作者 | Larry O』Brien
跨域解決方案可以幫助確保信息技術(IT)和運營技術(OT)之間的通信安全。
網絡攻擊和事件正成為工業和關鍵基礎設施應用計劃外停機的主要原因。對商業網絡的IT攻擊,可能對運營產生負面影響。正如燃油管道商Colonial Pipeline遭到勒索軟體攻擊事件所導致的那樣,供應鏈的可見性喪失會導致公司停止運營,由此造成數百萬美元的損失。IT和OT領域的適當隔離,有助於減少IT層面的攻擊對OT層面的運營產生影響的機會。
通過數位化和新的工業物聯網(IIoT)技術,例如雲和邊緣計算、物聯網協議(如消息隊列遙測傳輸)、分析和機器學習,OT和工業控制系統(ICS)正與商業和企業級應用更緊密地集成。這擴大了OT系統的攻擊面,迫使最終用戶考慮OT領域與IT和企業網絡的隔離。
今天所需要的是「保持通信的同時隔離」。OT域必須保持安全,與IT域適當隔離,以確保工人的健康和安全,並減少計劃外停機。計劃外停機使工業和關鍵基礎設施部門每年造成的生產損失超過萬億美元。然而,隔離並不是要消除通信;IT和OT域之間的溝通是實現IIoT收益的必要條件。
跨域解決方案(CDS)是管理IT和OT域之間安全通信的一種絕佳方式。ARC分析師最近與Owl Cyber Defense公司探討了工業和關鍵基礎設施領域的CDS產品。關鍵要點包括:
■ 網絡攻擊是計劃外停機的一個主要原因。
■ 在最近的網絡攻擊中,大部分OT層面停機都是因為對IT系統的攻擊,連帶影響OT系統而造成的。
■ 工業和關鍵基礎設施需要保護OT域,並保護其免受IT攻擊的負面影響。
■ 跨域解決方案長期用於政府和國防部門,現在正應用到工業和關鍵基礎設施,以在IT和OT域之間提供隔離和安全通信,同時保持雙向通信能力。
01
計劃外停機的主要原因
計劃外停機是製造商和關鍵基礎設施面臨的一個嚴峻挑戰。ARC預計全球工業和關鍵基礎設施部門因非計劃停機而導致的損失超過1萬億美元。在煉油廠,計劃外停產可能會抹掉年度利潤。意外停電可能會帶來生命損失和基本服務中斷等極端風險。在過去,大多數非計劃停機可能歸因於運行人員的錯誤或控制過程中的某些意外或異常工況。
最近的網絡攻擊對運營的影響表明:現在,網絡攻擊事件是計劃外停機的一個主要來源,也對人類生命、安全和環境構成威脅。相關機構的數據顯示,NotPetya勒索軟體攻擊所造成的損失超過100億美元。
▲圖 1:跨域解決方案(CDS)有三個核心功能域:數據流限制、硬體驅動的分離以及內容檢查和過濾。圖片來源:Owl Cyber Defense
02
IT層攻擊會導致OT層問題
NotPetya勒索軟體攻擊造成的損失,很多來自工業、製造業和關鍵基礎設施公司,這些公司因在IT和企業層面受到攻擊而不得不關閉運營。本田、馬士基和默克等公司都遭受了與運營相關的損失和嚴重的計劃外停機。據報導,馬士基公司因不得不關閉航運業務而蒙受了約3億美元的損失。默克公司損失了1.35億美元的收入,並花費了超過8億美元補救因NotPetya造成的影響和升級了其網絡安全系統。
過去十年中,OT系統的大部分技術進步都集中在OT和IT或業務/企業層功能之間的無縫集成上。隨著物聯網的應用,從OT到IT的數據流呈指數級增長。然而,網絡安全保護並沒有跟上步伐。儘管大規模部署了大量的網絡安全產品和解決方案,但IT網絡攻擊仍會在OT層級產生影響。
03
跨域網絡安全解決方案對OT的好處
長期以來,一些國防和高度敏感的政府部門的應用一直使用跨域解決方案,對這些部門來講必須確保絕對安全。跨域解決方案確保可信域和不可信域之間的安全通信。
跨域解決方案是一個集成的信息保證系統,由硬體和軟體組成。CDS提供受控接口,基於預定安全策略,手動或自動啟用或限制兩個或多個安全域之間的信息訪問或傳輸。它可以強制實施域分離,通常包括某種形式的內容過濾,用於指定未經授權的信息,以便在安全域之間或不同分類級別之間傳輸。
▲圖 2: 跨域解決方案(CDS)為信息技術(IT)和運營技術(OT)安全域之間的通信提供了更高級別的安全保障。圖片來源 :ARC Advisory Group
跨域網絡安全解決方案由硬體和軟體組合而成,使用強化的作業系統和專用工具,如安全增強型Linux。它提供多層過濾和內容檢查,並提供「協議中斷」(以數據二極體的形式),以實現可信和不可信網絡域之間的安全連接。
04
跨域解決方案 vs.防火牆
在工業控制系統領域,工業防火牆中無處不在。大多數工業設施使用防火牆來保護邊界並提供區域隔離。然而,防火牆有許多漏洞,需要持續的配置和維護工作。防火牆是提供網絡安全的一種好方法,但不應與跨域解決方案混淆。正是由於防火牆和其它安全產品中固有的漏洞,才開發了跨域解決方案。
跨域解決方案和防火牆之間的另一個關鍵區別是長期運營和維護成本。防火牆需要持續維護,必須定期審查防火牆規則集,定期進行防火牆安全審計,備份防火牆規則集,並定期審查防火牆日誌。
跨域解決方案需要配置的規則較少,日常維護的需求也更少。防火牆更類似於拒絕列表策略,其中某些協議、埠和服務被禁止。CDS更像是一個允許列表,其中只允許某些類型的通信和服務。這就是CDS在支持強制訪問控制(MAC)方案和基於角色的訪問控制(RBAC)方面如此有用的原因。
▲圖 3: Owl Cyber Defense 公司的 IXD 跨域解決方案,具有 XML 過濾和 XML 線性保證管道的功能。
05
CDS的網絡安全優勢
跨域解決方案正在超越傳統的國防和政府應用領域,開始在更多行業中應用。從石油和天然氣勘探和生產,到管道和液化天然氣(LNG)應用,碳氫化合物行業是當今最大的用戶。包括煉油和石化在內的下遊行業,也在採用這項技術。CDS也被用於化學、汽車和發電行業。
最終用戶希望通過部署CDS以實現OT和IT域之間更高安全級別的通信。IT和企業網絡消耗的OT數據量繼續呈指數級增長。有時,防火牆本身不足以在OT和IT域之間提供適當的隔離級別。
在工業和基礎設施應用中,跨域解決方案的另一個常見用例是將過程歷史數據複製到企業,不管是在業務網絡上還是在雲端。
隨著OT和IT領域對更安全通信的需求日益增長,最終用戶可以考慮跨域網絡安全解決方案,以更好地隔離並實現兩個域之間的安全通信。CDS的運營和維護成本及要求較低,再加上所提供的安全水平,可以成為一種具有成本效益的策略,以避免在IT層級發生攻擊時在OT層級出現意外停機。此外,跨域解決方案還可以預防在OT層級發起的攻擊轉向IT網絡或雲。
關鍵概念:
■ 計劃外停機是製造商和關鍵基礎設施面臨的一個主要問題,網絡安全漏洞是一個日益嚴重的原因。
■ 跨域解決方案(CDS)可以幫助管理IT和OT域之間的安全通信,並確保雙方免受網絡安全攻擊。
■ CDS的一個常見用例是將過程歷史數據複製到企業,不管其是在業務網絡上還是在雲端。
思考一下:
跨域解決方案如何幫助提高貴廠的OT安全?