可以使用五個階段來保護工業(yè)網絡,首先是實施工業(yè)控制系統(tǒng)的縱深防御策略。這些階段(發(fā)現、評估、行動、監(jiān)控和維護)創(chuàng)建了路線圖和詳細清單,以保持別的安全性。
2015 年,黑色能源木馬襲擊了烏克蘭西部的伊萬諾-弗蘭科夫斯克電站,導致 80,000 戶家庭斷電。該漏洞是通過魚叉式網絡釣魚電子郵件發(fā)送的,偽裝成烏克蘭議會的 Microsoft Office 附件,并且能夠刪除關鍵系統(tǒng)文件,特別是破壞工業(yè)系統(tǒng)。
隨著惡意軟件爆發(fā)的頻率越來越高,能源、化工、石油和天然氣等工業(yè)控制系統(tǒng) (ICS) 以及其他制造市場的網絡安全已成為一個緊迫的問題。數字世界中的惡意攻擊會損害物理世界中的人和設備的想法有點發(fā)人深省。
根據卡巴斯基實驗室進行的一項廣泛而詳細的研究,威脅只會增加,近 40% 的工業(yè)計算機在 2016 年下半年遭受了網絡攻擊。
要阻止專門為利用已建立工廠和工廠中的所有漏洞和間隙而制造的東西,將需要比普通防火墻更多的時間。隨著新的智能制造技術和工業(yè)物聯網 (IIoT) 的日益普及,弄清楚網絡到底發(fā)生了什么似乎更令人頭疼,更不用說保護它了。
與其信任一個非常非常強大的防火墻(并希望它能夠抵御各種攻擊),關鍵是建立一個多層、多策略的防御系統(tǒng),可以防止來自許多不同方面的安全漏洞,以及減慢攻擊者的速度,為您爭取時間做出反應和反擊。
縱深防御是眾所周知的網絡安全理念,美國國土安全部和眾多國家組織已發(fā)布出版物,詳細介紹了推薦的 ICS 安全計劃和架構。
基于縱深防御模型和我們在 ICS 網絡方面的豐富實踐經驗,我們?yōu)榭刂葡到y(tǒng)工程師或負責管理網絡安全的主管匯總了一系列非常實用的操作項目。本白皮書的目標是向您展示您現在可以解決的容易實現的目標(以及一些容易實現的目標),以加強您的 ICS。
你無法保護你不了解的東西,所以創(chuàng)建防御系統(tǒng)的步就是把所有東西都映射出來。在開始之前確保所有文檔都是新的,并查看網絡圖以研究整個系統(tǒng)。
準確了解當前環(huán)境中運行的內容,例如網絡設備交換機、路由器、服務器、PLC、OIT 的 VFD 和其他工廠以太網設備。這還包括軟件組件,例如防火墻和訪問網絡的應用程序。了解您的硬件固件和軟件補丁是否是新的,甚至是否可以升級。供應商可能不再積極支持某些較舊的產品,這可能會留下安全漏洞。
由于我們的目標之一是堵住墻上的任何漏洞,因此您需要能夠區(qū)分什么是數據流的必要路徑(例如,發(fā)送數據用于報告目的)與什么是不必要的差距(例如,不再需要后門訪問的舊設備)。
通過了解系統(tǒng)的目的及其終產品,您可以決定應該發(fā)生哪些數據流以及允許哪些設備進行通信以實現總體目標。
我司產品廣泛應用于數控機械 冶金,石油天然氣,石油化工,
化工,造紙印刷,紡織印染,機械,電子制造,汽車制造,
塑膠機械,電力,水利,水處理/環(huán)保,市政工程,鍋爐供暖,能源,輸配電。You can’t protect what you don’t understand, so the first step to creating a defense system is to map everything out. Make sure all your documentation is up-to-date before you get started, and look at the network diagrams to study the system as a whole.
Know exactly what is running in your current environment, such as network devices switches, routers, servers, PLC’s, OIT’s VFD’s, and other plant Ethernet devices. This also includes software components, like firewalls and applications accessing the network. Find out if your hardware firmware and software patches are up-to- date and if they can even be upgraded. Some older products may no longer be actively supported by the vendors, which can leave security weaknesses.
Since one of our goals is to plug up any holes in our wall, you’ll need to be able to tell what is a necessary pathway for data flow (e.g., sending data for reporting purposes) versus what is an unnecessary gap (e.g., an old device with backdoor access that is no longer needed).
By understanding the system’s purpose and its end product, you can then decide what data flow should be occurring and what devices are allowed to communicate in order accomplish the overall goal.