Skip to main content

工业

OT 安全:保护工业 4.0 不受攻击

Published Date
Author Nick Leon Ruiz

OT-安全-0

网络安全是当今每个企业最优先考虑的事情。但是,尽管 IT 安全已有所改善,但用于监视和控制工业流程的运营技术 (OT) 通常处于未受保护的危险状态。在过去数年中,美国网络安全和基础设施安全局 (CISA) 就 OT 系统的漏洞运营技术中的危险设计实践,以及勒索软件对运营技术资产不断攀升的威胁发布了多项公开警告。

随着制造业数字化转型进程的加速,问题只会进一步恶化 — 从而让工业 4.0 成为网络犯罪分子、活跃黑客,甚至是国家军队和情报机构垂涎的目标。新一代的工业安全设备可以为 OT 安全的独特挑战提供一种解决方案。

IT/OT 融合:协同工作还是网络风险?

数字化转型计划让现代工厂充分装备了物联网技术:有大量智能传感器实时收集制造过程中的数据。所以,传统意义上“非智能”的 OT 资产现在能产生大量有用的数据 — 这些数据可以与 IT 网络共享,用于报告、分析和流程优化。

工业 4.0 解决方案的制造商 NEXCOM 产品经理 Calvin Ma 表示,这种 IT 和 OT 网络的融合又称为 IT/OT 融合,其背后的商业逻辑非常清晰。“公司可以更好地控制他们的制造过程。而客户也能看到工厂内部,让他们更好地了解进度和质量,”他解释道。

但除了上述好处外,IT/OT 融合也伴随着巨大的风险。毕竟智能工厂属于在线联网的工厂 — 这会让 OT 网络暴露在攻击之下。这个问题比较严重,由于传统设备根本无法运行安全软件,并且 OT 供应商的安全防护实践也有待商榷,所以大家都知道运营技术是很难保护的。

此外,安全 IT 网络并入 OT 网络本身也会带来一些问题。Ma 说道:“当万物互联时,本来可以在 IT 网络中轻松管控的网络安全事件现在可能会传播到 OT 网络 — 而 OT 网络相对脆弱。”

而不断扩大的 OT 攻击面对制造商来说是无法承受的风险。

为什么 OT 安全如此艰难

除了众所周知的难题外,OT 安全令人惊讶的事实之一是它竟与 IT 安全如此相似。

例如,对 OT 网络的网络威胁反映了 IT 网络所面临的威胁:勒索软件和病毒、黑客和后门软件、蠕虫和僵尸网络。OT 安全的基本解决方案与 IT 网站使用的方法类似:监控网络流量中是否存在可疑数据包,对网络进行分段以便在检测到恶意数据包时加以遏制,并将关键资产置于额外的保护层之后。

那么,为什么 OT 安全性如此有挑战性?

这个问题大部分与 OT 端点的技术局限性有关。Ma 说:“这些系统中有许多在设计时并未考虑到安全性,”,他还补充说工厂中的传统 OT 资产通常在非标准或过时的操作系统上运行,因此“无法在其中安装安全软件”。

另一个挑战源自于工业设施本身的商业文化。对工厂的管理者来说最重要的 KPI 是生产力。而停机往往会耗费昂贵的成本,无论停机的理由多么合理。要说服领导层断开网络以升级安全性 — 或者要求他们实施一套需要在未来定期中断网络进行维护解决方案 — 这笔交易其实很难达成。

这让制造商面临艰难的抉择。是要接受代价高昂的停机时间以尝试提高 OT 安全性,还是全凭运气冒着以后可能全厂停运的风险?

显然,这两种选择都不理想。但是,一种新型的工业安全设施 — 旨在满足工厂需求的坚固、灵活的防火墙设备/具有即插即保护的特点 — 也许是这种困局的一条出路。

减少停机时间的 OT 安全性

NEXCOM 的 Hwa Ya 工厂实施试点很好地说明这个问题。

Hwa Ya 是 NEXCOM 的智能制造试点,也是一个正常生产的工厂。因此,它面临的现场挑战与其他工厂是一样的:

  • 占地面积大,有许多不同类型的设备在一直运行
  • 环境恶劣,高温工作
  • 设备空间狭窄,难以进入,让维护工作变得复杂

为了保障 Hwa Ya 的 OT 网络, NEXCOM 采用了他们自研的 ISA 140 工业安全设施。整个工厂的关键点都部署了多个设备,以建立一个细微分段的 OT 网络。在设备上安装了由 TMRTEK 开发的 eSAF 网络安全软件包,使它们能够像传统端点安全软件在 IT 网络上一样监控和检查 OT 网络流量(视频 1)。

视频 1。ISA 140 用于 OT 网络上的细微分段和数据包检查。(来源:NEXCOM

结果是构建高透明度的安全 OT 网络。可能同样值得关注的是,Hwa Ya 部署展示了在工厂环境下现代 ISA 140 的商业优势。

ISA 140 结构紧凑且易于安装,因此实施不需要代价高昂的停机或大量基础设施升级。安装就绪后,带外 (OOB) 远程管理功能和旁路功能允许 OT 安全人员在不中断网络的情况下维护设备。

Ma 将这些优势归功于 NEXCOM 与英特尔® 的技术​​合作:“我们使用的英特尔凌动® 处理器具有内置的 OOB 能力,让我们开发的功能能够尽量缩短停机时间,且无需扩大我们的电路设计。”

此外,Ma 还提到了英特尔芯片非常适合应对工厂环境下的实际挑战:“CPU 具有高性能、非常可靠且可承受极端温度:是确保工业控制系统 (ICS) 安全性的理想选择。”

工业网络安全的未来

随着制造商转型成工业 4.0 模式,OT 网络面临的威胁很可能会增加。那些居心不良的人与广大企业一样,渴望利用市场机会做他们想做的事情。而现代工业的安全设备将为企业提供一种有效且经济的方式来保护自己。

在未来几年,随着 OT 网络变得更加复杂和多样化,制造商也将能够使用专为不同用例构建的安全设备。Ma 说:“我们将看到 OT 安全专业化的趋势,”他的公司目前正在扩展 ISA 100 系列产品线,以使用专为无线 (ISA 141) 和交换机 (ISA 142) 网络安全设计的设备来增强 OT 网络安全。

“工厂里的所有设备迟早都会归为一个网络。但随着工业安全技术的进步,企业将拥有为他们量身定制且适合各种 OT 场景的解决方案,做到真正的零信任网络 — 确保工业 4.0 未来的安全,” Ma 说道。

 

本文由 insight.tech 的副主编 Christina Cardoza 编辑。