执行概述
工业公司正在迅速扩大对系统、应用程序、数据和人员的随时随地访问,以推动更高的生产率、更好的质量和更低的成本。好处是显著的,但也伴随着网络风险的增加。每一次跨越系统安全边界的交互都为攻击者创造了一条新的进入路径。每一个访问企业系统和资源的第三方设备都增加了恶意软件注入和数据丢失的风险。
目前的工业网络安全项目并没有设计成允许与外部资源进行广泛的通信。他们依靠强大的外围防御来保护系统,特别是在OT中,许多资产甚至缺乏基本的安全能力。
为了OT网络安全,公司已经在努力维持传统的网络安全策略。数据和应用程序被分散在多个站点上,公共网络被用来与远程站点通信,新的、难以管理的技术被部署在关键领域,对远程访问的需求呈指数级增长。试图在个案的基础上处理每一个问题已经站不住脚了。需要一种新的工业OT网络安全方法来确保所有资产和数据都受到保护。
联网员工的巨大利益使这成为一个紧迫的问题。经理们不能等着对每一个新想法逐一进行审查和批准。员工还需要根据手头的问题立即获得帮助,因为福利对时间很敏感。零信任已成为实现这些好处的最佳策略。本报告讨论了在工业OT系统中实现零信任所涉及的挑战,并就用户如何克服这些挑战提供了建议。
工业互联工人
联网工人出现在每一个行业和工业活动中。能够远程访问系统和资产的工人正在减少设备停机时间和旅行成本。现场人员可以即时访问项目信息,减少了施工延误和代价高昂的错误。对云资源和主题专家(sme)的即时访问正在提高工厂工人的生产力。在遥远和危险地区远程操作设备降低了安全风险和旅行成本。连通性还有助于更广泛地使用提高生产力的技术,如云分析、智能眼镜和增强现实。
所有这些连接的工作应用程序都依赖于对企业IT和OT系统、云和嵌入式物理系统中的大量设备、应用程序和数据的不受限制的随时随地访问。确保所有这些资产和交互的安全性至关重要。
对许多工业公司来说,使员工能够联网至关重要。他们需要这些能力来降低成本,提高生产力,并增加驱动盈利能力的设施的可用性。正如COVID大流行所表明的那样,在动荡时期,无论是大流行还是自然灾害,互联员工对公司的生存也可能至关重要。
虽然连接的工作人员跨越了大量的用例,但他们可以分为三个不同的类别:
- 外部工作人员使用个人和第三方设备访问公司IT或OT系统,以提供远程支持服务,并帮助内部工作人员解决关键问题,如流程中断和网络破坏。常见的例子包括在家工作的员工、目前不在现场的内部员工、在设施内工作的供应商服务人员、远程供应商支持团队等。
- 内部员工使用IT和OT系统设备访问外部资源,如云应用程序和数据、供应商站点和外部中小企业。例子包括访问供应商站点的人员,以及需要与外部专家交互以排除设备和系统问题的人员等。
- 远程站点的外部工作人员需要访问数据中心和云中的企业数据和应用程序来完成他们的工作。常见的例子包括工程师、项目经理和建筑工地的承包商、远程工地的供应商服务人员等。
对工业网络安全的影响
工业公司,特别是石油和天然气、化工和电力等关键行业的公司,早就认识到网络安全的重要性。大多数公司已经实施了保护IT和OT资产的计划。虽然这些项目一开始是孤立的,但许多公司开始将这些项目整合起来。
将内部人员、设备、网络和资源与外部世界隔离一直是工业网络安全的关键焦点。强烈反对与系统边界之外的任何东西连接,并密切审查。所需的连接,包括IT和OT系统之间的连接,都通过精心设计的防御措施得到了保护,这些防御措施将信息交换限制到特定的端点和消息类型。
技术发展和新的业务策略迫使安全团队在工业IT和OT系统中扩大外部连接的数量。IT安全程序需要支持公共网络、云服务和分布式计算模型的增加使用。OT安全程序需要支持云数据共享、物联网设备和基于云的操作软件的转变。这些增量的、进化的开发有定义良好的、详细的用例。它们出现的速度很慢,因此安全团队有时间充分分析安全威胁并设计适当的安全保护措施。
联网工人带来了另一种安全挑战。这些工作人员需要特别的、不受限制的访问已建立的安全边界内外的广泛资源。他们的需求取决于情况,不能预先定义。同样,这些工作人员不能等待安全团队的审查和批准。
允许自由访问可以产生显著的好处,但也可能对安全、环境遵从性和业务连续性造成不可接受的风险。试图以个案的方式解决这些风险,设计的安全边界扩展是行不通的。一些通用用例可以被定义,但是它们永远不会有安全团队设计特定防御所需的具体细节。
确保联网工人的安全需要改变现有网络安全计划的基础。这包括反映网络安全事务观与传统系统边界观的新流程和技术。这些更改的目标是支持安全的、动态的、临时的交互,而不管人员、设备、网络和资源是在传统安全范围内还是外部。如果实施得当,这些变化将解决两个关键问题:
- 防止跨边界交互破坏现有安全边界内外的公司资产的完整性。
- 为每个会话中发生的所有信息交换和操作提供端到端安全性。
零信任已经成为实现这些目标的首选模式,各种指导方针可以帮助公司实现这些概念。
表的内容
- 执行概述
- 工业互联工人
- 对工业网络安全的影响
- 与产业相关的工人信任问题
- NIST零信任网络安全指南
- 在工业系统中使用零信任
- OT连接工人零信任解决方案
- 建议
ARC咨询集团客户可在以下网站查看完整报告弧客户门户
如果您想购买这份报告或获取如何成为客户的信息,请联系我们