趋势与挑战
世界经济论坛强调,制造业是网络攻击的首要目标,造成了重大的运营中断。随着 NIS2 等新法规和 ISA/IEC 62443 等标准的出台,组织面临着提高网络安全的压力,尤其是在网络更加开放和脆弱的运营环境 (OT) 中。旨在将 IT 与 OT 分开的 Purdue 模型通常实施不佳,使系统更容易受到攻击,并导致长时间的停机时间和恢复。
在当今日益数字化和互联互通的世界中,保护制造业和其他关键基础设施中的运营技术 (OT) 从未像现在这样紧迫。有效的分段是防止工厂和关键系统停机和降低风险的关键。
世界经济论坛强调,制造业是网络攻击的首要目标,造成了重大的运营中断。随着 NIS2 等新法规和 ISA/IEC 62443 等标准的出台,组织面临着提高网络安全的压力,尤其是在网络更加开放和脆弱的运营环境 (OT) 中。旨在将 IT 与 OT 分开的 Purdue 模型通常实施不佳,使系统更容易受到攻击,并导致长时间的停机时间和恢复。
Anybus 是世界上应用最广泛的工业网络连接产品系列。Anybus设备支持机器和分段网络之间的通信,从而提供增强的控制,并确保工业网络得到保护和优化,以实现不间断运行。
大型自动化工厂应将其机器和生产线划分为单独的区域,并在它们之间使用防火墙和网关以确保安全。这是基于 ISA/IEC 62443 模型,可降低风险和潜在影响。南北流量由监控和控制所有通信的工业防火墙管理,而东/西流量由仅允许工业协议数据的网关处理,从而阻止区域之间的其他 IP 通信。
高效管理 IP 地址 通过实施网络地址转换 (NAT) 和路由方案对于运营网络至关重要。此外,可以应用流量过滤策略来控制哪些流量可以通过以及应该阻止哪些流量。
Anybus Defenders 提供简单的设置工具,以创建启用 NAT 的强大安全网络。
对于对运营流程至关重要的资产,可以实施深度检查功能。称为深度数据包检测的功能能够解码用户级协议,并具体说明允许和应该阻止哪些操作过程。例如,通过这种方式,您可以阻止 PLC 写入请求,同时仍然允许读取。Anybus Defender 可以自行解码记录的流量,以自动为工业协议生成建议的 DPI 规则集。
在分布式环境(如水处理设施)中,各个站点需要保护免受外部入侵者的侵害。此外,必须与中央控制中心保持安全连接。集成到Anybus Defender中的OT-SDWAN可以使用现代VPN技术(如WireGuard©)轻松实现这一点,所有这些都从Anybus网络安全控制台集中管理。
在这次采访中,Anybus网络安全业务开发经理Thomas Vasen讨论了工业环境中日益增长的网络安全挑战。
他强调了工业网络的快速数字化如何扩大了网络攻击的风险,特别是随着从旧的串行网络向基于以太网的系统的转变。Vasen强调了网络分段的重要性,以限制网络事件的影响并保护运营的连续性。
工业网络安全的现状如何?
工业网络安全的状况令人担忧,因为制造业现在是网络犯罪分子的主要目标。随着工业系统的日益数字化以及从传统现场总线向以太网网络的转变,威胁面不断扩大,使运营控制网络更容易受到攻击。
公司可以做些什么来提高他们的网络安全?
公司应专注于网络分段,这涉及将网络划分为单独的区域,以限制网络事件的传播和影响。这种方法受到 ISA/IEC 62443 的启发,通过控制区域之间的流量和实施防火墙等安全措施来降低风险。
Anybus Defender如何帮助OT安全?
Anybus Defender 专为 OT 环境而设计。它基于“默认拒绝”原则工作,并简化了工业协议的深度数据包检测过程,仅允许授权流量。它还使用永久许可证运行,确保长期保护,而不会因订阅失效而停机。
为什么 IT 和 OT 安全之间的优先级不同?
在 IT 中,重点是机密性,而在 OT 中,优先级是可用性和正常运行时间。运营经理更关心保持生产平稳运行,而 IT 团队则专注于数据保护。这种差异意味着 OT 安全需要专门的解决方案,这些解决方案既要优先考虑正常运行时间,又要保持强大的保护。