总结
评估是良好网络安全战略的基础。对于终端用户来说,选择合适的合作伙伴进行OT级别的网络安全评估可能是一个挑战。如今,各种各样的公司都提供这种评估。OT级别的网络安全服务市场一直在大幅增长,许多新公司已经进入该领域
从自动化供应商到大型工程服务供应商,都有自己的方法和优缺点。
在COVID - 19长期流行的当今世界,让现场的工程师和技术人员进行脆弱性评估可能是一个相当大的挑战。正如我们看到在COVID - 19期间远程操作和其他形式的远程工作激增一样,网络安全服务领域也正在接受这一概念,并将其应用于各种工程服务,包括网络安全漏洞评估。
ARC最近与工程供应商L&T技术服务公司(LTTS)讨论了OT级别的网络安全评估。多年来,该公司一直在进行OT级别的脆弱性评估,并开发了一种结合标准方法进行远程评估的方法。
OT级别网络安全评估有何不同?
网络安全评估是网络安全生命周期的必要组成部分。管理风险的第一步是
了解系统中当前的风险水平。ISA/IEC 62443-3-2标准概述了进行网络安全风险评估的过程。常规合作包括审查控制系统架构和设备,以识别防御中的潜在漏洞,审查当前的网络安全项目和实践,以识别可能限制公司维持安全态势能力的人员和流程漏洞。最终可交付成果包括风险评估和缓解建议。对网络资产进行实物盘点是一种常见的选择,特别是对于设备较老、变更管理程序不成熟的设施。
标准、指南和最佳实践
一个好的OT级别网络安全评估将符合行业标准和最佳实践,如IEC/ISA 62443标准和NIST网络安全框架(CSF),也将执行关键任务,如资产识别和风险评估。
虽然大多数服务提供商都有自己的网络安全指南,但终端用户越来越多地要求按照普遍接受的指南和标准进行评估。这包括NIST网络安全框架,ISA99/IEC-62443, NERC-CIP和NIST 800-52/53。在某些情况下,用户可能还期望评估包括对特定行业标准和实践的遵从性。
传统和尖端技术的独特组合
工业、能源和关键基础设施应用程序还包含OT级别的私有遗留技术和资产的广泛混合,这些技术和资产并不总是易于检测。其中包括分布式控制系统
(dcs),可编程逻辑控制器(plc),机器人,远程终端单元(RTUs),安全和关机系统,等等。其中许多遗留系统也相当老旧,有些已不再受厂商支持。这些资产中有许多还带来了其他的缺陷和漏洞,比如像Windows XP这样不受支持的操作系统、过时的计算硬件和固件,以及各种应用程序未打补丁的旧版本。
相反,许多工业站点将这些旧的不受支持或无文档记录的资产与工业物联网(IIoT)下的较新的创新技术和系统相结合,包括新的边缘计算设备、物联网传感器、基于云的系统、无线技术、vlan等。
它/网络收敛
缺乏资源可以说是OT网络安全项目面临的最大挑战。它会导致管理不善的防御和未检测到的妥协,从而为攻击者提供时间来破坏关键资产和窃取专有信息。这也是最难克服的问题之一。网络安全专业人员的全球短缺和高成本使得招募必要人员变得困难。
IT和OT网络安全项目的融合对解决这些问题大有裨益。大多数IT集团都有网络安全专家团队,他们可以立即填补困扰设施的专业知识空白。这就减少了每个工厂雇佣具有这些独特技能的人的需求。然后,现有的OT网络安全资源可以应用于出于安全和运营原因需要在本地执行的任务。由于这些任务只需要基本的IT和OT技能,所以可以由当地的技术人员来完成。IT网络安全专家还可以提供任何可能需要的远程支持,以解决可能出现的特定问题。
IT和OT仍然有不同的网络安全要求
尽管IT和OT方法趋同,但OT级别网络安全的要求与IT世界不同。OT世界对时间的要求更严格,通常涉及安全或紧急关闭系统控制的危险过程。OT环境要求高可用性,具有复杂的变更管理需求和大量专有协议。与IT领域相比,补丁和升级的部署间隔更短,通常需要更特殊的测试,而且控制方式更严格。由于OT的系统、软件和控制器数量庞大且种类繁多,在资产发现方面也面临着更多挑战。在OT级别部署的许多资产也可能相当老旧,有些系统已经有20多年的历史了。
评估服务提供商的广泛混合
评估是最受欢迎的工业/OT网络安全服务。大多数公司都希望了解他们的潜在风险,即使他们并不总是能够解决缺陷。许多还要求对设施的安全进行定期审查。毫不奇怪,这一细分市场拥有最广泛的供应商组合。这些公司包括自动化供应商、控制系统集成商、小众ICS网络安全服务公司和IT/OT网络安全服务提供商。
网络安全风险评估
衡量风险和采用基于风险的框架和模型正成为衡量网络安全防范和保护总体水平的一种方法。在这个融合的时代,管理风险和采用基于风险的网络安全方法越来越有必要。通过工业和关键基础设施部门,基于风险的服务和基于风险的网络保险、工程和设计方法已经激增。
图片的网络安全服务
作为印度最大的工程集团之一Larsen & Toubro的子公司,LTTS在整个“设计到车间”价值链中提供工程服务,如产品概念化、设计与开发、测试、价值分析与价值工程、产品维护、制造支持、售后市场支持和工厂工程服务。
LTTS已经为制造业和过程工业进行了十年的网络安全评估。该公司基于NIST CSF和ISA/IEC 62443标准进行评估,并开发了自己的内部安全态势评估框架,该框架是定制的,用于应对互联产品的网络威胁。
LTTS评估服务包括审查控制系统架构和设备,以识别防御的潜在漏洞,审查当前的网络安全项目和实践,以识别可能限制公司维持安全态势能力的人员和流程漏洞。最终可交付成果包括风险评估和缓解建议。对网络资产进行实物盘点是一种常见的选择,特别是对于设备较老、变更管理程序不成熟的设施。
LTTS的目标是引导终端用户通过网络安全项目成熟度的各个阶段,最终实现主动和管理的网络安全状态,其中IT层和OT层都被持续监控。LTTS进行评估后,可以提供额外的服务,包括修复、被动监控、补丁升级、防火墙更新和网络分段服务。LTTS具有远程安全监控和事件响应能力。
目前,LTTS已经在世界各地为全球企业集团开展了50多个脆弱性评估和渗透测试(VAPT)项目。LTTS拥有多个行业的专业知识,从制造业到汽车、半导体、电子、建筑和智能城市。该公司在以色列也有一个创新中心,致力于尖端的安全微服务。
COVID时代的远程OT网络评估
除了现场评估,LTTS还采取了许多步骤来自动化部分评估和进行远程评估。在COVID - 19时代,由于疫情及其相关的旅行限制,传统的现场网络安全评估受到了阻碍。然而,新冠肺炎的混乱正在激发创新,服务提供商推出了比以往任何时候都可以远程完成更多工程任务的新方法。
为了解决这些增加的远程工作的要求,LTTS开发了一个远程OT脆弱性评估方法.LTTS与终端用户组织内的单一接触点一起工作,可以通过检查、分析和报告远程执行从发现到数据包捕获的评估。该公司还拥有扩展这些评估能力的能力,以帮助最终用户实施管理网络安全服务,以实现更主动和持续的威胁监测态势。
发现会议
LTTS远程漏洞评估从发现会议开始,其中包括项目意识报告和OT网络拓扑结构审查。该团队审查整个OT过程及其关键输出,并审查任何已经到位的网络工具。然后,团队确定所需的网络访问点并确定访问持续时间。其他信息,如OT网络设计、IP模式、已知的自动化供应商和系统列表,以及已知的OT协议列表也被提供和审查。
数据包捕获
LTTS指导工厂团队在相关采掘点上运行包捕获的过程。然后,包捕获文件被上传到一个安全的位置,由LTTS检索。
检查和分析
LTTS处理捕获的数据包并进行分析。标准遵从性审计是通过远程会话执行的。
报告
一旦进行了数据包分析和标准合规性审计,LTTS就会构建一份全面的OT安全评估报告,以分享评估中的任何相关见解和信息。该公司还为发现的问题提供了建议的补救措施。
评估报告包括来自LTTS的关键见解,包括资产清单和普渡模型的交互图。还提供了资产通信协议映射以及类型、固件和供应商详细信息。除了供应商的资产分类,该报告还包括一个已知漏洞的列表,其中包含CVE的详细信息,以及安装过程中的主要安全漏洞。
超越评估的生命周期能力
评估也不会在评估之后结束。LTTS在评估后还提供许多其他网络安全服务,可以引导终端用户采取更主动的网络安全态势。作为其SOC作为服务的一部分,LTTS可以持续监控和改善组织的安全态势,同时预防、检测、分析和响应网络安全事件。
案例研究
消费产品
LTTS已在许多客户站点实施其远程评估方法。最近的一个成功案例是在一家大型全球消费品制造商。该评估是IT和OT级别的评估,确定了资产和相关风险。LTTS对网络拓扑、IT和OT网络分割进行了验证。
由于这是一个IT/OT审计组合,LTTS对IT元素进行了审计扫描,以确定主要的漏洞。他们还完成了关键OT实体的审计扫描和手动验证,如MES系统、控制系统,以及agv识别主要漏洞的能力。评估的OT部分遵循NIST指南。评估完成后,LTTS将针对发现的漏洞向最终用户提供补救措施,并为持续监测和通知系统提供进一步的建议。
食品和饮料
LTTS最近完成了对全球烟草专业的另一项远程脆弱性评估。与消费产品项目一样,这个案例研究包括对IT和OT资产的评估。在非生产时间对IT资产和选定的OT资产进行自动扫描。现场对选定OT子网进行被动网络流量监测,并对站点接入点进行扫描验证。
该项目还包括访问控制列表(ACL)验证和防火墙架构验证。LTTS在其IT网络扫描项目中也使用了主动扫描技术。该项目的主要建议包括实施持续监测和通知制度。
5G私有网络评估
私人部署的5G网络已经开始进入车间。LTTS最近完成了对一家主要电子产品制造商拟议的专用5G网络的独立安全评估,以降低与操作这些技术相关的风险,并使客户能够实施一个强大而安全的5G网络。
LTTS提供了5G网络组件的安全评估,并为5G网络的每个组件开发了安全测试用例。该公司还审查了正在部署的网络的整体架构,以确保它符合终端用户的总体网络安全需求。LTTS还审查了防火墙需求、与供应商的维护和服务合同,并推荐了端到端威胁监控解决方案。
建议
评估潜在合作伙伴的能力和专业知识非常重要,以确保他们了解您所在行业的要求以及相关标准和最佳实践,但终端用户也必须了解,评估是网络安全生命周期的第一步。评估建立了资产清单、性能基准,并真正应该提供终端用户整体网络安全状况的全面图景。
评估只是整个网络安全生命周期中的一个步骤,并将进入实施和维护/运营阶段。任何潜在的评估合作伙伴都应该在此背景下查看它,并为您提供指导,关于如何使用评估中收集的信息来纠正问题,实施解决方案,并在您的工厂或设施的整个维护和运营阶段提供价值。
远程评估是一种很好的方式,可以利用当前的技术套件,查明关键漏洞,并开发更可靠的网络安全态势,无需现场工程师的要求和相关成本。好的远程评估需要评估提供者和最终用户之间的充分协调,因此ARC建议最终用户对远程服务提供有充分的了解,包括对最终用户的项目职责和所需的工作流程的期望。
有关LTTS远程网络安全评估功能的更多信息,您可以点击这里访问他们的网站.
ARC咨询集团客户可以查看完整的报告弧客户门户
如果你想购买这份报告或获取如何成为客户的信息,请联系我们
关键词:OT级别网络安全评估,LTTS, Larsen & Toubro技术服务,IEC 62443,风险管理,NIST CSF, ARC咨询组。