工业制造业热门话题:如何保护运营技术免受网络攻击.pdf
普华永道 工业制造业热门话题 如何保护运营技术免受网络攻击普华永道 工业制造企业正在经历第四次工业革命 , 数字 化程度的提升使企业效率显著提高 。 然而 , 数 字化转型也加剧了企业受到网络攻击的可能 性 , 尤其是那些使用过时运营技术 ( 以下简称 为OT )的企业。 OT 被称为网络与物理世界相遇的技术 。 在当下 工业4.0 以 及 新 基 建 浪 潮 下 , 许多工业制造企业 却 仍 在 使 用20 年 前 建 立 的 遗 留 系 统 。 这 些 工 业 控制系统(ICS) 例 如 逻 辑 可 编 程 控 制 器 (PLC ) 、 远 程 控 制 终 端 (RTU ) 以 及 数 据 采 集与监视控制系统 (SCADA ) 等等, 缺 乏 安 全 的网络设计 , 容 易 成 为 网 络 攻 击 目 标 。7 月23 日 , 美国国家安全局 (NSA ) 联合国土安全部 下 属 的 网 络 安 全 和 基 础 设 施 安 全 局 (CISA ) 共 同发出预警, 指出攻击者在持续利用可通过互 联网访问的OT 资 产 对 关 键 基 础 设 施 开 展 恶 意 攻 击 。 预警建议美国的工业企业立刻减少OT 控制 系统对外暴露的访问路径 , 从而减少各类攻击 的可能。 对于中国工业制造企业而言 , 也要对 网络威胁这个关键风险因素提高警惕并加速部 署应对方案。 本文将探讨工业制造企业OT 的网 络安全风险和应对措施 。 2 工 业 制 造 业 当 前 热 门 话 题 之 一 篇普华永道 IT/OT 的深度融合凸显网络 安全问题 工业制造 企业在 发展过 程中往往会 引入IT 技术 , 尤其是数据分析 、 处理与实时监控方面 , 使企 业能够更智能 、 更准确地捕捉市场需求 , 从而 获得更高的利润 。 工业4.0 以 及 新 基 建 浪 潮 将 更 加深入地推动工业互联网发展 , 也将为整个行 业带来更广阔的发展空间 。 随 着 制 造 业IT 和OT 领 域 深 度 融 合 , 网 络 安 全 的 范 畴 也 从IT 领 域 扩 大 到OT 环境。 但OT 下 的 网 络 安 全 与 传 统IT 安 全 仍 存 在 较 大 差 异 。 例 如 :OT 安全更注重工业自动化控制设备的高可用性 , 而传统IT 环 境更注 重数 据的机密性 。 由于 性能 和 属性不同,OT 安 全 的 影 响 范 围 也 从 系 统 和 数 据 延伸到人员安全 、 环境安全以及财产安全 , 甚 至国家安全 。 OT 环境下网络安全风险案例 随着工业企业不断增加远程操作 、 远程监控 、 以及为了工作效率而不断扩大的关键技能领域 ( 如 仪 器 和 控 制 、OT 资 产 管 理/ 维护) 的 外 包 规 模 , 可 通 过 互 联 网 访 问 的OT 资 产 变 得 越 来 越 多 。 最近几年 , 普华永道观察到越来越多针对 工业制造业OT 环 境 的 网 络 攻 击 事 件 。2017 年 , 一 家 中 东 地 区 的 石 油 企 业 遭 受 到TRITON 恶 意 软 件攻击, 攻击目标是某全球主流工控系统厂商 的 安 全 仪 表 系 统 (SIS ) , 此 次 攻 击 导 致 一 些 SIS 控 制 器 的 正 常 安 全 状 态 被 破 坏 转 而 切 换 到 失 败的安全状态, 甚至自动关闭了工业流程 。 通 过 分 析 得 知 , 该 恶 意 软 件 从IT 渗 入 到OT 核 心 组 件已经有一段时间 , 但攻击者并不急于兑现攻 击效果, 而是策划长时间潜伏在网络中等待关 键时刻发起攻击 , 进而影响石油供应和期货价 格,给受害者造成重大损失 。 另一个案例是在2018 年3 月 , 某全球领先的半导 体台商工厂内, 一位工程师的上位机遭勒索病 毒入侵, 造成该企业台湾新竹厂区 、 台中厂区 及台南厂区这三大生产基地产全线停产 。 其后 分析得知, 上位机感染的勒索病毒为 Wannacry 。 起 因 是 第 三 方 装 配 人 员 在 配 置 过 程 中使用U 盘 拷 贝 文 件 , 且 结 束 操 作 后 未 进 行 恶 意 软件查杀操作, 从 而 引 致 勒 索 病 毒 大 范 围 传 播。 无独有偶 ,2019 年3 月挪 威 铝 业 巨 头 也 遭 受 到 勒 索病毒LockerGoga 攻击 , 导 致 该 企 业 多 个 区 域 工厂生产环境停摆并需要数月才能完全恢复 , 损失金额高达数亿人民币甚至更多 。 3 工 业 制 造 业 当 前 热 门 话 题 之 一 篇普华永道 OT 网络安全风险应对六大措 施 4 工 业 制 造 业 当 前 热 门 话 题 之 一 篇 由于工业制造业所面对的网络安全风险不断增 加 , 一旦资产受到破坏不但可能给企业带来损 失 , 也会对社会和公众带来负面影响 , 由此国 家监管机构的合规要求也随之增加和强化 。 例 如 网络安全法 中对关键信息基础设施的规 定 、 等级保护2.0 基 本 要 求 中 对 工 业 控 制 系 统 的 扩展要求、 工信部发布的工业控制系统多项规 定(如 工业控制系统信息安全防护指南 、 工业控制系统信息安全事件应急管理工作指 南 、 工 业 数 据 分 类 分 级 指 南 ( 试行 ) 等 ) , 以及与之相对应的合规检查工作也已经 由相关部门组织逐步开展普华永道 针对于此, 普华永道网络安全专家团队认为 , 工业制造业可采取以下措施减轻风险 。 1) 识别和保护关键资产 工业制造企业在OT 安 全 建 设 过 程 中 , 最重要的 步骤之一是梳理现有资产 , 识别资产重要性进 而准备可行的措施保护它们免受网络攻击 。 通 过工具( 或专业的商业方案 ) 自动识别创建准 确的资产清单 , 为 持 续 降 低 网 络 风 险 提 供 基 础。 2) 评估和设计OT 网络隔离及安全架构 由于OT 环 境 一 般 由 专 门 的 工 程 团 队 维 护 管 理 , 因此往往缺少专业安全团队定期实施的专项OT 安全评估。 此类评估能更准确了解企业OT 环境 与业界最佳实践 、 合规要求的差距 , 发现问题 后可及时采取修复措施 。 还应利用专业团队为 企业设计规划OT 网 络 安 全 架 构 ( 可参考业界常 用的Purdue model 架构 ) , 包括网络分级隔 离 , 制定不同安全区域, 访问控制等内容。 针对 必要的远程访问 , 需要进行强身份验证并部署 实时日志监控措施以保证相关访问操作都是授 权及必要的。 企业还应该对标行业最佳实践 , 如NIST 800-82 标准或IEC-62443 系 列 标 准 帮 助 识别风险点,增强OT 环境的安全防御能力 。 OT 环境安全架构示例图 第 4/5 层 企业资源层 Windows域控 (Active Directory ) 数据库服务器 网络交换机 安全信息和事件管理 (SIEM ) DMZ 防病毒服务器 补丁管理服务器 网络交换机 网络防火墙 网络防火墙 工控防火墙 工控防火墙 (协议转换功能) 第 3 层 生产管理层 工程师工作站 Windows 域控 历史运行数据中心 网络交换机 第 2 层 过程监控层 人 机 交 互界面 (HMI) 工程师工作站 SCADA服务器 网络交换机 第 1 层 现场控制层 工控交换机 PLC / RTU PLC / RTU PLC / RTU 第 0 层 现场设备层 传感器与机械设备 5 工 业 制 造 业 当 前 热 门 话 题 之 一 篇普华永道 3) 定期检测漏洞及配置管理 完成上述资产梳理与网络隔离后 , 定期检测以 预防OT 资产 遗留重 大 漏洞也是重 中之重 。 与传 统IT 资 产 不 同 ,OT 资 产 无 法 经 常 打 补 丁 、 更新 系统;但针对一定程度的重大漏洞 , 仍需要考 虑采取一定的风险缓解措施 , 防止其被恶意利 用 。 同时需要有完善的变更管理流程 , 确保系 统、网络的配置变更是记录并授权的 。 4 ) 部署终端防护 终端防护也是工业企业需关注的一个重要领 域 。 在OT 终 端 会 使 用 与 传 统IT 终 端 不 同 架 构 、 不同操作系统的终端类型 , 也会使用基于特殊 版 本 或 老 旧 版 本Windows 或Linux 操 作 系 统 的 终 端来支持各类工业应用 。 如此混杂环境给企业 的终端管理带来了挑战 , 也会给病毒传播留下 机会。 这需要企业按照规模和实际预算部署杀 毒软件 、采用主机入侵防御系统 (HIDS, Host Intrusion Detection System )、终端检测与响 应 (EDR, Endpoint Detection & Response )、 白 名单应用控制等解决方案降低来自终端的网络 风险。 5) 建立安全事件应急响应机制 企业必须采取措施保持网络复原能力 。 良好的 备份措施以及事件响应计划是保持OT 环 境 及 时 恢复的基础。 通过分析过去的违规行为 , 企业 可以避免重复犯错。 管理层还须定期与应急管 理团队一起开展网络安全事件演练 , 当网络安 全事件发生后,能迅速应对并恢复运营能力 。 6) 组织培养网络安全人才 在IT/OT 安全建设中 , 拥有经验的专业安全人才 对监控及运营工业控制系统起着至关重要的作 用 。 人员是所有网络安全问题的基础 , 企业必 须实施培训计划 , 使员工在发生内部或外部攻 击时知道如何采取行动 。 同时 , 企业还必须增 强安全意识教育,发展企业内的安全文化 。 安全架构 识别关 键基础 设施 安全评估 安全提升 方案 安全制度 及标准 事故事件 响应 普华永道OT 安 全服务 01 02 03 04 05 06 安全架构 为关键基础设施及控制系统环境 设计安全构架 安全评估 工业控制系统网络安全审查 从网络安全角度评估 DCS/SCADA构架 过程和程序级别安全评估 安全提升方案 基于安全评估结果制定 规划改进方案 识别关键基础设施 关键基础设施的识别 为关键基础设施运营者制定数据安全 交换流程 事件响应 建立事件响应计划及演练 安全制度及标准 为工业控制系统环境编制安全文档(政策及步骤) 制 定 技 术标准和要求,使得OT 系 统能在经营者和 供应商合作时被使用 6 工 业 制 造 业 当 前 热 门 话 题 之 一 篇普华永道 联系我们 冯昊 普华 永道 中国 能源 与基 建 行业 管理 咨询 合伙人 +86 (21) 2323 2818 总而言之, 一个健全的OT 安 全 防 御 系 统 对 保 护 企业工业控制环境免受网络攻击至关重要 。 在 OT 运营和企业生产过程中 , 企业和董事会应重 视OT 安 全 建 设 并 投 入 足 够 的 资 金 、 时 间 和 精 力 , 在业务发展的关键时刻需要咨询专业安全 团队共同打造适合企业的安全防御体系 。 李扬 普华永道中国网 络安 全管 理咨询 合伙 人 D +86 (10) 6533 7800 祁英 普华 永道 中国 能源 与基 建 行业 管理 咨询 总监 +86 (10) 6533 7588 潘 晓鸥 普华永道中国网 络安 全管 理咨询 总监 +86 21 2323 2693 本文 仅为 提供 一 般性 信 息之 目 的, 不应 用于 替代 专 业咨 询 者提 供 的咨 询意 见。 2020 普 华 永道。版 权所有 。普华 永道系 指普华 永道网 络及 / 或 普 华永道 网络中 各自独 立的成 员机构 。详情 请进入 。 PMS-001943
