在制造业中培养抗风险能力：OT 网络安全的关键需求

多年来，网络安全格局发生了巨大变化，复杂勒索软件已成为制造业中最突出的网络威胁之一。勒索软件也从信息技术 (IT) 系统蔓延到运营技术 (OT) 系统，这引起了制造商的担忧，因为这些关键基础设施一旦遭受攻击，便可能带来远超财务损失的重大影响。

我们与罗克韦尔自动化公司亚太区生命周期服务区域副总裁 Inbavanan Rathinam 和 Dragos OT-CERT（运营技术 - 网络应急准备小组）主管 Dawn Cappelli 促膝探讨勒索软件带来的威胁，以及为什么在当今数字化世界中为制造商制定网络安全计划必不可少。

Inbavanan 分享说，如今的制造商面临的网络犯罪风险比以往大得多。当勒索软件影响 OT 平台时，组织可能面临的不仅仅是金钱损失。

“OT 资产通常是关键基础设施的一部分。所以除了财务损失外，OT 系统上的勒索软件还可能危及工厂员工的安全并造成声誉损害，”他说。

Pipedream 是已知的首个针对 OT 协议的工业控制系统 (ICS) 恶意软件之一。Pipedream 旨在利用数百家 OEM 在数千台设备中使用的五个 OT 协议。这是一种多功能通用恶意软件，可以在全球范围内针对任何行业的许多设备进行部署。它对传统补丁方法的免疫性增加了缓解难度，组织若想提前防范这种恶意软件，唯一的方法是制定全面的 OT 网络安全计划。

适应不断变化的格局

像 Pipedream 这样的恶意软件只是冰山一角。

随着技术不断发展，网络威胁格局也发生变化。这种演变的一个示例是，过去的黑客活动分子以往发起的是简单的 DDoS 攻击，但如今他们与国家行动者结盟，发起了更复杂的攻击。组织必须通过确保采取适当的安全措施来防患于未然，以免遭受攻击。

Cappelli 分享说，OT 中快速变化的网络威胁环境对运营的风险和弹性产生了重大影响。组织通常都会针对 OT 制定安全计划，但此后便放松警惕，忽视了不断变化的威胁环境及其对风险管理策略的影响。

Risk management for cyber threats and security assessment, malware and computer virus detection.

IT-OT 的融合打开了新的局面

英国数学家 Clive Humby 曾说过“数据是新的石油”，在这个技术驱动的世界中这句话依然适用。然而，天下没有免费的午餐，正如组织可以通过数据获得诸多好处，他们也肩负着更大的责任来保护数据以免被窃取或操纵，从而影响其运营的可靠性和安全性。

许多行业参与者的一个大误解是，只要将其运营与 IT 系统分开，他们就可以实现隔离保护，免受恶意软件的侵害。

不幸的是，随着技术的发展，IT 和 OT 的融合变得不可避免。“从 ERP 系统到使用云进行分析和先进制造以提高生产力，出于竞争原因，组织再也不能将其平台完全隔离，”Cappelli 说道。

Inbavanan 补充说，此外还有风险增加以及监管合规问题。数据收集过去通过人工方式进行。然而，随着企业如今利用云和数字系统的便利和业务优势，他们必须确保其安全团队及时了解与云环境相关的威胁和漏洞。团队必须不断了解最新的安全工具并知晓最佳实践，以减轻风险并有效应对潜在攻击。

Cappelli 补充说，有时风险来自受信任的第三方。例如，企业利用服务提供商和系统集成商保障新的以及现有工厂的运营。不幸的是，这些受信任的第三方有些往往不了解 OT 网络安全，可能会使运营面临风险。例如，恶意软件可以通过其 U 盘传入工厂，或者当他们使用不安全的机制远程连接到工厂时趁虚而入。事实上，他们常常在未确保访问配置安全性的情况下远程访问工厂。这种情况可能会放大网络安全风险。

为什么传统 IT 安全做法不适用于 OT 环境

随着互联程度的提升，运营效率得以提高，但也为网络攻击者渗透 OT 和工业控制系统 (ICS) 打开了便利之门。行业面临的挑战在于平衡日常运营的可靠性和效率与网络攻击的威胁，这可能带来毁灭性后果。

IT 系统的软件和硬件会定期更新以应对安全威胁，与此不同的 OT 系统则面临特有的挑战，需要采用独特的方法来确保基础设施安全。这主要是由于需要维持连续的工厂运营、遗留设备的限制以及 OT 环境的复杂性。因此，OT 设备和操作系统往往会随着时间推移而过时，这样关键基础设施中会出现为网络犯罪分子提供可乘之机的漏洞。

Cappelli 建议组织应考虑工业控制系统的五个网络安全关键控制措施，以落实预防性网络安全计划。她说，五个 ICS 控制措施对于任何工业组织来说都至关重要：

专门的 ICS 事件响应计划
防御性架构
ICS 网络安全监控
安全远程访问/MFA
基于风险的漏洞管理计划

随着组织集成 AI 和机器学习技术，这些控制措施变得更加关键。在保护关键基础设施的基础上，他们还应考虑部署零信任架构，以进一步加强防护和减轻网络攻击。

员工安全培训建议：

提供针对性培训：根据员工的具体角色定制培训课程。应区分办公室员工和工厂员工，而不是安排相同的通用培训。
制作纸质版安全意识新闻简报：并不是每个人都会用电脑来获取信息。在组织内的公共区域放置安全意识新闻简报可以有效地传递信息，甚至可能在员工用餐时间引发讨论。
确保内容有趣、吸引人：在印刷材料中注入一些有趣和及时的内容，并配以相关的例子。例如，将网络安全理念融入假期购物贴士中，使网络安全教育更具个性化、相关性。

获得领导层的支持，以取得长期成功

网络安全的核心在于预防，在前期成本方面与利益相关者谈妥可能难度颇大。然而，需要注意的是，各项网络安全计划都需要持续进行。Inbavanan 表示，企业不能仅从经济角度看待网络安全；他们需要衡量潜在风险的成本，以找到合适的平衡点。

具备专业知识也是确保成功的关键，这就是为什么拥有像罗克韦尔自动化和 Dragos 这样的合作伙伴可以在应对 OT 网络安全难题时成为颠覆传统的关键。了解许多组织在应对网络犯罪时可能面临资源和专业知识不足的困境，Dragos 制定了 OT-CERT 计划，提供超过 60 种免费资源，以帮助企业开启网络安全之旅。这些资源也与五项 ICS 关键控制措施相对应。

网络犯罪往往在组织始料不及时发生，这就是为什么企业要尽早制定和实施网络安全措施。在此处了解更多有关 OT 和 ICS 的网络安全解决方案。