掌握工业网络安全:漏洞管理与检测与响应相结合的意义

最后更新于2023年12月29日(星期五)16:21:22 GMT

写的 Elad Ben-Meir, CEO SCADAfence，霍尼韦尔的一个公司.

在今天的数字时代, 哪里的工业越来越依赖于先进技术, 保护关键基础设施免受网络威胁已变得至关重要. 运营技术(OT)和信息技术(IT)的融合带来了新的效率，但也暴露了漏洞. 本文探讨了漏洞管理和检测与响应(VM/DR)在工业网络安全领域中的关键作用.

工业网络安全概论

在一个相互联系的世界里，网络安全的重要性怎么强调都不为过. 在工业环境中, 网络攻击的后果会超越数据泄露，影响物理安全和运营连续性, 网络安全是重中之重. 本文探讨了VM/DR在加强工业网络安全防御中的重要意义.

工业环境下的漏洞管理与检测响应(VM/DR)

虚拟机/容灾不只是流行语, 但这是一个积极主动的战略，以应对工业组织和他们所雇佣的小人才库所面临的不断发展的网络威胁. 它需要持续的监控, 快速威胁检测, 以及有效的事件响应，同时了解这些技术控制的工业过程. 在工业操作的背景下, VM/DR具有额外的意义，因为它可以保护关键流程免受中断.

工业虚拟机/容灾核心组件

在工业环境中，一个成功的VM/DR程序包括几个关键组成部分:

• 实时威胁监控:这包括持续监视网络流量和系统活动，以发现异常和潜在威胁.
• 事件检测与分析快速识别和彻底分析安全事件对于及时响应和缓解安全事件至关重要.
• 事件响应和补救:有效的应变策略对减少网络事故的影响及迅速恢复正常运作至关重要.

这些组件协同工作，为工业网络威胁提供全面的安全防护.

利用SCADAfence的实时被动威胁监测与Rapid7的 InsightVM and InsightIDR 产品允许检测以工业为重点的威胁, 分析了, 回应, 并及时予以补救.

特定于工业的威胁和漏洞

在工业领域，网络威胁超越了传统的IT问题. 攻击媒介扩展到控制关键过程的工业控制系统(ICS). OT系统特有的漏洞, 例如遗留设备和专有协议, 提出额外的挑战. 了解这些威胁对有效保护至关重要.

工业威胁和脆弱性的前景

工业系统是现代社会的支柱, 控制着从电网到制造过程的一切. 随着连接变得无处不在，这些系统已成为恶意行为者的主要目标.

参考: 根据IBM X-Force的一份报告, 2020年，针对工业系统的攻击增加了2000%以上, 工业部门面临的威胁日益严重.

遗留系统和专有协议

许多工业环境仍然依赖于遗留系统，这些系统在设计时并未考虑到现代网络安全. 这些老化的系统通常运行在专有协议上，这使得它们很容易被利用.

参考: 工业控制系统网络应急响应小组(ICS-CERT)在其年度报告中指出，与遗留系统和专有协议相关的漏洞有所增加.

人为错误和内部威胁

人为失误仍然是工业事故中的一个重要因素. 内部威胁, 无论是有意还是无意, 会在工业环境中造成灾难性后果吗.

参考: 波耐蒙研究所(Ponemon Institute)的一项研究发现，57%的受访工业组织在过去一年中至少经历过一次内部威胁事件.

供应链漏洞

工业系统依赖于一个复杂的供应商和销售商网络. 供应链中的薄弱环节可能会引入被对手利用的漏洞.

参考: The U.S. 网络安全和基础设施安全局(CISA)发布了关于工业控制系统供应链漏洞的警报.

物联网和边缘设备

物联网(IoT)设备和边缘计算的激增扩大了工业环境中的攻击面. 这些设备通常没有得到充分的保护.

参考: 卡巴斯基的一份报告强调，2020年上半年，针对物联网设备的攻击增加了46%, 许多事故影响到工业部门.

针对关键基础设施的勒索软件

勒索软件攻击已经演变成针对关键基础设施的攻击, 扰乱基本服务并索要巨额赎金.

参考: 2021年5月的Colonial Pipeline勒索软件攻击引起了人们对勒索软件对关键基础设施威胁的广泛关注.

与现有工作流/剧本的集成

VM/DR不是一个独立的解决方案，而是对现有工业工作流程和/或剧本的补充. 它弥合了It和OT之间的鸿沟，打破了通常阻碍有效网络安全的竖井. 通过将VM/DR无缝集成到现有流程中, 组织可以增强其快速响应威胁的能力. 拥有关键操作联系点(POC)的详细剧本有助于减少在处理工业流程中的业务和流程中断时的死时间.

在当前组织的工作流程中实施响应和行动计划有助于分析人员更好地在操作措辞中进行沟通，并加速现场的直接补救. 这减轻了IT部门对机密性的需求, 完整性, 和可用性(CIA)，并支持OT对可用性的要求, 完整性, 保密(AIC).

用关键绩效指标(kpi)衡量成功

工业VM/DR的成功可以通过各种kpi来量化:

• 检测时间(TTD):识别威胁的速度
• 响应时间(TTR):事件响应效率
• 事件解决率·缓解努力的有效性

这些kpi为组织的网络安全弹性提供了切实的衡量标准.

IT和OT之间的协作

IT和OT团队之间的协作对工业网络安全至关重要. 虚拟机/容灾是统一的力量, 促进这些传统上独立的领域之间的沟通和协调. 这种合作对于及时发现和减轻威胁至关重要.

合规性和监管考虑

工业组织受各种网络安全法规和标准的约束，例如北美电力可靠性公司关键基础设施保护(NERC CIP). NERC CIP法规遵从性是一套强制性网络安全标准和要求，旨在保护北美电网的关键基础设施.

这些法规是对能源部门面临的日益严重的网络安全威胁的回应. NERC CIP合规性要求电力公司和发电公司建立并维护强大的网络安全计划, 包括访问控制等措施, 事件响应计划, 定期的安全评估. NERC CIP的主要目标是确保电网的可靠运行，同时最大限度地减少网络攻击的脆弱性, 从而保障了家庭电力的持续供应, 企业, 以及整个北美的关键基础设施. 面对不断变化的网络安全威胁，遵守NERC CIP对于维护能源部门的安全性和弹性至关重要.

实现法规遵循治理门户是寻求简化和集中其法规遵循管理工作的组织的战略举措. 这样的门户充当集中式平台，其中遵从性策略, 程序, 文档可以有效地存储, 访问, 和监控. 它促进了法规遵循活动的实时跟踪, 自动化工作流程, 并提供了组织遵守法规要求的全面视图.

这不仅提高了透明度和问责制，而且简化了报告和审计. 遵从性治理门户的实现使组织能够主动管理风险, 确保遵守法规, 并迅速应对与合规相关的挑战, 最终在整个组织中培养一种合规的文化. VM/DR在帮助组织满足合规性需求方面发挥着至关重要的作用, 向监管机构和利益相关者提供保证.

保障未来

面对无情的网络威胁, 掌握工业网络安全不是奢侈品，而是必需品. VM/DR是增强组织防御能力的关键, 保护关键基础设施, 并确保在日益数字化的世界中业务的连续性.

随着数字化转型的继续, 工业虚拟机/容灾代表主动, 自适应, 以合作的方式来保护我们社会的支柱. 现在是工业组织拥抱VM/DR并确保未来安全的时候了.