隨著食品飲料行業對于網絡安全衛生問題的日益重視,人們開始認識到工業控制系統 (ICS) 網絡安全的重要性。過去,網絡基礎設施是我們經常掛在嘴邊的話題,而如今的談論熱點則變成了網絡安全技術和策略。但是我們如何才能有效實現網絡安全呢?
這個問題還要從二三十年前說起,在先進的專有技術產生之后,食品飲料行業立即便將其應用到了產品生產中。由于當時的系統既封閉又孤立,因此網絡安全并未成為人們真正關心的問題。
然而在過去的十年間,隨著 ICS 和以太網連接設備在生產中的大量應用,生產率、質量、合規性和上市速度均得到了大幅改善。同時,既有系統之間以及既有系統與新系統之間的連接也得到了簡化。這種開放式的原生以太網通信帶來了更大的網絡風險和新的問題,即如何對既有系統修補程序進行管理。
近期,美國食品保護與防御研究所發布了一份報告,詳細介紹了這種過時的既有設備如何使您的運營暴露于惡意攻擊的風險之下。這種攻擊可能會導致業務中斷、設備受損,以及工人和產品的安全受到侵害。實施全面的網絡安全計劃已成為企業的當務之急,而補丁管理流程則是其中至關重要的一環。
如果您不了解情況,修補將無從談起
人們認識到建立資產庫存不失為一種可行的方案,也許您已經在內部嘗試了這一做法,甚至已經想到尋求一些外部幫助。但是要想面面俱到,對所有情況了如指掌絕非易事,很多公司仍然處在不斷完善的過程中。
您可以通過兩種方式對庫存進行管理,同時為 ICS 網絡安全計劃的實施打下良好的基礎,這兩種方法都非常重要,缺一不可。
電子檢查工具能夠掃描網絡并自動識別資產,從而為您的工作帶來極大的便利。
手動識別則能夠查缺補漏,但需要工作人員親自巡視,打開面板確認并核實實際庫存情況。
應確保對所有位置都同時運用這兩種方法。如果您只對 10 個站點中的 9 個實施了完整方法,那么被忽略的那個站點無疑會成為漏洞所在。
制定全面的修補策略
完成庫存盤點之后,您可能會列出一長串需要處理的資產。慶幸的是,并不是所有資產都具有同等重要的價值。您接下來要做的是執行風險分析,根據資產的重要性、風險暴露程度、壽命、預期風險等標準來確定需要優先修補的資產。有些資產甚至都不在網絡中,風險自然無從談起。
您需要處理兩種修補程序:
操作系統 (OS) 修補現已成為 IT 部門的一項常規工作,例如“Microsoft 周二補丁日”的存在時間已經超過了15 年。您必須排定工廠基層的計劃內停機時間,以完成 OS 修補,從而盡可能避免運營中斷。在許多情況下,可通過積極的 IT/OT 協作解決這一問題。
應用程序級修補是需要管理的另一項工作。有時,您可能需要管理來自不同供應商的數百個應用程序,而這些應用程序的修補程序也不盡相同。因此,您需要在供應商的網站上找到相應的修補程序,了解這些修補程序可以修補哪些漏洞,以及是否有使用的必要。
由于每個應用程序有著不同的配置,因此在應用程序層進行修補可以保證測試標準的穩妥性和一致性。在工廠基層實施之前,應首先在實驗室環境中進行測試,避免可引發生產意外中斷的風險。
一種系統化的補丁管理方法
“聽天由命”的方法在整個食品飲料行業都很普遍。之所以會出現這一情況,不是因為所做的努力不夠多,而是因為缺少正確的資源和專業知識。這個行業中的響應方式通常都十分被動。工廠只有在收到高優先級修補程序通知時才會做出響應,而且需要在周末停機狀態下才能完成修補。
處理過程通常是:
運營部門需要 IT 來幫助管理 OT 修補程序。
IT 于是參與其中,但由于缺少 ICS 專業知識或資源,無法管理獨特的要求和約束。
于是,他們會尋求混合型 IT/OT 資源的幫助,或者外包給羅克韋爾自動化或其他公司,而后者是更為普遍的做法。
如果工作需經由第三方協助完成,則需要尋找熟諳運營之道的合作伙伴。一個明顯的判定標準便是他們的服務級別協議(SLA) 響應時間。傳統 IT 提供商的響應時間通常需要以小時來衡量。在消費品生產中,數小時的停機時間可能意味著數百萬美元的損失。以分鐘作為衡量單位的 SLA 無疑對運營更為有利。
ICS 網絡安全意義重大
補丁管理是啟動和運行安全運營中心 (SOC) 的第一步。SOC 可以通過儀表板讓您全面了解安全狀況,提供災難恢復策略,并確保互聯工廠實現最佳運營狀態。
此外,您還可以使用經過專門設計的解決方案來提供端點保護或“白名單”。盡管這些解決方案并不能完全消除對修補程序的需求,但它們能夠在您制定修補策略時提供有效保護,為您爭取時間。
我們必須認識到一個事實,那就是網絡安全不可能一蹴而就,我們需要實現縱深防御。面對眾多風險,您需要考慮的將不再只是底線問題(例如食物和員工安全),單憑被動響應已遠遠不夠,抱有僥幸心理更是不可取。如果您在啟動網絡安全計劃時需要幫助,或者希望將計劃提升至更高水平,可隨時與我們聯系,我們將竭誠為您服務。
共0條 [查看全部] 網友評論