盡管在外圍安全上花費了數(shù)百萬美元，但網(wǎng)絡(luò)攻擊者針對制造企業(yè)和加工廠的攻擊仍然達到了創(chuàng)紀錄的水平。通過將“零信任”作為2023年的優(yōu)先事項，制造商可以縮小IT和OT(運營技術(shù))缺口，以最大限度地減少攻擊。

IBM的《2022年X-Force威脅情報報告》顯示，在2021年前9個月，攻擊者對連網(wǎng)的SCADA網(wǎng)絡(luò)設(shè)備和傳感器的偵察增加了2204%。預(yù)計到2023年，OT網(wǎng)絡(luò)攻擊造成的全球經(jīng)濟損失將達到500億美元。到2026年，超過一半的網(wǎng)絡(luò)攻擊將針對零信任控制無法覆蓋或無法緩解的領(lǐng)域。

今年早些時候，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)警告稱，高級持續(xù)威脅(APT)犯罪團伙的目標是許多最流行的工業(yè)控制系統(tǒng)(ICS)和SCADA設(shè)備。由于新的端點技術(shù)(包括物聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)和用于提供實時數(shù)據(jù)的遙感設(shè)備)的快速增長，制造商的漏洞正變得越來越廣為人知。

ICS傳感器的設(shè)計不是為了保護數(shù)據(jù)，而是為了簡化數(shù)據(jù)捕獲過程。這是在當今制造業(yè)中實現(xiàn)零信任網(wǎng)絡(luò)架構(gòu)(ZTNA)框架和策略的挑戰(zhàn)之一。

制造業(yè)是威脅增長最快的領(lǐng)域

在IBM X-Force威脅管理平臺修復(fù)的所有攻擊中，有23%源自制造業(yè)。根據(jù)該公司的分析，這使得制造業(yè)成為受攻擊最嚴重的行業(yè)，并在2021年首次取代金融服務(wù)業(yè)，位列威脅榜首。IT和OT間的缺口對于網(wǎng)絡(luò)攻擊極具吸引力，61%的入侵和泄露事件發(fā)生在基于OT的制造商身上。超過三分之二(36%)的針對制造商的攻擊是通過勒索軟件發(fā)起的。

令人擔憂的是，針對制造商和ICS設(shè)備的攻擊潮流正在以非?？斓乃俣仍鲩L。例如，卡巴斯基ICS CERT發(fā)現(xiàn)，僅在2022年上半年，全球三分之一的ICS計算機就攔截過至少一次惡意對象。在同一時期，ICS-CERT發(fā)布了560個常見漏洞和暴露(CVE)，其中303個是在今年上半年引入的。關(guān)鍵制造業(yè)是受影響最直接的行業(yè)，報告了109個CVE。

經(jīng)歷一次網(wǎng)絡(luò)攻擊后，制造商的系統(tǒng)平均會癱瘓五天。其中，50%在三天內(nèi)響應(yīng)中斷，僅有15%在一天或更短時間內(nèi)響應(yīng)。BlastWave聯(lián)合創(chuàng)始人兼首席執(zhí)行官Tom Sego表示，“制造業(yè)的生死取決于可用性。IT大概是三到五年的技術(shù)更新周期，而OT的更新周期更像是30年。大多數(shù)人機界面(HMI)和其他系統(tǒng)運行的都是Windows或SCADA系統(tǒng)版本，這些系統(tǒng)不再受支持，無法打補丁，是黑客癱瘓制造業(yè)務(wù)的完美選項?！?/p>

為什么在制造業(yè)中很難實現(xiàn)零信任

制造商正在迅速增加端點，暴露威脅面，并不斷擴展“使用不受保護的第三方設(shè)備的”合作伙伴生態(tài)系統(tǒng)。基于邊界的網(wǎng)絡(luò)安全系統(tǒng)已被證實不夠有效和靈活，無法跟上快速發(fā)展的威脅格局。再加上在ICS上實現(xiàn)ZTNA極具挑戰(zhàn)性，因為ICS的設(shè)計更多的是為了效率、監(jiān)控和報告，而非安全，所以問題也就顯而易見了。

在系統(tǒng)之間配置具有物理間隙的ICS(一種稱為air gapping的技術(shù))不再有效。事實證明，勒索軟件攻擊者可以利用USB驅(qū)動器的氣隙，將系統(tǒng)之間暴露的物理間隙變成攻擊載體。超過三分之一(37%)針對ICS的惡意軟件攻擊是通過USB設(shè)備進行的。勒索軟件攻擊者正在復(fù)制軟件供應(yīng)鏈攻擊的技術(shù)，用常見的合法文件名重新標記可執(zhí)行文件。一旦進入ICS，攻擊者就可以通過網(wǎng)絡(luò)橫向移動，獲取特權(quán)訪問憑證，竊取數(shù)據(jù)并試圖獲得對設(shè)施的控制權(quán)限。

另一個挑戰(zhàn)是，許多傳統(tǒng)傳感器和端點——從可編程邏輯控制器(PLC)到基本的運動和溫度傳感器——都依賴于廣泛的協(xié)議，以至于許多傳統(tǒng)設(shè)備無法分配IP地址。ICS所依賴的傳感器更多地設(shè)計用于低延遲的持續(xù)實時數(shù)據(jù)傳輸，而不是用于支持加密和安全。不出所料，86%的制造商對其ICS系統(tǒng)及其支持的生產(chǎn)流程幾乎沒有可見性。

制造業(yè)的首席信息安全官(CISO)表示，他們的傳統(tǒng)外圍安全網(wǎng)絡(luò)通常對web應(yīng)用程序、瀏覽器會話和第三方硬件缺乏足夠的保護，并且沒有遠程訪問策略選項。開放的端口、配置錯誤的防火墻和不受管理的無線連接滲透在這些網(wǎng)絡(luò)中。再加上缺乏對聯(lián)邦身份和特權(quán)訪問憑證的控制，很明顯，在遺留制造環(huán)境中實現(xiàn)零信任是多么困難。

這些風險負債就是制造業(yè)必須在2023年將實施“ZTNA框架”和采取“零信任安全”態(tài)勢作為高度優(yōu)先事項的原因所在。

制造業(yè)的CISO應(yīng)該從何入手

造成這種現(xiàn)狀的部分原因在于，制造行業(yè)競爭激烈使得安全問題一直落后于其他優(yōu)先事項。在2023年，這種情況必須改變，安全必須成為業(yè)務(wù)的推動者。

BlastWave公司的CISO Tom Sego表示，“接受零信任的公司將獲得競爭優(yōu)勢，并實現(xiàn)遠程能力，從而提高全球供應(yīng)鏈的效率。那些拒絕與時俱進，心存僥幸的公司將會不可避免地陷入網(wǎng)絡(luò)攻擊，從而造成一場本可以避免的生存危機。一小步的預(yù)防抵得上一大步的檢測和補救。”

隨著制造商提高運營速度，他們需要使用零信任來保護web應(yīng)用程序。微分段(Microsegmentation)需要超越將整個生產(chǎn)設(shè)施定義為單個可信區(qū)域的狹隘概念。最重要的是，ZTNA框架需要基于考慮多云配置的可靠業(yè)務(wù)案例。

以下領(lǐng)域是一個實用的ZTNA框架的核心，制造商可以根據(jù)其獨特的業(yè)務(wù)和操作需求進行調(diào)整。

正確實現(xiàn)零信任需要從公司范圍內(nèi)的每個瀏覽器會話開始

由于勞動力、政治和成本的不確定性，制造商有時需要急于將生產(chǎn)轉(zhuǎn)移回國內(nèi)。Web應(yīng)用程序和瀏覽器會話是實現(xiàn)這一目標的關(guān)鍵。遠程瀏覽器隔離(Remote browser isolation，RBI)是必須的，因為這些回遷轉(zhuǎn)移發(fā)生得非?？臁Ｄ繕耸鞘褂昧阈湃蝸肀Ｗo每個web應(yīng)用程序和瀏覽器會話免受入侵和破壞。

制造商正在評估和采用RBI，因為它不會迫使他們對技術(shù)堆棧進行徹底檢查。RBI對瀏覽采取零信任安全方法。領(lǐng)先的RBI提供商包括Broadcom、Forcepoint、Ericom、Iboss、Lookout、NetSkope、Palo Alto Networks和Zscaler。

RBI還被用于保護Office 365和Salesforce等應(yīng)用程序及其包含的數(shù)據(jù)不受潛在惡意非托管設(shè)備(如承包商或合作伙伴使用的設(shè)備)的影響。

Ericom是該領(lǐng)域的領(lǐng)導(dǎo)者，其在保護每個端點免受高級web威脅的同時，保持本機瀏覽器性能和用戶體驗的方法證明了這一點。Ericom的解決方案對于面臨生產(chǎn)回遷的艱巨挑戰(zhàn)的制造商來說是理想的，因為它甚至可以保護Zoom和Microsoft Teams等虛擬會議環(huán)境中的用戶和數(shù)據(jù)。

多因素身份驗證(MFA)是入場籌碼，是完整ZTNA框架的一部分

CISO表示，MFA是入場籌碼，企業(yè)可以利用它為未來的預(yù)算建立強有力的支持。在最近一次題為《展望未來：John Kindervag對2023年零信任的展望》的文章中，零信任創(chuàng)造者John Kindervag在評論MFA時稱，“我們太過依賴MFA了，我們過去稱它是‘雙因素身份認證(2FA)’，現(xiàn)在數(shù)字2換成字母M后，它似乎突然變得新奇而迷人了，但它本質(zhì)都是一樣的。而且，確實，它是一個強大的工具，有助于我們獲取勝利。但與此同時，如果我們只依賴這一點，那將是一個問題?！?/p>

MFA的部署速度需要與其作為ZTNA總體框架的一部分的有效性相平衡。Forrester高級分析師Andrew Hewitt表示，保護端點的最佳起點是“始終圍繞著執(zhí)行多因素身份驗證。這對于確保企業(yè)數(shù)據(jù)的安全大有幫助?！?/p>

為什么制造商也需要微分段

微分割的目的是隔離和孤立特定的網(wǎng)絡(luò)段，以減少攻擊面數(shù)量和限制橫向移動。它是NIST SP 800-27零信任框架定義的零信任的核心要素之一。

制造商正在使用微分段來保護他們最具價值的資產(chǎn)和網(wǎng)絡(luò)部分。他們還使用微分段使承包商、第三方服務(wù)和供應(yīng)鏈供應(yīng)商能夠訪問他們的網(wǎng)絡(luò)。在ZTNA采用方面最先進的制造商最終將使用微分段來取代傳統(tǒng)的軟件定義網(wǎng)絡(luò)(SDN)架構(gòu)。

該領(lǐng)域的主要供應(yīng)商包括Akamai、Airgap Networks、Aqua Security、Cisco、ColorTokens、Illumio、Palo Alto Networks、TrueFort、vArmour、VMware和Zscaler。

端點在ZTNA框架中不可或缺

端點是在制造業(yè)中實現(xiàn)ZTNA框架最具挑戰(zhàn)性的領(lǐng)域，也是最重要的領(lǐng)域。端點是制造業(yè)務(wù)每筆交易的管道，它們經(jīng)常不受保護?；谠频亩它c保護平臺(EPP)是追求ZTNA框架和策略的制造商的理想選擇，因為它們可以更快地部署，并且可以根據(jù)制造業(yè)務(wù)的獨特需求實現(xiàn)個性化定制。

自修復(fù)端點(Self-healing endpoint)在制造業(yè)中至關(guān)重要，因為IT人員經(jīng)常會面臨人手不足的情況。根據(jù)定義，自修復(fù)端點將關(guān)閉自身，重新檢查所有操作系統(tǒng)和應(yīng)用程序版本，包括補丁更新，并將自身重置為優(yōu)化的安全配置。所有這些活動都在沒有人為干預(yù)的情況下進行。Absolute Software、Akamai、CrowdStrike、Ivanti、McAfee、Microsoft 365、Qualys、SentinelOne、Tanium、趨勢科技和Webroot都提供自修復(fù)端點服務(wù)。

Forrester的報告《端點管理的未來》為自修復(fù)端點的未來提供了有用的指導(dǎo)和愿景。其作者Andrew Hewitt寫道，要想最有效地自我修復(fù)，它需要在多個層面上進行，從應(yīng)用程序開始，然后是操作系統(tǒng)，最后是固件。Forrester的報告指出，嵌入在固件中的自修復(fù)將被證明是最重要的，因為它將確保在端點上運行的所有軟件，甚至是在操作系統(tǒng)級別上進行自我修復(fù)的代理，都可以有效地運行而不會中斷。

Hewitt介紹稱，“固件級別的自修復(fù)在許多方面都有幫助。首先，它確保固件中的任何損壞都能自行修復(fù)。其次，它還確保在設(shè)備上運行的代理能夠修復(fù)。例如，假設(shè)在端點上運行一個端點安全代理，該代理以某種方式崩潰或損壞。在這種情況下，固件級別的自修復(fù)可以幫助其快速修復(fù)并重新正常運行?！?/p>

每個身份(無論是人還是機器)都是一道新的安全防線

將每個機器和人的身份視為新的安全邊界，是創(chuàng)建基于零信任的強大安全態(tài)勢的核心。保護身份與制造商通過MFA獲得的早期勝利一樣值得重視。

CISO表示，隨著他們在企業(yè)中采取更強有力的零信任態(tài)勢，他們也在尋求鞏固這種態(tài)勢的技術(shù)堆棧。他們中的許多人追求的目標是找到一個以身份和訪問管理(IAM)為核心的基于云的網(wǎng)絡(luò)安全平臺。事實證明，這是一個很好的決定，因為CIO警告稱，盡早獲得IAM有助于快速加強安全態(tài)勢。

提供集成平臺的領(lǐng)先網(wǎng)絡(luò)安全提供商包括Akamai、Fortinet、Ericom、Ivanti和Palo Alto Networks。

從長遠考慮在制造業(yè)中實現(xiàn)零信任

在制造業(yè)中實現(xiàn)零信任并非一蹴而就的事情。它的重點在于持續(xù)加強整個企業(yè)的安全態(tài)勢。制造商的運營越分散，就越需要使用API的高級集成和技能。

對于被攻擊者盯上的制造商來說，已經(jīng)沒有時間可以浪費了。IT和OT系統(tǒng)中的缺口和開放端口很容易被掃描制造商網(wǎng)絡(luò)的攻擊者識別出來。對于許多制造商來說，遠程訪問服務(wù)根本沒有安全措施。所以，想要保護生產(chǎn)中心、公用事業(yè)和它們所依賴的基礎(chǔ)設(shè)施，還有很多工作要做。

實現(xiàn)ZTNA框架并不需要花費很多錢，也不需要一組完整的工作人員。Gartner的《2022年零信任網(wǎng)絡(luò)接入市場指南》提供了很有價值的參考，可以幫助定義任何ZTNA框架。

隨著每個身份都有一個新的安全邊界，制造商必須在2023年優(yōu)先考慮零信任網(wǎng)絡(luò)架構(gòu)。