Rob Putman-Global Manager - Cyber Security Services, ABB Ltd.

边缘设备和数据分析

作为网络安全专家,我们必须应对不断变化的威胁形势,随着企业希望利用边缘设备和数据分析,运营技术 (OT) 和信息技术 (IT) 之间的互连性日益增强,威胁形势变得更加复杂,以及在 COVID-19 大流行之后的远程连接。

随着威胁面的发展,各行业必须防范对关键物理基础设施的攻击,这些攻击可能是由一系列恶意行为者实施的,包括某些国家和意图敲诈的犯罪分子。

化工行业-网络犯罪分子的高价值目标

2017 年,在针对全球最大航运公司马士基的勒索软件攻击后不久,在全球范围内引起极大的关注。然而,一次针对有形工业资产的另一次网络攻击产生的关注就比较少了,但可能会造成实际和财务损失。

网络犯罪分子将化学品行业视为高价值目标,因为如果生产中断或完全停止,运营商可能会因此付出经济和声誉方面的潜在成本。

网络安全漏洞使物理资产面临风险

此次攻击是针对沙特阿拉伯一家石化设施的“Triton”定制恶意软件攻击,目标是一个安全系统,控制了系统控制器。代码中的漏洞引发了紧急关闭,但也可能导致有毒和爆炸性气体的释放。这生动地提醒人们,网络安全漏洞正日益使企业的关键物理资产面临风险。

最近发生的两起备受瞩目的事件印证了我的观点。 2 月,佛罗里达州的一家水处理厂遭到黑客攻击。恶意行为者远程访问系统三到五分钟,在此期间他们打开了屏幕上的各种功能,包括控制水中氢氧化钠 (NaOH) 含量的功能。黑客将 NaOH 从百万分之 100 左右更改为百万分之 11,100,这可能会导致大规模中毒事件。

Colonial管道网络攻击事件

然后,在 5 月,起源于德克萨斯州休斯顿并携带汽油和喷气燃料的Colonia管道系统遭受了勒索软件攻击。黑客使用 VPN 瞄准后台 IT 系统,迫使 Colonial 关闭 IT 主机和网络基础设施,切断与那些负责传达与燃料输送相关的“交易数据”的 OT 系统的通信。

在这种情况下,一个泄露的密码破坏了 Colonial 向其客户开具发票的能力。这种对 OT 数据的依赖导致管道和业务运营停止,该公司被被迫向黑客支付 440 万美元的初始赎金,以恢复运营。Colonial袭击是多方面的,因为它不仅影响了Colonial的业务,而且影响了更广泛的美国经济和国家安全,因为这条管道运输了东海岸近一半的燃料供应。

过时的 IT 系统会增加物理风险

诸如此类的攻击证明,只要有一台笔记本电脑、一个电子邮件帐户和对暗网的访问权限,坚定的黑客就可以对物理基础设施造成不成比例的破坏。

正如开头所提到的,IT 和 OT 之间日益增强的互连性也会造成漏洞。生产者通常想知道:将生产资产或其运营环境连接到云是否有风险?我的回答是,如果你在没有对人员、流程和技术进行任何风险审计的情况下这样做,或者没有增强和维护该环境,那么是的,这是有风险的。

例如,我们经常观察到生产资产的生命周期远远超过用于运行它的 IT 系统。以水泥窑为例。几代工厂运营商可能来来去去,但该资产可能仍在运行,使用过时的软件,如 Windows XP。

需要更换过时的分布式控制系统

好吧,那没关系,如果你不担心资产受损,以及随之而来的一切。“扁平的”IT网络、过时的分布式控制系统、装有老式微软Windows操作系统的机器,所有这些因素在许多行业仍然很常见,使得攻击者不需要复杂的工具,就能更容易地找到并渗透一家公司。

古老的咒语——不要干扰看起来正在工作的设备或软件——通常适用于单个资产。例如,水泥窑仍然由相同的基于Windows xp的控制软件控制。

然而,如果我们诚实地说,事情发生了很大的变化,不是因为某些东西被破坏了,而是因为创新出现了。同样的窑炉控制系统很可能会连接到其他系统,而不是第一次投入使用时,这将使它暴露在从未设计的威胁之下。

人为因素

有一种误解认为连接物联网的设备会使企业面临风险,但最近许多备受瞩目的网络攻击都是通过笔记本电脑进行的,通过入侵某人的 VPN,或者是简单的网络钓鱼/恶意软件攻击。在所有这些情况下,人为因素是部分原因。

以佛罗里达州的袭击为例。据报道,水处理设施中受感染的计算机运行的是过时的 Windows 7 操作系统,员工都使用相同的密码,以便通过 Teamviewer 应用进行远程访问,然后黑客就可以使用该应用程序。

实物和人力资产是强大网络安全的关键

关于减轻威胁的最佳方法的讨论通常仅围绕特定的技术解决方案进行,而忽略了这样一个事实,即强大的基础网络安全实际上是由两种截然不同但同样重要的资本类型驱动的:实物资产(例如生产机械)、和人力资产。

事实是,智能数字软件和行业知名的网络安全应用程序虽然至关重要,但在许多情况下,仅与链条中最薄弱的人员环节一样好。因此,业界最好问自己以下问题:我们有安全问题,还是自满问题?

在这个时刻,必须指出的是,与 ABB 合作的大多数公司至少都意识到网络攻击者构成的威胁,以及攻击对其收入、声誉和底线的潜在影响。

用户错误和人为暴露

但是,用户错误和人为暴露是大多数此类攻击发生的地方。那些人为故障大多不是由于员工的恶意,而是由于员工缺乏安全行为培训。

确保员工意识到威胁并培训他们正确应对(如果他们成为目标)至关重要。然而,这里也有年龄人口统计数据在起作用。大部分运营员工都即将退休,而且通常没有计划或能力来回补这些人。

需要投资新的数字和自动化技术

如果你认为你现在没有足够的人,为了保持 OT 环境的基本运营和维护,在安全方面,20 年后会是什么样子?

出于这个原因,就劳动力而言,必须进行一次重大的行业重置。企业必须投资于新的数字和自动化技术,不仅要确保他们保持领先并降低风险,还要吸引下一代具有数字素养的人才。

强大的网络安全建立在坚实的基础之上

当我们谈论基础网络安全时,我们指的是基础,例如修补、恶意软件保护、高保真系统备份、最新的防病毒系统以及其他选项,例如应用程序允许列表和资产清单。这些基本控制可以帮助公司了解其系统设置和潜在威胁、识别漏洞并评估其风险敞口。

帕累托原则指出,大约 80% 的后果来自 20% 的原因。在网络安全的背景下,这意味着 80% 的风险来自 20% 的缺乏安全性。如果企业把基本的事情做对了,他们就可以管理大量的这种风险。

维护和升级安全控制的重要性

但是,拥有基本的安全控制措施(例如安装防病毒软件)只是该旅程的第一步。同样重要的是,组织内要有具备必要技能或额外劳动力的人员来操作、维护和更新这些不断发展的安全控制。

教育、培训和招聘现有员工和下一代人才,以及与值得信赖的技术提供商建立合作伙伴关系,将确保行业能够利用最新的数字技术,以提高业务价值,并保护实物资产免受网络攻击。

----------------- 活动预告 -------------------

由千家智客与千家品牌实验室共同主办的2021年第二十二届中国国际建筑智能化峰会(简称:峰会)将于2021年11月10日至12月9日期间,分别在北京、上海、广州、武汉、成都、西安六大城市举行。本届峰会将聚焦“智慧互联,重构“AI+云”时代”,届时将携手全球顶级智能化品牌,共同分享人工智能技术在城市、建筑与家庭中的最新应用,全面解读人工智能、云计算、物联网与智能化产业链的最新发展趋势。

报名参会及更多峰会详情,详见峰会官网https://summit.qianjia.com/

* 千家网原创文章,未经授权严禁转载 。