投稿
  • 首页 >  人工智能 >  智能制造

    • 派拓网络PANW:2024面向工业4.0的安全制造白皮书-有效确保网络安全的五大方法(23页).pdf

    调研报告网  智能制造 阅读

    定制报告-个性化定制-按需专项定制研究报告

    行业报告、薪酬报告

    联系:400-6363-638

    • 《派拓网络PANW:2024面向工业4.0的安全制造白皮书-有效确保网络安全的五大方法(23页).pdf》由会员分享,可在线阅读,更多相关《派拓网络PANW:2024面向工业4.0的安全制造白皮书-有效确保网络安全的五大方法(23页).pdf(23页珍藏版)》请在本站上搜索。

    1、 面向工业 4.0 的安全制造有效确保网络安全的五大方法作者:Nick BurrowsStrata by Palo Alto Networks|面向工业 4.0 的安全制造对制造商而言,这是一个激动人心且充满挑战的时刻,因为行业在产品的设计、开发、生产和交付方式方面经历了近 250 年来最重大的转变。这种转变由制造业数字化推动,是工业领域发生的第四次革命。第一次工业革命通过水和蒸汽动力实现机械化;第二次工业革命通过电力实现大规模生产和组装流水线;第三次工业革命采用计算机和自动化;第四次工业革命(又称“工业 4.0”)则在第三次工业革命的基础上引入以数据和机器学习为驱动的智能自主系统来增强计算机

    2、和自动化。维护制造组织商业利益的机密性、完整性和可用性所需的工具必须渗透整个组织,但我们认为以下五种主要方法可以满足制造领域对有效网络安全的需求:1.实现 IT/OT 环境的安全统一2.维护制造运营的正常运行3.保护知识产权安全4.检查供应链中的机密性、完整性和可用性5.确保新的市场渠道和客户参与安全本文概述了如何通过在选择、创建和部署安全服务时采用新一代思维来缓解这些风险。2执行摘要Strata by Palo Alto Networks|面向工业 4.0 的安全制造第三次工业革命期间,在全新技术的助力下,引入计算 机和自动化带来了颠覆性的影响。工业 4.0 将计算机、制造系统设备(例如可编

    3、程逻辑控制器 PLC)以及基于云的机器学习功能连接在一起,为无需人工干预即可作出决策的“智能工厂”奠定了基础。ICS/SCADA 系统、物联网(IoT)和迅速发展的 IT 组件的结合使工业 4.0 成为可能,让制造商能够在充满挑战的市场中实现更高的效率、生产率和敏捷性。工业 4.0 还大幅改善了客户体验。然而,对制造商来说,工业 4.0 不仅仅是一条可选路线,更代表了行业的一个成败阶段。21 世纪初,由于未能充分利用“线下和线上”商业模式的激增态势,多家知名零售连锁商倒闭;若不想重蹈零售行业的覆辙,制造商必须迅速采取行动,避免过早消失在历史中。以前需要三到五年才能应对行业变化的组织不会再有如此

    4、宽裕的反应时长,因为同时发生的大量变化正在造成巨大的破坏,令人难以应对。由此产生的“应变间隔”让制造商在多条战线上作战。在着重于数字化转型的同时充分利用工业 4.0 并实现相关优势,则要求改变加强更多传统制造模式的思维。3简介:工业 4.0 如何推动数字化转型Strata by Palo Alto Networks|面向工业 4.0 的安全制造可以这么说,网络安全在 10 年前可能算不上普通制造公司 CEO 的心腹大患。完全隔离的系统、法律协议、员工意识培养以及针对主要运营威胁的保险,都是降低风险的基础。然而,近年来,随着数字化转型需求将制造商推出其舒适区,网络攻击的危险已成为一种新型的重大威

    5、胁载体。制造业成为威胁执行方最针对行业之一毫不奇怪:据英国制造业协会 Make UK 称,48%的制造商曾受过网络安全事件的侵害,其中半数则遭受了经济损失或业务中断。1由于工业 4.0 要求消除传统的“完全隔离”方法(这种方法曾使操作技术(OT)系统因远离互联网而免受攻击),专注于解决这些新威胁的大部分精力都集中在 OT 和信息技术(IT)系统的安全集成上。这是一个重大的挑战,尤其是 OT 和 IT 系统的职责通常分属两个不同的团队,这两个团队之间的协作通常很差。虽然 IT 和 OT 团队之间的距离是必须克服的文化障碍,但 IT 和 OT 系统的安全统一只是难题的一部分。为了恰当保护自己的业务

    6、,制造商必须在维护整个制造企业的机密性、完整性和可用性的情境下审查许多其他 IT 用例。41.“Cyber Security for Manufacturing”,英国制造业协会 Make UK,2019 年 11 月 5 日访问:https:/www.makeuk.org/insights/reports/2019/02/11/cyber-security-for-manufacturing。Strata by Palo Alto Networks|面向工业 4.0 的安全制造52.“Fourth Industrial Revolution:Beacons of Technology and

    7、 Innovation in Manufacturing”,世界经济论坛与麦肯锡公司,2019 年 1 月:http:/www3.weforum.org/docs/WEF_4IR_Beacons_of_Technology_and_Innovation_in_Manufacturing_report_2019.pdf。工业 4.0 模型的核心构成是来自 OT 和 IT 空间的数据和信息的统一。将这些不同的基础架构整合到一起后,工业 4.0 可以为组织提供制造流程各个部分的情报和见解。对于设法做好事情的人来说,这会有显著的成效。有报告显示,将人工智能(AI)纳入工业 4.0 架构,为早期采用者的

    8、现金流带来了高达 122%的改善率。2然而,采用率仍然相对较低,部分原因是操作这些系统的工作通常由两个不太习惯相互交谈的非常不同的团队负责。另一个关键原因(也是习惯于提供整体安全性的 IT 团队与习惯于提供极权主义“完全隔离”战略的 IT 团队之间的一个重要争论点)是网络攻击可能会关闭生产工厂或滥用关键 OT 资产,以及缺乏减轻这种风险的可信机制。对 Stuxnet 和 Duqu 等恶意软件攻击的恐惧进一步加剧了这些担忧,这些攻击在 2010 年至 2012 年间袭击了公用事业行业,对看似安全的工业基础设施造成了物理破坏。虽然这些攻击并非专门针对制造业,但其表明可以通过数字载体进行破坏,从而引

    9、发较长的停机时间,甚至会在严重情况下危及人类性命。在许多情况下,与安全相关的担忧对工业 4.0 产生了负面影响,妨碍了试点项目和生产部署,让它们没有机会成熟并发挥优势。若要保护与工业 4.0 相关的商业利益,则要求保护仅启用 IP 的 OT 资产(例如 PLC、人机界面 HMI 和调试系统)与网络、私有数据中心和云中的相关 IT 应用(如优化平台、先行性维护系统和计算机辅助/增材制造存储库)之间的连接。1.实现 IT/OT 环境的安全统一与安全相关的担忧对工业4.0产生了负面影响,妨碍了试点项目和生产部署,让它们没有机会成熟并发挥优势。Strata by Palo Alto Networks|

    10、面向工业 4.0 的安全制造6零信任的重要性将 OT 和 IT 网络安全地整合在一起的关键,是重新定义特权访问管理的传统方法。制造商需要采用“零信任”方法来保护对组织关键资源的访问,包括本地基础架构、基础架构即服务(IaaS)、容器、大数据和其他现代企业 IT 服务。此外,还必须检测和预防数据泄漏的诱因:特权访问滥用。包括 3M、陶氏化学公司、本田汽车公司和波音公司在内的领先制造商都在采用“零信任”方法,以此保护对其最关键基础架构的特权访问。若使用得当,“零信任”可以极大地增强 NIST SP 800-82 和 BS EN IEC 62443 标准套件中推荐的网络分段类型所提供的功能和保护。“

    11、零信任”支持对统一 OT 和 IT 基础架构进行精细微分段,从而允许基于资产敏感度以及对用户和应用的可视性与控制来实施策略。早在任何高级反恶意软件解决方案发挥作用之前,这便能大幅减小威胁范围。通过对已知和未知威胁进行连续自动扫描来增强功能时,与 OT/IT 统一相关的风险将大大降低,从而为工业 4.0 计划铺平了道路。提供“零新任”的部分优势包括:降低攻击范围和意外网络事件的风险 严格遵守 NIST SP 800-82 和 BS EN IEC 62443 标准 准确识别 ICS/SCADA 网络流量,例如 Modbus、DNP3 和 CIP EtherNet/IP 有效检测并缓解已知和未知威胁

    12、,尝试利用允许的流量 针对传统或未打补丁的 HMI 和控制系统中的已知漏洞进行防护 降低已发生的数据泄露的风险零信任是什么?“零信任”要求对试图访问网络资源的每个人和每台设备执行严格的身份验证,不管用户或设备在网络边界之内还是之外。“零信任”不是一种单一的特定技术,而是一种结合了多项不同原理和技术的综合性网络安全方法。借助最低特权访问方法,只需向用户和设备授予生产运营所需的权限,即可最大限度避免他们接触基础架构的敏感部分。考虑到与工业4.0相关的技术的普及,这就要求提供易于管理的且可在网络、端点和云中实施的精细分段。Strata by Palo Alto Networks|面向工业 4.0 的

    13、安全制造7在 OT 环境中顺畅地实现零信任幸运的是,构建“零信任”架构来确保 IT 和 OT 网络的集成比看起来简单得多。只要准备好合适的安全平台,“零信任”便可增强现有架构,不需要全面改造技术。其可在组织继续使用现有工具和技术时进行迭代部署。消除网络分段昂贵且费时的问题的一种方法是使用 VLAN 插入,即将安全设备逻辑放置于 OT 和 IT 资产之间,无需进行物理重新布线或引入其他交换机。VLAN 插入的优点是连接为逻辑连接,物理连接则保持不变。逻辑连接允许在不修改物理电缆或更改 IP 地址的情况下动态插入或删除设备。在制造环境中,VLAN 插入提供了对网络进行分段的方法,这种方法对工厂流程

    14、几乎没有影响。操作员可以放心地进入流程控制网络和远程站点(即使是多年未接触过的站点),不必担心有人拔错电缆而中断操作。提供有效安全防护不受地点和时间限制请注意,建议慎重选择用于实现“零信任”的工具。如前所述,工业 4.0 包含了 IT 和 OT 领域的最新技术,因此,交付的安全防护必须高效且完全自动化,并能扩展到私有和公有云基础架构以及物理硬件。合适的解决方案必须能提供多层防御,能在智能制造价值链的每个环节维护机密性、完整性和可用性。观看如何在工业控制系统中构建零信任网段了解更多内容。Strata by Palo Alto Networks|面向工业 4.0 的安全制造82019 年 3 月,

    15、全球最大铝生产商之一的 Norsk Hydro ASA 成为勒索软件攻击的受害者,疫情迫使该公司停止部分生产,并将其他设施切换到手动操作。从长远来看,Norsk Hydro 显然拥有网络保险来帮助克服攻击带来的许多负面影响;但初步数据显示,Extruded Solutions 的外部销量从 2018 年第一季度的 36.2 万吨降至 2019 年第一季度的 33.3 万吨,让该公司在 2019 年第一季度损失高达 4.5 亿挪威克朗(5200 万美元)。这次攻击以及在 2010、2012 和 2017 年分别袭击公用事业行业的更险恶的 Stuxnet、Duqu 和 Triton 攻击(Trit

    16、on 会定期重新露面),进一步凸显了网络安全方法的短板和业界保护部署不足的危险 受网络攻击次数位居第二,仅次于医疗保健业。此外,这表明有效的网络安全策略在提供不间断运营方面与其他更传统的业务连续性准则同样重要,例如弹性供电、灭火和工厂更广泛地抵御自然和人为灾难。如果允许访问和感染 NIST SP 800-82 或 BS EN IEC 62443 分层模型中的设备,针对 ICS/SCADA 应用的恶意软件(以及勒索软件和关键 IT 系统面临的其他威胁)显然能够让制造运营陷入停顿,甚至可能危及人类安全。威胁可能会中断敏感数据或服务的可用性,并迫使公司向攻击者支付费用(或从备份恢复操作)来重新获取访

    17、问权限,这就要求从根本上转向预防。阻止勒索软件攻击的最佳策略是让这些攻击无法侵入到您的组织中。当然,这说起来容易做起来难,一方面是因为组织运营过程所需的应用和服务数量在不断增加,另一方面则是攻击范围也在随之增加。随着威胁执行方的能力不断提高,新攻击出现的速度超过了修复漏洞或安装补丁的速度。因此,组织需要对自己的安全平台进行全面地考量。为了在攻击可能感染制造组织并造成损害之前阻止攻击,必须建立恰当的安全架构,实现从检测到预防的转变。这包括四个关键要素:1.缩小攻击范围2.防御已知威胁3.保护老化和无法打补丁的基础架构4.识别并防御未知威胁2.维护制造运营的正常运行阻止勒索软件攻击的最佳策略是让这

    18、些攻击无法侵入到您的组织中。Strata by Palo Alto Networks|面向工业 4.0 的安全制造9缩小攻击范围为了缩小攻击范围,必须全面了解 OT 和 IT 网络上的流量、跨应用的流量、威胁以及用户行为。可以说,大多数组织都不知道其网络上正在发生的事情,但攻击者很可能清楚并会以此为手段入侵网络。对活动进行分类,既能让制造商就应允许的内容做出正确决定,又能突出显示需要进一步调查的未知事件。利用这种可视性,组织可以采取进一步操作,例如阻截未知流量,识别高级攻击或仅允许包含有效业务目的的应用。借助高度可视性和正确的策略,组织可以应对攻击者用来传播恶意软件的大多数方法。防御已知威胁缩

    19、小攻击范围后,接下来就要着手防御已知威胁。为此,组织需要使用有效方法来阻止已知漏洞、恶意软件以及命令和控制(C2)流量进入网络。在消除已知威胁后,执行攻击的成本就会上升,之后,由于攻击者不得不创造新的恶意软件变种并寻找鲜为人知的漏洞进行新的漏洞利用,这便会削弱攻击者的决心。防止访问已知的恶意 URL 和网络钓鱼 URL 也很重要,以免用户或设备(通过自动更新)在无意中下载恶意有效负载或让凭证被盗。您还需要谨慎地扫描软件即服务(SaaS)应用和公有云存储平台上的已知恶意软件,因为攻击者越来越多地利用这些软件来造成威胁。在扫描中识别出的所有恶意软件和漏洞利用都应受到阻截。在端点中应进行相同的操作来

    20、阻截已知的恶意软件和漏洞利用。保护老化和无法打补丁的基础架构一些关键制造流程依赖于具有不再受支持的操作系统或浏览器的系统。高级网络防护可通过提供基于网络的威胁缓解功能来帮助解决此问题;由于缺乏支持或软件更新,这些威胁无法在端点被阻止。这种方法有助于消除对持续修复漏洞的需求,因为其可在勒索软件、其他恶意软件和未遂漏洞利用等攻击目标设备之前自动识别并阻止它们,对易受攻击的制造业资产的网络攻击进行防御。识别并防御未知威胁在阻截已知的威胁之后,识别并阻截所有未知威胁便成为当务之急,因为攻击者会不断部署新的零日漏洞利用并开发出新的勒索软件变种。第一步涉及检测并分析文件及 URL 中的未知威胁。识别出新文

    21、件时,必须触发、分析并查找恶意行为,以便确定文件或 URL 是否具有恶意。要以防御数百万个新文件和 URL 所需的速度与规模做到这一点,基于云的服务则是有效分析、确定和创建保护的最佳选择。在理想情况下,应尽快将这些保护自动推送到安全基础架构的不同部分,防止攻击得逞。阻止已知和未知威胁的答案不单在网络内部。Strata by Palo Alto Networks|面向工业 4.0 的安全制造实际上,IDC 估计多达 70%的攻击来自端点,3所以端点保护(可以应用之处)是解决难题的关键。虽然可以根据吞吐量、所需解密量等来调整基于网络的专用保护的大小,但端点上的情况并非如此,因此,部署来自不同供应商

    22、的多个单用途点产品的传统方法注定会失败。因软件膨胀导致的有效安全防护缺乏和端点资源大量浪费,打开了通往新一代端点安全解决方案的大门。正如那首老歌所唱的那样,“做什么不重要,重要的是怎么做。”有了端点安全和一般安全,制造商需要信任其所选技术的应对能力。虽然有许多基准可以用来衡量这一点,但广泛涵盖了攻击者战术和技术的 MITRE ATT&CK 框架,则被日益视作最可靠框架和最佳基10准之一,可以用来判断某个解决方案是否值得您信赖。不应轻视为网络和端点安全选择恰当解决方案的重要性,因为端点感染可能会对操作的正常运行时间产生直接且有害的影响。投资安全防护保障当下与未来的安全最后,可以显现工作负载和“服

    23、务器”的平台数量众多,制造商应避免让自己陷入困境。若投资仅受部分平台支持的技术,可能会导致未来缺乏敏捷性和灵活性。恰当的端点安全解决方案应能支持多种端点类型,包括台式电脑、服务器、工业控制系统、虚拟台式电脑基础架构、虚拟机和云工作负载等,足以全面覆盖 Windows、macOS、Linux 和 Android 操作系统。请访问我们的网站,详细了解如何有效提供预防导向型安全方法。阻止已知和未知威胁的答案不单在网络内部。3.“Cybercrime:The Credentials Connection”,IDC,2015 年 12 月 14 日:https:/ by Palo Alto Networ

    24、ks|面向工业 4.0 的安全制造11据估计,在全球私营部门的研发中,制造业占据了 64%。4鉴于这需要大量投资,并且专有数据被盗可能会丧失竞争优势,损害品牌声誉和损失收益,因此制造商面临的最重要威胁之一是丧失知识产权。威胁执行方会试图窃取制造商创造的任何新产品、工艺流程或技术的情报,可能涉及从机密蓝图到秘方再到专有工艺流程的详细信息。竞争对手可以利用这些信息低价销售产品,从而损害原始制造商的业务。除了掌握有价值的信息之外,制造商的 IT 系统传统上受到感染的可能性很大,也是吸引威胁执行方的一个原因。部分原因在于,制造商历来重视保护其 OT 环境,却经常忽视 IT 安全。潜在攻击者知道,制造商

    25、的网络未得到充足保护,而且恰当的网络安全工具和流程可能尚未准备到位。更糟糕的是,他们知道制造商的供应链通常庞大且复杂,存在大量漏洞,使得它们成为发起可迅速在网络中传播并感染多个供应商和企业的攻击的理想环境。许多制造商都受到内部和外部执行方盗窃知识产权的侵害。2018 年,特斯拉一名员工在使用其受信任的访问权限访问公司网络后,更改了特斯拉的制造操作系统,并将特斯拉大量敏感数据导出给第三方。这个例子说明了涉及恶意内部人员的两个可怕情况:泄露宝贵的知识产权和更改关键信息,这是对数据机密性和完整性的攻击。特斯拉数据泄露还凸显了大多数知识产权攻击中的一个重要共同点:使用合法凭证访问和泄露信息。因此,制造

    26、商必须尽其所能做到以下几点:阻止凭证被盗或泄露 了解持有哪些知识产权、其存储位置以及谁有权访问它们 监控访问数据时合法凭据的使用情况,识别用户活动中可能表明授权用户动机发生变化的异常情况3.保护知识产权安全威胁执行方会试图窃取制造商创造的任何新产品、工艺流程或技术的情报,可能涉及从机密蓝图到秘方再到专有工艺流程的详细信息。4.“Facts About Manufacturing”,全美制造商协会,2019 年 11 月 5 日访问:https:/www.nam.org/facts-about-manufacturing。Strata by Palo Alto Networks|面向工业 4.0

    27、 的安全制造12阻止凭证窃取虽然攻击者可以通过多种方式获取用户凭证,但网络钓鱼通常是针对性攻击的首选方法。利用凭证网络钓鱼,攻击者会创建一个看似合法的网站,或重新使用一个合法网站的内容以及一个类似的域名。攻击者通过发送看似由用户认识和信任的个人或组织发送的电子邮件或社交媒体消息来引诱用户访问站点。收集完窃取的凭证后,攻击者可以使用这些凭证来冒充用户,也可以从受攻击的端点组织内部使用它们。掌握了窃取的凭证后,攻击者可以升级访问权限,继而发起下一阶段的攻击。制造商必须尽力阻止攻击者使用以前未知的新凭证网络钓鱼站点来窃取公司凭证。与不断推陈出新的恶意站点列表相比,识别已知的有效站点不失为最佳方法。理

    28、想状态是,如果用户访问已知的业务应用,策略允许用户连接并使用公司凭证进行身份验证。同理,如果站点被认为是恶意站点,那么与站点的所有交互都将立即被阻止。不过,如果该站点既不是业务应用,也不是已知的网络钓鱼站点,则可能不清楚它是恶意的还是良性的。在这种情况下,策略应允许用户访问站点,但要阻截任何尝试提交公司凭证的举动。为了阻止攻击者使用窃取的凭证进行横向移动,组织应该考虑采用网络分段和多重身份验证(MFA)。通过控制访问和实施分段策略,此方法可以有效地压制使用窃取的凭证访问关键内部系统的企图。在网络层执行身份验证策略可避免应用集成问题干扰 MFA 部署,而应用则根本不需要做任何修改。请阅读了解数据

    29、泄露中窃取的凭证所发挥的作用了解更多信息。Strata by Palo Alto Networks|面向工业 4.0 的安全制造13跟踪知识产权大多数组织都难以有效地标记和跟踪关键数据的使用与移动。近年来,由于数据已不再驻留在现代组织中的单一集中位置,这个问题变得更加复杂了。当今的数据分布于多个位置,其中包括许多超出给定组织控制范围的位置。无论数据位于何处,随着数据的移动,IT 组织仍然需要为数据的安全负责。显然,并非所有数据都是一样的。制造商会存储和处理不同类型的数据,包括核心价值数据(如知识产权)、潜在责任数据(如客户私人数据)以及完全良性且不重要的数据。如果组织的数据在本地环境、多云环境

    30、和软件即服务(SaaS)应用中传播,且包含多种可视性和控制级别,深入了解存在的资产以及如何暴露的情境便非常关键。保护多云部署和 SaaS 应用间的数据需要:在动态 SaaS 应用和多云存储部署中进行数据和资产检测。利用机器学习识别敏感数据以实现数据和资产分类。实施包括数据丢失防护(DLP)在内的数据监控,从而确保遵循了安全最佳实践,并利用启发式检测可疑活动。数据防护,自动修复通过数据暴露或威胁插入出现的新风险,确保敏感数据保持私密,并防止由威胁造成的暴露。无缝的用户体验,添加新的安全工具后,使用应用时不会被迫进行额外的步骤或带来明显的延迟。随着使用云平台来实现智能制造和其他计划的比例大幅增加,

    31、制造商必须找到控制在 SaaS 应用和云平台存储中访问及使用知识产权和其他数据集的方法。除了跨云环境自动发现和分类数据外,这些方法还必须使用高级 DLP 技术。凭借对 SaaS 应用和云平台存储中所有用户、文件夹和文件活动的完整可视性,制造商能够快速确定是否存在与数据风险相关或合规性相关的策略违规。请阅读什么是数据丢失防护(DLP)?了解更多内容。Strata by Palo Alto Networks|面向工业 4.0 的安全制造14检测并应对行为异常除了识别、分类和控制对云中敏感数据的访问外,组织还需要找到一种方法来检测用户处理知识产权数据中存在的异常。为了防御内部威胁,制造商必须通过不断

    32、分析用户和设备的行为来检测异常活动;这些活动可能表明存在隐蔽攻击或存在受侵害的设备或用户帐户。同时利用分析技术和缓解方法(该方法会使用来自端点、网络和云的丰富数据),可检测凭证窃取和 DNS 隧道威胁等攻击,而从标准威胁日志或高级网络流量数据中几乎无法识别这些攻击。检测到这些异常后,安全团队需要掌握根本原因的简单易懂的见解以及与警报相关的事件顺序,从而帮助他们准确调查并验证检测到的内容。此方法将警报与事件关联起来,可将要审查的警报数量减少多达 98%,并提供集成了威胁情报详情的攻击的完整信息,大幅缩短了调查时间。此外,如果设备或用户帐户遭到破坏,则必须能迅速将设备或用户从网络中隔离或删除,从而

    33、降低安全团队调查事件时的进一步风险。为了防御内部威胁,制造商必须通过不断分析用户和设备的行为来检测异常活动;这些活动可能表明存在隐蔽攻击或存在受侵害的设备或用户帐户。Strata by Palo Alto Networks|面向工业 4.0 的安全制造15在安全实现工业 4.0 计划、安全地为新商业模式铺路、保护知识产权和最大限度减少网络威胁造成的任何停机时间方面,制造商还有很多事情要做。在解决这些领域中的许多问题时,有必要审查供应链,因为在供应链中,组织的安全防护能力取决于最薄弱的那一环。受侵害信息(或由于供应链违反机密性、完整性或可用性而导致及时访问这些信息)可能与直接攻击一样具有破坏性。

    34、虽然供应链攻击在全球总体攻击中只占很小的比例,但其破坏性通常却最强。以 2017 年的 NotPetya 勒索软件攻击为例,该攻击通过受侵害的会计软件更新服务将武器化的“更新”传递到端点,感染了全球各地组织中的设备。破坏合法的软件更新并将其用作传播机制是利用可追溯到主要目标的信任链的巧妙方法,这表明高级攻击者进行了仔细的操作规划和定位。虽然网络安全界有许多人在争论是谁发动了这次攻击,但正好凸显了组织需要关注整个供应链(而不仅仅是那些显而易见的领域)所面临的风险。最近,100 多家汽车制造商的敏感文件被曝光在一台属于工业自动化供应商 Level One Robotics 的可公开访问的服务器上。

    35、通过 rsync(一种用于备份大型数据集的文件传输协议),该漏洞暴露了 157 GB 的数据 10 年来的装配线原理图、工厂布局、机器人配置和文档、身份牌申请表、VPN 访问申请表等。5过去研究过供应链安全的人可能都不会感到意外,因为组织通常仅根据合同规模而关注有限数量的供应商的信息风险。这种方法却存在三个问题。首先,通常会忽视其他构成风险的合同,例如律师事务所。其次,对于合同太多而无法予以个别对待的组织而言,其不具有扩展性。再者,供应商经常与自己的供应商共享信息,后者又与他们的供应商共享这些信息,以此类推,风险便随着可视性和控制力的下降而增加。当确定了制造系统的总体机密性、完整性和可用性的风

    36、险时,制造商需要补充现有工作来获得保证。安全防护是先进制造的一个重要方面,制造商需要解决这一问题,4.检查供应链中的机密性、完整性和可用性受侵害信息(或由于供应链违反机密性、完整性或可用性而导致及时访问这些信息)可能与直接攻击一样具有破坏性。5.“Data breach exposes trade secrets of carmakers GM,Ford,Tesla,Toyota”,TechCrunch,2018 年 7 月 20 日:https:/www.nam.org/facts-about-manufacturing。Strata by Palo Alto Networks|面向工业 4

    37、.0 的安全制造16才能在网络化、多供应商以及基于云的环境中安全地运作(独自运作或与其他制造商合作)。两家公司共享数据时,总是存在潜在风险,当连接的一方不太安全或由第三方处理数据时尤其如此。依赖于数据共享的环境必须能够检测、防御威胁并向安全分析师提供相应情境,以便他们更好地管理网络攻击。然而,环境并不是全部内容:企业对企业(B2B)或供应商应用之间的数据接口和连接本身就可能会成为漏洞点。供应链中的可视性和控制,依赖于通过所有者管理的可信赖方式,与供应链合作伙伴安全地共享有价值的信息资产。理想状态是,应事先准备好安全环境,以便在其中共享关键数据以及用于收集、分析和响应安全事件的协议,并且能够在其

    38、中提供可适应当前和未来需求的灵活性和可扩展性。此外,预先配置的安全连接服务避免了每次启用新供应商时公司都需要开发安全 B2B 连接的需求。此类环境必须能针对网络攻击、内部威胁和意外暴露提供完善的防御功能,并且要求在每个供应商位置实施一致的策略。鉴于任务艰巨且大多数制造安全团队缺乏可用资源,自动化防护(可阻止跨所有端口与协议的已知和未知的恶意软件、漏洞利用、凭证窃取、C2 和许多其他攻击载体)显得至关重要。安全防护是先进制造的一个重要方面,制造商需要解决这一问题,才能在网络化、多供应商以及基于云的环境中安全地运作(独自运作或与其他制造商合作)。Strata by Palo Alto Networ

    39、ks|面向工业 4.0 的安全制造17由于能以公司拥有和管理的 VPN、运营商运营的多协议标签交换广域网(MPLS WAN)等多种方式建立 B2B 连接,过去有许多方法可以做到这一点。无论怎么组合,这些方法通常被证实存在价格昂贵、部署缓慢、延迟较高以及难以管理等问题。为了避免建立供应商等传统后勤问题,通过公共互联网访问可扩展且随时在线的安全 WAN(支持在数分钟而不是数月内在全球范围启用供应商)则会有很大帮助。为了能够支持全球供应商连接,且无需在数据中心设置和管理入网点,必须在云中构建解决方案,原因如下:云架构允许交付灵活、敏捷且可扩展的安全防护功能。云解决方案还提供了自动扩展功能,即使组织发

    40、生变化(例如合并或收购),制造商也能覆盖所有适当的位置。新的站点和供应商可在以前可行的一小段时间内按照共同安全策略加以启用。策略变更会在云中实施,因此不必再向网络边缘推送和提交变更。于是快速建立防御体系便能够帮助组织节省时间,减少风险暴露,满足管理目标并遵守合规期限。当安全防护功能以云为基础时,则会在云中自动处理并存储所有安全和流量日志。这些日志可以轻松地受到规范化处理和机器学习算法处理,有助于发现存在凭证窃取或者设备或用户帐户泄露等异常。面向已知和未知威胁的解决方案永远无法发现这些类型的活动,因为它们通常由非法使用合法授权而导致。云服务允许负担过重的安全团队专注于安全事务,而不是操作大量设备

    41、、数据中心、电源、HVAC 系统等事务。在云中维护和操作的安全平台可大幅削减资源开销。安全的 B2B 通信并不局限于制造商和供应商的物流应用之间的连接。然而,安全防护存在重要作用的一个常见用例是,为监控和管理关键设备及业务流程的供应链合作伙伴提供对 ICS 网络的远程访问。实施可接受的使用策略和基于信任的访问还远远不够(尽管其可能有助于降低 Level One Robotics 数据泄露事件中的一些风险),因为“受信任的”载体(即用户、应用和内容)仍可能遭到侵害。若要克服这一点,就必须将托管实体的安全远程访问锁定在特定用户、应用、设备和数据上。此外,还应扫描每个文件、文档、脚本、可移植可执行文

    42、件和 SCADA 命令,查找已知和未知的恶意软件、未遂漏洞利用和使用异常。Strata by Palo Alto Networks|面向工业 4.0 的安全制造技术才是入市创新的核心,而云则让原型化、测试以及部署新服务和商业模式变得比以往任何时候都更加轻松迅速。18劳斯莱斯推出“按时计费”的发动机维护管理服务已 50 多年了,这项服务符合制造商和客户的利益,让他们只需为性能良好的发动机付费。从这些不起眼(却可能产生大量资源管理费用)的序曲开始,公司的服务得到稳步发展。如今,劳斯莱斯 CorporateCare 包含许多技术创新,例如使用机载传感器实时跟踪机翼性能。在竞争激烈的市场中,这项服务让

    43、劳斯莱斯能够为客户提供有着如下优势的服务:既能大幅降低与计划外维护活动有关的风险,又能使维修成本处于计划和可预测范围内。虽然历史上很少有公司有实力、能力和远见来实现这种商业创新,但互联世界和工业 4.0 在(通过新产品、新服务、更多定制、更小批量,以及显著缩短的交货时间)为客户实现新的或改进的价值主张方面起着关键作用。技术支持必须与特定市场的正确新方法相匹配,但技术才是入市创新的核心,而云则让原型化、测试以及部署新服务和商业模式变得比以往任何时候都更加轻松迅速。5.确保新的市场渠道和客户参与安全Strata by Palo Alto Networks|面向工业 4.0 的安全制造19制造商可以

    44、在三个关键领域利用技术来改变与客户互动的方式:更改为直接面向客户的销售模式这可以通过电子商务平台和客户关系管理(CRM)工具来实现,此类工具支持直接向最终客户收费和发货。这样的方法要求扩展以前面向员工、承包商和供应商的法规合规范围,从而涵盖最终客户的信息。这并非巨大转变,因为许多制造商在收集、存储和处理员工的个人身份信息(PII)或来自客户参与应用的数据时已经相当谨慎,但保留直接客户的其他数据可能会需要增加规模、容量和管理(例如根据 GDPR 立法处理“被遗忘权”申请)。使用机器学习和 AI 洞悉未来流程可以说,这是客户直接参与的最日常的表现,制造商可以使用最终用户应用和来自所购买产品的遥测数

    45、据,获得客户在现实世界中如何使用其产品并与之交互的宝贵见解,然后使用此类数据迭代设计和制造流程。通常与此过程相关的应用漏洞,已被证明是窃取个人和高度敏感信息的一个重要威胁载体。2018 年 1 月,电子玩具制造商伟易达在一起网络攻击之后同意支付 65 万美元,因为此次攻击暴露了全球约 640 万儿童的个人数据。2018 年 7 月,一个大型健身跟踪应用漏洞泄露了军方和反情报人员高度敏感的个人和地理信息,包括 GPS 跟踪信息,这让掌握了该漏洞的任何人都能识别军事基地、大使馆、机场、核储存地点和情报机构等通常具有保密性质的地点。创建新的商业模式将前两种策略(略微增强)结合起来可能是许多制造商的最

    46、大心愿,因为这可以让制造商创造出一种全新的商业模式,比如前文提到的劳斯莱斯模式。使用已部署产品的遥测数据来构建准确的消费模式,制造商可以为客户提供基于消费的计费方式,从而提高价值并最大程度减少开销。这种方法可能依赖于安全采集遥测数据,安全交付、存储和处理遥测数据,以及创建用于通知和更新客户帐户的计费指标(具体视采用的方法而定)。在整个系统中,机密性、完整性和可用性十分重要,并且每个组件可能主要基于其核心功能,而不仅仅是安全防护功能。Strata by Palo Alto Networks|面向工业 4.0 的安全制造20为新技术留出空间无论是启用直接销售模式、通过改善用户体验和生成实用数据的应

    47、用推动最终用户采用,还是创建基于消费的创新商业模式,加固技术架构要求独立系统实现互联,并且要求具备获取、处理和存储大型数据集的能力。然而,这些操作都可能暴露可被攻击者利用的漏洞,并且还可能将组织对 GDPR、PCI DSS 和其他立法要求的合规性置于危险之中。产品或客户应用与云之间的连接、遥测数据湖、托管机器学习算法的云环境、应用自身以及所有支持的基础架构服务,都需要受到保护。这是一项巨大的挑战,在尝试使用点产品来保护网络、端点和云的安全时尤其如此,因为这些点产品之间没有集成路径,或集成路径有限。此外,将不同安全工具的数据整合在一起来得出可行情报会产生巨大开销,这一点不容忽视。安全启用这些新的

    48、交互或商业模式,都需要一种不损害使用“同类最佳”技术相关优势的集成方法。跨端点、网络和云环境无缝集成安全系统(可让数据实现标准化并提供行为异常的更多见解),使制造商能够更有效地保护每个系统组件,从而确保服务及其生成的数据的机密性、完整性和可用性。为了将原始数据转换为新商业模式的情报,利用云来提供灵活且可扩展方法的情况日益增多,这正是关键的行业发展趋势。为了保障通向新客户参与和商业模式的途径的安全,制造商必须能够有效保护驻留在其虚拟私有云(VPC)架构和所使用的基于云存储中的虚拟端点和网络。此外,制造商本身还必须能够审核和保护云环境 配置错误仍然是导致敏感信息泄露和意外暴露的首要原因。请访问我们

    49、的网站,详细了解如何在云中提供有效的安全防护。要考虑的最后一个因素是,部署未来服务的可用平台会不断变化。企业应该有意识地避免让自己陷入困境,尤其是在使用公有云和 SaaS 应用时,因为从技术和商业角度来看,这可能会严重限制未来的机遇。将不同安全工具的数据整合在一起来得出可行情报会产生巨大开销,这一点不容忽视。Strata by Palo Alto Networks|面向工业 4.0 的安全制造正确的技术可以极大简化并优化人员和流程的使用,还能在阻止不良信息以及引入实用信息方面发挥作用。21无论组织走在智能制造和工业 4.0 征途的哪一段,情况都在变化。IT 和 OT 环境不再是独立的孤立实体。

    50、与医疗保健业和公用事业行业一样,需要秉持比大多数其他行业更全面的安全观来看待这种转变。负责 IT 和 OT 安全及操作正常运行时间的人员必须通力协作。说着容易做着难,但这必须成为关注重点,确保组织面临的风险得到全面了解,确保负责解决和管理上述风险的人员、流程以及技术发挥作用。正确的技术可以极大简化并优化人员和流程的使用,还能在阻止不良信息以及引入实用信息方面发挥作用。这种技术的最佳表现形式是高度自动化,即能够在无需人工干预的情况下动态适应威胁环境,同时能全年提供全天候防护。人员和流程对于有效的安全防护十分重要,但让机器运行适合自动化的流程(例如,对未知文件中的恶意软件行为进行分析)对准确性和人

    51、工效率都具有重大影响,因为这会让组织通常有限的资源集中关注重要事务。分析师筛选日志并试图跟踪入侵检测系统(IDS)中每个警报的日子已不多了。组织可以信任的自动化防护极其重要,但从安全团队中消除与“日常”威胁相关的工作负载只是难题的一部分。结论Strata by Palo Alto Networks|面向工业 4.0 的安全制造22由于制造商面临大量威胁载体,技术必须与用户协调工作,才能增强其能力,从而更快地判断和调查安全事件。如果单靠技术无法作出恶意或良性判断,那么正确的安全技术必须向分析师提供可行情报,为他们提供所发生情况和涉及人事的情境,以及任何可能有助于调查案例的威胁指标(IOC)。为此

    52、,与其他关键案例管理系统的集成可以进一步削减与确定已发生事件相关的开销,能够让分析师专注于重要事务,而不是浪费宝贵时间来收集信息。必须统一整个环境中的安全防护功能。在制造领域,这就需要一个能够覆盖工厂车间到云再到其他地方的集成工具生态系统。虽然当前需求可能仅限于制造工厂中的物理安全部署,但关注长远需求才是明智做法,因为当别处出现新的机遇时,这可以确保不必从头开始构建组织基础架构某个部分的安全防护功能。简而言之,在保护制造组织安全时,现在做出正确的技术选择可以避免将您的业务置于风险之中,而且成本远低于推倒重来工作(可能为了克服以前未知的短板)所需的花费。2020 Palo Alto Networ

    53、ks,Inc.Palo Alto Networks 是 Palo Alto Networks 的注册商标。本公司的商标列表可在以下网址找到:https:/ 9911 194 网址: 邮箱:contact_salesAPAC全球网络安全领导者PaloAltoNetworks通过科技的力量,保护并改变着人们工作以及企业的运营方式,从而塑造以云为导向的安全未来。我们的使命是成为首选的网络安全合作伙伴,保护您的数字生活安全无忧。一直以来,PaloAltoNetworks通过不断创新帮助客户应对全球最大的安全挑战,借助人工智能、分析、自动化和业务流程编排的最新突破。通过提供集成式的平台,携手不断成长的合作伙伴生态系统,为数以万计企业的云、网络和移动设备提供前沿的安全保护。我们的愿景是打造更安全无忧的世界。有关详细信息,请访问 。关于 Palo Alto Networks

    下载

    本站所有资源都来自互联网,如侵犯到您的权益请致函,我们会及时处理。 Copyright @ 报告定制 All right reserved. 备案号:沪ICP备2020029785号-14