可以使用五個階段來保護工業(yè)網(wǎng)絡(luò),首先是實施工業(yè)控制系統(tǒng)的縱深防御策略。這些階段(發(fā)現(xiàn)、評估、行動、監(jiān)控和維護)創(chuàng)建了路線圖和詳細清單,以保持別的安全性。
2015 年,黑色能源木馬襲擊了烏克蘭西部的伊萬諾-弗蘭科夫斯克電站,導(dǎo)致 80,000 戶家庭斷電。該漏洞是通過魚叉式網(wǎng)絡(luò)釣魚電子郵件發(fā)送的,偽裝成烏克蘭議會的 Microsoft Office 附件,并且能夠刪除關(guān)鍵系統(tǒng)文件,特別是破壞工業(yè)系統(tǒng)。
隨著惡意軟件爆發(fā)的頻率越來越高,能源、化工、石油和天然氣等工業(yè)控制系統(tǒng) (ICS) 以及其他制造市場的網(wǎng)絡(luò)安全已成為一個緊迫的問題。數(shù)字世界中的惡意攻擊會損害物理世界中的人和設(shè)備的想法有點發(fā)人深省。
根據(jù)卡巴斯基實驗室進行的一項廣泛而詳細的研究,威脅只會增加,近 40% 的工業(yè)計算機在 2016 年下半年遭受了網(wǎng)絡(luò)攻擊。
要阻止專門為利用已建立工廠和工廠中的所有漏洞和間隙而制造的東西,將需要比普通防火墻更多的時間。隨著新的智能制造技術(shù)和工業(yè)物聯(lián)網(wǎng) (IIoT) 的日益普及,弄清楚網(wǎng)絡(luò)到底發(fā)生了什么似乎更令人頭疼,更不用說保護它了。
與其信任一個非常非常強大的防火墻(并希望它能夠抵御各種攻擊),關(guān)鍵是建立一個多層、多策略的防御系統(tǒng),可以防止來自許多不同方面的安全漏洞,以及減慢攻擊者的速度,為您爭取時間做出反應(yīng)和反擊。
縱深防御是眾所周知的網(wǎng)絡(luò)安全理念,美國國土安全部和眾多國家組織已發(fā)布出版物,詳細介紹了推薦的 ICS 安全計劃和架構(gòu)。
基于縱深防御模型和我們在 ICS 網(wǎng)絡(luò)方面的豐富實踐經(jīng)驗,我們?yōu)榭刂葡到y(tǒng)工程師或負責(zé)管理網(wǎng)絡(luò)安全的主管匯總了一系列非常實用的操作項目。本白皮書的目標(biāo)是向您展示您現(xiàn)在可以解決的容易實現(xiàn)的目標(biāo)(以及一些容易實現(xiàn)的目標(biāo)),以加強您的 ICS。
你無法保護你不了解的東西,所以創(chuàng)建防御系統(tǒng)的步就是把所有東西都映射出來。在開始之前確保所有文檔都是新的,并查看網(wǎng)絡(luò)圖以研究整個系統(tǒng)。
準(zhǔn)確了解當(dāng)前環(huán)境中運行的內(nèi)容,例如網(wǎng)絡(luò)設(shè)備交換機、路由器、服務(wù)器、PLC、OIT 的 VFD 和其他工廠以太網(wǎng)設(shè)備。這還包括軟件組件,例如防火墻和訪問網(wǎng)絡(luò)的應(yīng)用程序。了解您的硬件固件和軟件補丁是否是新的,甚至是否可以升級。供應(yīng)商可能不再積極支持某些較舊的產(chǎn)品,這可能會留下安全漏洞。
由于我們的目標(biāo)之一是堵住墻上的任何漏洞,因此您需要能夠區(qū)分什么是數(shù)據(jù)流的必要路徑(例如,發(fā)送數(shù)據(jù)用于報告目的)與什么是不必要的差距(例如,不再需要后門訪問的舊設(shè)備)。
通過了解系統(tǒng)的目的及其終產(chǎn)品,您可以決定應(yīng)該發(fā)生哪些數(shù)據(jù)流以及允許哪些設(shè)備進行通信以實現(xiàn)總體目標(biāo)。
我司產(chǎn)品廣泛應(yīng)用于數(shù)控機械 冶金,石油天然氣,石油化工,
化工,造紙印刷,紡織印染,機械,電子制造,汽車制造,
塑膠機械,電力,水利,水處理/環(huán)保,市政工程,鍋爐供暖,能源,輸配電。You can’t protect what you don’t understand, so the first step to creating a defense system is to map everything out. Make sure all your documentation is up-to-date before you get started, and look at the network diagrams to study the system as a whole.
Know exactly what is running in your current environment, such as network devices switches, routers, servers, PLC’s, OIT’s VFD’s, and other plant Ethernet devices. This also includes software components, like firewalls and applications accessing the network. Find out if your hardware firmware and software patches are up-to- date and if they can even be upgraded. Some older products may no longer be actively supported by the vendors, which can leave security weaknesses.
Since one of our goals is to plug up any holes in our wall, you’ll need to be able to tell what is a necessary pathway for data flow (e.g., sending data for reporting purposes) versus what is an unnecessary gap (e.g., an old device with backdoor access that is no longer needed).
By understanding the system’s purpose and its end product, you can then decide what data flow should be occurring and what devices are allowed to communicate in order accomplish the overall goal.