隨著數(shù)字技術(shù)、工業(yè)4.0和工業(yè)物聯(lián)網(wǎng)的出現(xiàn)，它們?yōu)榫W(wǎng)絡(luò)風(fēng)險(xiǎn)帶來了新的復(fù)雜性。

聽到“網(wǎng)絡(luò)安全”這個詞就足以讓一些工業(yè)網(wǎng)絡(luò)工程師轉(zhuǎn)向并以另一種方式運(yùn)行，但這并不一定像看起來那樣令人生畏。

與任何事情一樣，當(dāng)涉及到網(wǎng)絡(luò)安全時(shí)，企業(yè)必須從某個地方開始。在當(dāng)今的環(huán)境中，人們認(rèn)為第一步是安全意識。許多工廠沒有意識到當(dāng)他們的運(yùn)營技術(shù)（OT）網(wǎng)絡(luò)和設(shè)備不安全時(shí)會發(fā)生什么。網(wǎng)絡(luò)安全通常被認(rèn)為是事后的想法，或者在潛在的災(zāi)難性事件發(fā)生之前根本不考慮。

在對567名制造行業(yè)人士進(jìn)行調(diào)查之后，安全服務(wù)商Morphisec公司在發(fā)布的調(diào)查報(bào)告中聲稱，在過去一年中，五分之一的制造工廠成為網(wǎng)絡(luò)攻擊的目標(biāo)（這一估計(jì)可能是保守的，因?yàn)椴⒎撬袉T工都意識到他們的公司何時(shí)遭受網(wǎng)絡(luò)攻擊）。NTT公司的一份調(diào)查報(bào)告表明，2020年針對制造行業(yè)的全球性網(wǎng)絡(luò)攻擊增加了300%。

換句話說，對于工業(yè)環(huán)境來說，現(xiàn)在是集中注意力的最佳時(shí)機(jī)。網(wǎng)絡(luò)安全問題并不總是惡意破壞或惡意軟件的結(jié)果。它們也可能是由人為錯誤造成的。例如，一名工作人員帶著自己的個人筆記本電腦在企業(yè)工作并將其插入網(wǎng)絡(luò)端口，并在無意中損壞了設(shè)備并導(dǎo)致停機(jī)。

當(dāng)企業(yè)設(shè)計(jì)一個新的工業(yè)網(wǎng)絡(luò)時(shí)，有機(jī)會采取積極主動的方法，讓網(wǎng)絡(luò)安全成為每個決策的一部分：采用縱深防御保護(hù)、提前規(guī)劃工業(yè)物聯(lián)網(wǎng)等。

但是因?yàn)槠髽I(yè)的工業(yè)網(wǎng)絡(luò)可能已經(jīng)存在，所以現(xiàn)在需要保護(hù)其所擁有的一切。在許多情況下，工業(yè)網(wǎng)絡(luò)是在幾十年前設(shè)計(jì)和建造的，早在網(wǎng)絡(luò)安全成為一個因素之前。企業(yè)如何采用最初設(shè)計(jì)時(shí)未考慮防御的東西并進(jìn)行更改以確保安全？

通過網(wǎng)絡(luò)評估獲得可見性

一旦企業(yè)意識到網(wǎng)絡(luò)安全值得關(guān)注，一個良好的起點(diǎn)就是簡單的網(wǎng)絡(luò)評估。這需要對運(yùn)營技術(shù)（OT）網(wǎng)絡(luò)進(jìn)行全面了解，以查明與其連接的每個設(shè)備：機(jī)器、傳感器、控制器、驅(qū)動器、攝像頭、交換機(jī)等。在采取任何行動之前，企業(yè)必須了解工廠中的設(shè)備。如果不了解某個設(shè)備，那么將無法采取任何措施來保護(hù)它。

在通過這一評估過程獲得可見性之后，大多數(shù)工廠都會驚訝地發(fā)現(xiàn)他們不知道的設(shè)備和訪問位于他們的網(wǎng)絡(luò)上，即使他們認(rèn)為知道這一切。

一旦掌握了這一點(diǎn)，企業(yè)就可以確定設(shè)備的使用方式。從那里可以建立一個基線，以便通過隨著時(shí)間的推移監(jiān)控和測量每個設(shè)備來跟蹤變化，包括潛在的漏洞。

基本工業(yè)網(wǎng)絡(luò)安全的三個最佳實(shí)踐

除了進(jìn)行網(wǎng)絡(luò)評估之外，企業(yè)還可以采取一些其他做法來朝著正確的方向前進(jìn)：實(shí)施被動發(fā)現(xiàn)、制定縱深防御策略和分割網(wǎng)絡(luò)。

（1）被動發(fā)現(xiàn)

被動發(fā)現(xiàn)可以通過持續(xù)掃描以識別IP地址來幫助企業(yè)發(fā)現(xiàn)網(wǎng)絡(luò)上的新未知設(shè)備，而不會產(chǎn)生額外的流量或延遲。這可以幫助檢測在發(fā)現(xiàn)期間傳輸或接收通信的未經(jīng)授權(quán)或惡意設(shè)備。

從那里，可以進(jìn)行一些調(diào)查，以確定這些設(shè)備是什么，以及它們是否會造成麻煩。

（2）縱深防御策略

盡管保護(hù)企業(yè)的工業(yè)網(wǎng)絡(luò)與保護(hù)其IT網(wǎng)絡(luò)同樣重要，但不能期望其IT部門了解工業(yè)協(xié)議和網(wǎng)絡(luò)設(shè)計(jì)的復(fù)雜性。他們可能管理數(shù)字信息流，但可能不了解工業(yè)流程和用于執(zhí)行這些流程的機(jī)器。

當(dāng)IT團(tuán)隊(duì)被迫管理OT網(wǎng)絡(luò)時(shí)，經(jīng)?？吹剿麄冊诰W(wǎng)絡(luò)邊緣放置一個設(shè)備，以將工廠網(wǎng)絡(luò)的控制與業(yè)務(wù)網(wǎng)絡(luò)分開，然后收工。但這使得工業(yè)網(wǎng)絡(luò)沒有縱深防御策略。

縱深防御策略是一種分層的網(wǎng)絡(luò)安全方法，可以保護(hù)有價(jià)值的數(shù)據(jù)并防止下游的所有內(nèi)容在存在威脅時(shí)受到影響。例如，在與負(fù)責(zé)SCADA網(wǎng)絡(luò)的工廠經(jīng)理合作以準(zhǔn)確了解從機(jī)器人單元到PLC再到HMI再到各種工業(yè)設(shè)備需要什么，然后可以確定從A點(diǎn)到另一點(diǎn)移動數(shù)據(jù)所需的最低限度B.如果某些東西不符合這些標(biāo)準(zhǔn)，那么它將無法通過。

（3）網(wǎng)絡(luò)分段

因?yàn)楣I(yè)環(huán)境需要保護(hù)很多東西（OT設(shè)備、控制系統(tǒng)、其他網(wǎng)絡(luò)設(shè)備等），所以網(wǎng)絡(luò)分段可以幫助提高安全性。

通過將網(wǎng)絡(luò)劃分為不同的段或組件，可以將訪問和流量僅限于所需的通信和用戶。這有助于防止可能試圖在整個網(wǎng)絡(luò)中策劃攻擊的不良行為者進(jìn)行橫向移動。如果網(wǎng)絡(luò)攻擊發(fā)生在網(wǎng)絡(luò)的一個網(wǎng)段上，那么其他網(wǎng)段將不會受到影響。

例如，網(wǎng)絡(luò)分段可以在物理/邏輯上將OT網(wǎng)絡(luò)與內(nèi)部和外部的其他網(wǎng)絡(luò)分開。在企業(yè)和工業(yè)“區(qū)域”之間建立這種屏障意味著可以安全地共享數(shù)據(jù)而無需越過該屏障。

企業(yè)需要開始網(wǎng)絡(luò)安全之旅

很快就會發(fā)現(xiàn)網(wǎng)絡(luò)安全不是目的地，而是一段旅程。改善網(wǎng)絡(luò)衛(wèi)生是一個持續(xù)的過程。隨著制造工廠面臨的威脅發(fā)生變化，企業(yè)的安全策略也必須改變。專家指出，未來最大的工業(yè)網(wǎng)絡(luò)威脅包括勒索軟件和供應(yīng)鏈攻擊。而在一兩年前，最重要的威脅可能有所不同。

互聯(lián)網(wǎng)安全中心(CIS)對于需要網(wǎng)絡(luò)安全起點(diǎn)的工業(yè)工廠來說也是一個有用的資源。它提供了很多推薦的分步操作來防止網(wǎng)絡(luò)攻擊，從資產(chǎn)的庫存和控制開始，到驗(yàn)證安全性的滲透測試結(jié)束。

企業(yè)的專家團(tuán)隊(duì)知道如何連接和保護(hù)制造工廠和工業(yè)網(wǎng)絡(luò)，提供業(yè)界最完整的端到端網(wǎng)絡(luò)解決方案套件，可以幫助企業(yè)重新設(shè)計(jì)和改造網(wǎng)絡(luò)。而值得信賴的顧問通過同時(shí)提高效率、敏捷性、可持續(xù)性、安全性和安保來幫助企業(yè)建立更好的業(yè)務(wù)成果。