派拓網絡大中華區總裁 陳文俊
制造業競争異常激烈,企業想方設法以盡可能低的成本生産産品,通過降本增效實作利潤最大化,進而占據更多的市場佔有率。如今,制造業已經從勞動密集型的人工流程發展到由數字革命算力驅動的智能化系統。然而,盡管數字化程度不斷加深,這些系統普遍仍需人工控制,且往往位于實體隔離的網絡上。是以無論是分析能力,還是由計算機驅動的洞察和智能程度都十分有限。制造業的競争屬性正促使該行業通過采用數字化和高度自動化的系統降低勞動力成本,并大幅提高生産效率。
智能工廠正是在數字化轉型的推動下應運而生。其目标是創造一個能夠快速适應供需變化且以較低成本生産高品質商品的全自動制造環境。智能工廠利用物聯網傳感器、數字孿生和機器學習實作高度自動化的制造流程。物聯網傳感器負責監測包括産能和産品品質在内的整個實體制造流程,并将這些資料發送至數字孿生,即數字化的材料制造環境模型。數字孿生一般位于雲端,能夠通過機器學習解讀物聯網資料,并根據需求做出改變制造流程的決定,進一步提高效率,同時盡可能減少商品缺陷、裝置故障等問題。
資訊實體系統是智能工廠的标志。它以數字孿生分析為基礎,是一種監測實體制造流程、分析資料并自動改變實體世界的數字物聯網系統循環。智能工廠以數字化為前提,依賴于物聯網、雲計算和數字孿生。由于制造流程的可用性完全依賴數字技術,是以確定數字系統按預期運作至關重要。
由于智能工廠中的機器、系統和物聯網傳感器互相連接配接,是以需要管理的技術環境就變得愈發複雜,需要保護的攻擊面也不斷擴大。值得注意的是,這些數字技術也存在安全隐患。物聯網裝置往往在出廠時就天然攜帶不安全因素,而且由于可用性限制以及不同制造商和更新檔導緻的裝置多樣性,要為它們安裝更新檔十分困難。雲計算則将攻擊面從制造工廠中的房間擴大到雲服務提供商,使工業營運暴露在雲漏洞之下。
數字制造商的供應鍊也變得越來越複雜,第三方往往是為數字制造裝置提供遠端支援的主力。但由于這些第三方一般達不到大型制造商的網絡安全控制水準,是以會給攻擊者留下突破口。一旦攻擊者進入智能工廠的控制系統,那麼産量和品質都可能受到影響。另外,數字制造系統中的任何惡意變化都會成倍滲透到實體世界中,導緻工廠裝置硬體損壞,影響工廠長期運作,甚至給工作場所安全帶來風險。是以,網絡安全已經成為制造業的一個重要考量。
智能工廠還涉及大量知識産權,特有的制造技術可能成為企業互相競争的關鍵差異化因素。是以一旦知識産權被盜就會給企業的長期盈利帶來重大危機。
當今制造業比過去任何時候都更加脆弱,這也給攻擊者增加了得手的可能性。派拓網絡的威脅情報團隊Unit 42在《2022事件響應報告》中指出,制造業已成為網絡攻擊的第三大目标和勒索軟體攻擊的第二大目标,平均勒索金額高達163萬美元。
一直以來,制造業對網絡安全的投入并不突出,再加上攻擊者對該行業愈發虎視眈眈,面對内憂外患的雙重夾擊,制造業亟需能夠確定智能工廠安全的解決方案。智能工廠是所有制造企業的核心,而以數字化為前提的工廠需要将網絡安全置于首位。那麼要想確定智能工廠的安全可以采取哪些措施?
對安全問題的重視應該貫穿從工廠規劃和建立到其營運生命周期的每一個技術和架構決策,采取積極的措施可以幫助智能工廠有效應對安全風險。
零信任:零信任是一種緻力于消除隐含信任并始終驗證每個資料和系統通路請求的網絡安全戰略方案。無論使用者是在辦公室、咖啡館還是在雲端遠端工作,零信任對每個使用者、應用和系統都一視同仁。智能工廠落實零信任的關鍵在于确定對企業最重要的保護面并建立零信任架構,将所有流量引導至接受持續檢查和驗證的中心檢查點。每項“請求”都需要接受檢查,以确認其安全性、可靠性和有效性。
責任制度:考慮到網絡安全在落實智能工廠生産可用性、品質和安全目标方面的重要性,首席資訊安全官(CISO)應當負責落實網絡控制措施以達成這些目标。網絡安全責任制度對于應對網絡風險至關重要。
基于風險的方法:采用基于風險的方法确定智能工廠面臨的重大風險,例如工廠管理系統中斷、制造裝置損壞、知識産權損失等。通過落實強有力的網絡安全控制盡可能降低各種風險發生的可能性和影響。采取基于風險的方法能幫助将有限的安全資源用于應對對企業構成最大威脅的網絡風險。
架構:現代制造商需要從包含零信任原則的安全架構和平台方法(也稱為網絡安全網狀架構)開始,在其智能工廠中重新建構網絡安全,以提升效果、降低成本和提高投資回報率。
隔離:許多現代制造系統的攻擊面、內建複雜性和不安全因素逐漸增加。作為一項重要的控制手段,隔離可以扼制攻擊者通過遭到破壞的物聯網裝置橫向移動到關鍵制造控制系統。在阻止安全事件發生的同時,隔離還建立起一套機制,将資料引導至檢查點以監測安全事件迹象、展開持續信任驗證和執行最小權限通路原則。
監測:現代數字企業應考慮到被入侵的情況并及時發現突發事件。根據零信任戰略方案,必須對資料進行持續安全檢查,尤其是當資料穿過保護面時。
事件響應:在CISO看來,漏洞的出現隻是時間問題,針對漏洞制定計劃并確定足夠的教育訓練至關重要。這樣才能快速作出有效響應,将漏洞造成的影響降至最低,及時恢複企業最關鍵的系統和流程,例如生産裝置和控制系統等。
彈性:既然出現漏洞很難避免,那麼系統就不僅要能抵禦攻擊,還得做到盡快恢複運作。彈性是将制造系統正常運作時間和生産能力最大化的關鍵。關鍵制造系統的架構要具有高可用性,以便及時複原和恢複生産。
安全意識:在企業内部樹立安全意識文化,責任到人。訓練有素的員工能夠識别釣魚郵件并報告可能是威脅征兆的可疑活動,構築起抵禦網絡攻擊的第一道防線。這些員工是企業應對網絡風險最寶貴的财富之一。
以數字化為先的智能工廠大量采用整合的物聯網、雲系統和資料,這與傳統制造環境截然不同。 是以,為了持續確定智能工廠的産品品質和生産力,網絡安全的重要性已經達到前所未有的高度。數字系統的安全必須得到保障,而網絡安全是智能工廠建構的基礎。
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)