HMS Networks如何帮助您遵守网络安全法规并保护您的资产
在我们之前的网络安全文章中,HMS Networks网络安全业务发展经理Thomas Vasen概述了针对工业自动化的网络攻击的增加,并解释了公司可以采取的五种策略,以避免成为最新的受害者。在本文中,Thomas 讨论了网络安全法规和标准不断变化的格局、它们对运营和产品使用的影响,以及如何在最大限度地延长正常运行时间和安全性的同时驾驭这些变化。
推动变革的法规和标准化
网络安全格局正在不断演变,新兴的标准和法规推动了各行各业的变革。虽然一些地区,如欧盟(EU),正在制定强制性立法,但其他地区,如美国,更侧重于通过最佳实践和指导方针促进采用。然而,所有这些努力都有一个共同的目标:建立更安全的运营基础设施。
法规和标准概述
一些标准与信息安全相关,涉及信息技术 (IT) 运营,而另一些标准则侧重于运营技术 (OT),旨在确保机械和关键基础设施的正常运行时间。为您的组织或产品遵守正确的标准至关重要。
法规/标准 | 描述 | 关注领域 | 区域 |
| Purdue Model | Purdue Enterprise Reference Architecture (PERA) 普渡企业参考体系结构的官方名称是企业体系结构的参考模型,将制造系统、控制系统和业务逻辑系统分开。它将IT 与 OT 分离,引入了创建深度防御体系结构的层,使攻击者更难到达关键的生产系统。 | IT/OT 组织 | 全球 |
| NIS2 Directive EU 2022/2555 | 欧盟立法的重点是加强关键部门的网络安全,要求对执行团队进行教育,制定如何处理攻击的积极计划,以及违反报告要求等。其中包括对不遵守规定的大量责任。 | IT/OT 组织 | 欧盟 |
建立机械安全和健康标准的欧盟法规,确保在将机械引入欧洲市场之前遵守。例如,更新版本首次将自动引导车(AGV)分类为机器。 | OT 产品 | 欧盟 | |
| 欧盟网络弹性法案 | 这项新立法于 2024 年初获得欧盟议会批准,预计将于 2024 年晚些时候由理事会批准,旨在对所有软件和连接设备施加安全要求。在产品在欧洲市场上销售之前,它将强制要求遵守 CE 产品安全标准。该立法增加了对产品的安全功能要求,对其进行了强化,它对产品的软件开发生命周期流程提出了要求,特别是对漏洞处理和通信提出了要求。此外,它还包括对产品包含软件物料清单 (SBOM) 的要求,该清单提供了软件堆栈中使用的开源和第三方组件的完全透明性。 | IT/OT 产品 | 欧盟 |
| RED – 无线电设备指令 | 无线电设备指令是将无线电设备投放市场的监管框架。为安全和健康、电磁兼容性和无线电频谱的有效使用设定了基本要求,但也包括网络安全要求。 | IT/OT 产品 | 欧盟 |
| EN 18031-1, -2, -3 by CEN/CENELEC | 本文档提供了无线电设备通用安全要求的技术规范。预计它将作为以下《欧盟网络弹性法案》的基础。 | IT/OT 产品 | 欧盟 |
广泛采用的一套自愿性准则,加强组织网络安全。它为组织提供了一种结构化和灵活的方法来评估和改善其网络安全态势,并包括 5 项功能 - 识别、保护、检测、响应、恢复。 | IT 组织 | 美国 | |
| NIST SP 800-82r3 | 最近添加到NIST框架中,专门关注OT安全。它提供有关体系结构、系统强化和安全对策的指导。 | OT 组织和产品 | 美国 |
| NERC 关键基础设施保护 (NERC CIP) | 保护主要在北美电力系统中运行的资产的要求。 | OT 组织 | 美国 |
| CIS 控制 | 一个非营利性组织,分享最佳实践指南,其中包含一组优先行动,以保护组织和数据免受网络攻击媒介的侵害。 | IT 组织 | 美国 |
| 网络信任标志 | FCC倡议基于NIST框架,对物联网产品施加安全要求,目前是自愿的,重点是消费品。其目的是通过在产品上印上徽标来为消费者创造透明度。 | IT 产品 | 美国 |
| 关键基础设施网络事件报告法案 (CIRCIA) | 美国立法要求涵盖的实体报告网络事件,以便在关键基础设施行业进行情报共享。 | OT 组织 | 美国 |
| ETSI EN 303 645 | 标准消费者物联网的基线网络安全要求。不仅包括对产品中安全功能的要求,以加强其抵御网络攻击的要求,还包括对安全漏洞报告和安全更新周期通信的要求。 | IT 产品 | 欧盟 |
| NIS法规(英国) | 英国监管网络和信息系统的立法,旨在加强关键部门的网络安全,类似于欧盟的 NIS2 指令。 | IT/OT 组织 | 英国 |
| ISA/IEC 62443 | 流程和程序的标准化,以创造更加网络安全的工业环境。包括体系结构和产品硬化指南。四个安全级别为所需的不同保护级别提供了指导。 | OT 组织和产品 | 全球 |
| PSTI | 英国产品安全和电信基础设施(产品安全)制度对消费者可连接的产品提出了要求。 | IT 产品 | 英国 |
| SHIELDS UP! | 由美国网络安全和基础设施安全局(Cybersecurity & Infrastructure Security Agency)发起,旨在促进网络防御的变革和投资。 | IT/OT 组织 | 美国 |
| ISO 27001 | 认证可能是世界上最常见的 IT 信息安全框架—一种用于风险管理、网络弹性和卓越运营的工具。 | IT 组织 | 全球 |
| EUCC | 欧洲通用标准认证计划的 欧洲候选者,用于确保欧洲网络安全机构 ENISA 推出的安全执行产品。 | IT/OT 产品 | 欧盟 |
表 1.主要法规、框架和标准摘要
遵守这些网络安全法规和标准将要求各组织调整其运营和产品。这些变化可能包括实施新的流程和程序,以满足标准规定的要求。此外,组织可能需要投资新的安全产品,以增强对其网络和设备的保护。
这些框架提供了有关如何遵守法规和标准的实用技巧。 例如,公司可以将 ISO 27001 标准用于 IT 方面。该标准规定了信息安全管理体系(ISMS)的要求,并在国际上得到了广泛认可。但是,ISO 27001 不包括 OT。 这就是 IEC/ISA 62443 框架的用武之地。它正好在 ISO 框架停止的地方拾取,并作为极好的补充。IEC/ISA 62443 提供了一种专门针对 OT 进行风险评估的方法。
ISO 27001 标准 为 IT 提供了出色的指导,而 IEC/ISA 62443 则涵盖了 OT。
确定与您相关的法规可能是一项复杂的任务。因此,与工业自动化、工业通信和 OT 安全方面的专家合作是有益的。他们可以 提供专业知识来解释指南,并帮助您采取措施来保护您的资产和环境。这包括概述对弹性、检测能力和缓解策略的要求,以及解决与报告相关的特定责任。从专注于 OT 的合作伙伴那里获得帮助是确保专注于安全和正常运行时间的唯一方法,并获得迁移环境所需的帮助,同时牢记这些优先事项。
制定 OT 安全策略
为了满足法规要求,资产所有者需要对人员、流程和产品进行投资。他们可能会被不同的产品所淹没;有许多解决方案,但买家的旅程是复杂而不透明的。OT 安全战略的关键要素应包括:
评估:了解您的资产清单
您无法保护您不知道自己拥有的东西。您所面临的问题也是一个复杂的问题,因为它涉及品牌、型号版本、固件、补丁级别——一切都在了解产品是否易受攻击方面发挥作用。了解资产在架构中的位置也很重要,因为体系结构的不同部分将具有不同级别的保护。虽然手动收集和更新这些信息是可能的,但经验表明,即使在较小的网络中,这些信息也往往变得难以管理。
当您获得帮助评估网络的工具时,您可能希望它也包括漏洞管理。这有助于您在较旧的软件增加事故风险时主动接收警告。这些通常是非侵入式安装,通常也是法规要求的,因此很容易做出投资决策。这里有很多玩家提供解决方案,所以选择是很困难的。纯粹的被动解决方案不会看到一切,而主动发现需要广泛的工业协议和实践知识,以避免中断业务连续性。
检测:通过威胁检测和监视 发现异常
威胁检测之所以受欢迎,不仅是因为它有法规,还因为它易于实施。这些解决方案只是监控网络活动,不需要对架构进行重大更改。
但是,即使有资产清单和威胁检测/监控,重要的是要了解,虽然这些系统和流程提供了良好的情报,但它们并不能保护您!
保护:使用工业防火墙降低风险和影响
工业防火墙是专门用于保护 OT 网络和 ICS 免受网络威胁的安全设备。与传统的 IT 防火墙不同,工业防火墙专为处理工业环境中的独特协议和流量模式而量身定制。它们通过隔离关键系统来提供强大的分段,从而防止未经授权的访问并遏制特定网段内的潜在威胁。这些防火墙可以实施严格的访问控制,监控通信流,并实时检测异常。通过与现有工业网络无缝集成,它们在不中断运营流程的情况下增强了安全性,确保了关键基础设施的安全性和可靠性。
恢复:准备好缓解和备份准备
缓解和备份工具对于保护 OT 环境至关重要。其中包括用于定期备份 PLC 配置的数据备份解决方案、计划备份、用于快速恢复设备设置的配置备份工具、全面的灾难恢复计划以及确保操作连续性的冗余机制。缓解策略可通过关闭服务、隔离文件或关闭关键产品等方式快速采取行动 ,以减少对运营的进一步影响。 这些工具和流程共同有助于维护关键工业流程和基础设施的完整性、可用性和可靠性。
假设违规——它会发生在您身上!制定一项战略,保护您的资产,最大限度地降低风险,并最大限度地延长正常运行时间!
结论
对于在工业环境中运营的组织来说,驾驭网络安全法规和标准是一项复杂但必不可少的任务。通过与HMS Networks合作并利用他们的专业知识和安全产品,组织可以在当今不断变化的网络安全环境中确保合规性,增强保护并最大限度地延长正常运行时间。
有任何问题或需要帮助吗?在这里联系我们
关于作者
托马斯·瓦森(Thomas Vasen)是HMS Networks旗下Anybus的网络安全业务开发经理。 Thomas 在电信、军事和关键基础设施的运营和安全方面拥有超过 25 年的经验,现在专注于帮助公司管理风险并确保其运营技术 (OT) 环境中的正常运行时间。
