設(shè)備訪問(wèn)控制和用戶授權(quán)認(rèn)證才能訪問(wèn)網(wǎng)絡(luò)。此外,還可以利用信任列表對(duì)網(wǎng)絡(luò)進(jìn)行更精細(xì)的控制。
● 設(shè)備訪問(wèn)控制
通過(guò)信任列表、速率控制和故障注銷(xiāo),可以只允許配備安全啟動(dòng)功能的受信設(shè)備訪問(wèn)網(wǎng)絡(luò)設(shè)備,防止遭受暴力破解和其他依靠反復(fù)嘗試達(dá)成的網(wǎng)絡(luò)攻擊。
● 用戶授權(quán)認(rèn)證
登錄設(shè)備時(shí)驗(yàn)證用戶憑證,網(wǎng)絡(luò)設(shè)備即可記錄所有用戶的訪問(wèn)嘗試,并根據(jù)不同職位開(kāi)放最低限度的訪問(wèn)權(quán)限。
● 信任列表
如果企業(yè)想要加強(qiáng)網(wǎng)絡(luò)安全,信任列表是控制網(wǎng)絡(luò)流量的好方法。常用做法是為 IP 地址和設(shè)備端口建立信任列表,利用深層數(shù)據(jù)包檢測(cè)技術(shù)精準(zhǔn)控制讀寫(xiě)權(quán)限等網(wǎng)絡(luò)訪問(wèn)行為。
利用網(wǎng)絡(luò)分區(qū)構(gòu)建深度防御
遠(yuǎn)程連接是工業(yè)控制系統(tǒng)的關(guān)鍵組成部分,必須有效管理。同時(shí),內(nèi)部威脅也會(huì)給網(wǎng)絡(luò)帶來(lái)風(fēng)險(xiǎn)。必須采取措施減少遠(yuǎn)程連接和內(nèi)部威脅造成的風(fēng)險(xiǎn)。恰當(dāng)?shù)木W(wǎng)絡(luò)分區(qū)能防止侵害遠(yuǎn)程連接的入侵者和威脅系統(tǒng)安全的內(nèi)部人員訪問(wèn)整個(gè)網(wǎng)絡(luò)。
● 網(wǎng)絡(luò)分區(qū)
網(wǎng)絡(luò)分區(qū)可以防止惡意數(shù)據(jù)在網(wǎng)絡(luò)中橫向移動(dòng)。企業(yè)通常會(huì)在 IT 和 OT 網(wǎng)絡(luò)之間部署防火墻,創(chuàng)建高級(jí)別網(wǎng)絡(luò)分區(qū)。然而,如果網(wǎng)絡(luò)沒(méi)有正確分區(qū),一旦攻擊者獲得用戶憑證,就很有可能有權(quán)訪問(wèn) OT 網(wǎng)絡(luò)及其中的設(shè)備。有許多手段能幫助實(shí)現(xiàn)網(wǎng)絡(luò)分區(qū),部署防火墻就是其中之一。防火墻的優(yōu)勢(shì)之一在于它能幫助管理員為網(wǎng)絡(luò)分區(qū),只有通過(guò)許可的數(shù)據(jù)才能在區(qū)域之間傳輸。此外,利用 IP 地址、經(jīng)授權(quán)訪問(wèn)啟用端口等安全策略和規(guī)則,能將網(wǎng)絡(luò)劃分為更小、更易管理的區(qū)域,確保只有特定數(shù)據(jù)能進(jìn)入網(wǎng)絡(luò)。
● 網(wǎng)絡(luò)微分區(qū)
運(yùn)動(dòng)控制器是工業(yè)控制系統(tǒng)的關(guān)鍵資產(chǎn)之一。如果這些關(guān)鍵資產(chǎn)受到攻擊,企業(yè)生產(chǎn)可能會(huì)陷入停滯,甚至導(dǎo)致威脅人員生命安全等嚴(yán)重?fù)p害。因此,資產(chǎn)所有者應(yīng)部署工業(yè)入侵防御系統(tǒng),將網(wǎng)絡(luò)攻擊影響控制在遭受襲擊的區(qū)域內(nèi),從而保護(hù)關(guān)鍵資產(chǎn)。
此外,持續(xù)監(jiān)控網(wǎng)絡(luò)中用戶和設(shè)備的異常行為能阻止攻擊擴(kuò)散,有利于專(zhuān)業(yè)人員快速恢復(fù)網(wǎng)絡(luò)。
選擇 Moxa 網(wǎng)絡(luò)安全解決方案,筑牢網(wǎng)絡(luò)安全防線
作為 35 年持續(xù)領(lǐng)跑工業(yè)網(wǎng)絡(luò)行業(yè)的先鋒,Moxa 致力于開(kāi)發(fā)安全可靠的網(wǎng)絡(luò)解決方案,主動(dòng)識(shí)別和消除 OT 環(huán)境中的網(wǎng)絡(luò)威脅。Moxa 信守承諾,嚴(yán)格遵守“安全始于設(shè)計(jì)”原則,根據(jù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn) IEC 62443-4-2 開(kāi)發(fā)具備安全功能的網(wǎng)絡(luò)設(shè)備。實(shí)用的安全功能可以幫助企業(yè)建立零信任網(wǎng)絡(luò)。同時(shí),Moxa 利用分布式 OT 入侵系統(tǒng)和具備深層 OT 數(shù)據(jù)包檢測(cè)功能的工業(yè)安全路由器打造深度防御工業(yè)網(wǎng)絡(luò)。