确保远程操作的网络安全-广州启明自动化科技有限公司

　　确保远程操作的网络安全

　　远程访问工厂地板上的机器为制造商节省了时间和金钱。与其等待工程师到达而造成的昂贵停机时间相比，远程访问可以在没有现场工程师的情况下解决这些问题。

　　Dragos的副总裁Nick Shaw表示，远程监控是当今全球制造运营的必要条件。“从远程诊断和维护到状态监控，再到实现预测性维护，再到作为大规模分布式操作的 enabler，远程监控在众多场景中都至关重要。

　　远程监控还可以协助灾后恢复，以确保控制权能够安全地恢复到运营中，”他说。

　　“拥有分布式设施的制造工厂需要对生产指标和设备性能有集中化的可见性，”Elisity的首席执行官James Winebrenner说。“无论是电力生成、水处理还是油气管道等关键基础设施，都需要全天候的监控，无论其物理位置在哪里。在意外事件或紧急情况下，专家必须快速访问系统，而无需亲临现场。预测性维护计划需要从工业设备中持续收集数据，而合同制造商和供应链合作伙伴通常需要对生产过程有安全的可见性。COVID-19疫情加速了这一趋势，使远程运营成为标准的业务连续性要求，而不是例外。”

　　具备排除故障和了解情况的专业知识并不总是现场的。“对我来说，最大的用例是能够利用公司其他站点的外部专业知识，这些站点可能有经验来帮助解决这些问题，”Inductive Automation的首席技术传道者Travis Cox说。“用户能够看到数据并理解他们在做什么，在此过程中起到了很大的作用。集成商对许多远程访问项目来说是至关重要的。”

　　油气管道也有远程基础设施，如压缩机站或泵站。“对于气体，是压缩机站，对于液体，是泵站。水/废水处理设施也有类似的资产。它们是地理上分布的，并需要远程连接，”Skkynet的销售和市场总监Gurvie Waraich说。

　　远程操作风险

　　远程操作可能会带来风险，因为它将网络暴露给未经授权的个人。它为操作技术(OT)环境引入了几个重要的安全风险。“当你进行远程访问时，你正在向承包商和其他第三方开放[网络]，他们可以访问你的工具和链接到数据，扰乱流程并影响安全，”Cox说。“有许多系统使用了没有考虑安全性的遗留协议。”

　　Shaw经常谈论通过安全、生产力和质量的视角来看待风险。“最大的风险之一是利用远程连接控制关键系统，一旦进入OT环境，攻击者可能会转向造成物理损坏或过程运营中断等影响。”

　　“扩展网络连接会增加攻击面和潜在的威胁进入点，” Winebrenner 解释道。“传统的 OT 系统通常没有内置的安全控制措施，当连接到外部网络时，会暴露在现代网络威胁面前。身份验证漏洞可能会允许未经授权的访问，但如果分割不足，增加的 IT/OT 集成也可以实现水平移动。引入远程访问工具可能会引入未打补丁的漏洞，而远程监控通常需要特权访问凭据，这些凭据成为高价值目标。许多工业协议也没有加密功能，这可能会在数据在网络中传输时暴露敏感的运营数据。”

　　VPN的优缺点

　　“VPN [虚拟专用网络] 创建了一个从一个服务器到另一个服务器的隧道，”Waraich 说。“你的服务提供商保留了这些信息的记录。[但是] 只有那些多疑的人才能生存。你必须对你自己的信息多疑。你必须对你自己的隐私和数据拥有权超级警惕，因为越来越多的东西被连接到云端。公司被要求将数据传输到云端。那么，这些数据是谁的?”

　　Cox表示，最大的风险之一是过时的VPN，因为它们有漏洞，容易遭受网络攻击。“VPN很重要，但它们也是网络攻击者可以利用的风险。如果他们知道端点——该VPN的URL，他们可能会造成危害，”他说。“许多OT人员部署VPN，但他们不更新，不升级，没有正确管理，随着时间的推移，这成为更大的风险。IT在部署、保护和维持VPN方面可以非常成功。我认为直接将传统VPN部署到OT网络是错误的 approach。但是，VPN是必要的恶，因为这些系统是本地的。”

　　Wesco的高级副总裁兼总经理Scott Dowell在 Automation.com 上撰写了一篇文章 文章， 潜藏在你运营效率努力中的网络安全威胁：远程访问漏洞。他在其中表示，“特别是VPN可能对OT网络构成重大风险，因为它们有可能授予对关键系统的广泛访问权限。当没有适当的网络安全措施进行实施时，VPN可能会为未经授权的访问打开大门，使恶意行为者能够渗透整个网络，包括敏感的OT基础设施。

　　“这个漏洞主要存在于攻击者可以利用VPN本身的安全弱点或获取用户凭证，为他们提供通往日常运营中至关重要的工业过程的通道，”Dowell继续说道。“鉴于许多OT系统使用固有上更易受网络威胁影响的较旧协议，未经授权的访问可能导致严重后果，包括运营中断和设备的物理损坏。如果没有严格的的安全控制和警惕的监控，组织可能会危及其整个运营框架。”

　　Dowell建议，不要使用VPN，而是使用为OT网络设计的网络安全平台，该平台允许远程访问受控环境。“考虑使用包括虚拟服务器环境的解决方案，该环境具有工程师可能需要访问网络的资源和工具——而无需拨入VPN。虚拟网络使工程师能够安全连接，而不允许来自外部不可信网络的访问。此外，它们有助于合并硬件基础设施，从而降低成本;通过允许轻松创建和迁移虚拟机(VMs)来提高灵活性和可扩展性;并且通过集中工具简化管理。”

　　Winebrenner补充道，“VPN通常授予广泛的网络访问权限，而不是限制连接到特定所需的资源，这违反了最小权限原则。威胁行为者经常发现并利用VPN漏洞，正如最近针对工业组织的高调攻击所显示的那样。”

　　此外，VPN通常缺乏特定于OT的安全控制和监控能力，其身份验证方法可能无法为关键的工业系统提供足够的保护。VPN建立的持续连接也可以作为长期攻击OT网络的向量，尤其是在权限过度的账户被攻破的情况下。”

　　有效的网络安全解决方案

　　数据二极管、网络分段和多因素身份验证是适用于远程操作和监控的网络安全解决方案。然而，根据Winebrenner的说法，针对远程工业操作的最有效的网络安全方法结合了多种互补技术和实践。

　　“对于IT环境，基于身份的访问控制在管理用户访问方面提供了精确性。对于OT和物联网环境，基于网络的微分段使OT安全专家能够在基于运营要求和风险状况的情况下定义和实施明确的边界，而无需更改底层基础设施，”Winebrenner说。

　　Elisity 的平台和其他平台通过尊重 IT 和 OT 环境的独特需求，同时提供统一的管理平面来支持这种方法。“具有 OT 协议意识的网络监控解决方案可以对工业网络流量提供可见性。对于单向数据流要求，软件定义的微分段可以在没有专用硬件设备的情况下强制执行单向流量模式，”他说。

　　Waraich 表示，Skyynet 的 Cogent DataHub 具有安全功能，包括多因素身份验证、IP 地址和协议的白标能力、自定义角色的创建、数据二极管模式、数据隔离、隧道技术和 DMZ。

　　“考虑零信任方法非常重要，”考克斯解释道。“关闭所有东西，并且非常严格地选择谁可以访问什么，并确保正确的防火墙到位。如果我们想向某人开放访问权限，必须有一些授权流程和意识来允许这种访问。”

　　“绝不能有任何直接访问可编程逻辑控制器[PLCs]、设备和/或这些旧协议类型的系统的方式，”考克斯继续说道。“集成商能够访问PLC程序并可能进行更改是非常有利的。可能会有一些情况需要允许这样做，但最终，像那样的事情应该在现场进行，因为更改控制程序有安全风险。公司必须弄清楚远程访问对他们意味着什么。分段网络和有多层安全措施是重要的。零信任方法是重要的。对我来说，传输层安全[TLS]身份验证或加密、双因素身份验证和强密码是重要的，而且更容易实现。”

　　Cox补充说，确保系统是最新的、定期打补丁、设置审计记录，并对员工和合同工进行如何有效操作和管理安全的培训是很重要的。

　　Shaw表示，从为工业控制系统的远程访问环境设计的专用解决方案开始，寻找诸如多因素身份验证、会话记录、加密通信和细粒度访问控制等功能。“网络分段功能和特定于OT协议的功能进一步降低了风险。除了核心的安全远程访问解决方案，对工业控制系统网络的可见性和监控是审核访问和检测威胁的必要条件。”

　　数据二极管。 Winebrenner 表示，尽管基于硬件的数据二极管在单向数据传输方面具有安全优势，但它们并不是每个远程访问场景的理想选择。它们的不灵活性使它们不适合需要频繁配置更改的动态环境，并且其硬件实现限制了部署位置并增加了成本。“许多工业用例需要双向通信来控制功能，使单向二极管 impractical，”他说。

　　数据二极管 (图 1)在某些情况下可能是一种过度反应。Waraich 解释说，如果你正在从一个远程油井站点读取温度，你只在监控一个温度测量设备。没有连接到它的控制元件。“在这种情况下，一个数据二极管可能是一种过度反应。但如果它连接到一个控制阀，那么这可能就有意义，”他说。

　　图1：在数据二极管模式下的隧道/镜子。来源：Skkynet

　　“数据二极管允许数据只能在一个方向流动，”考克斯说。“如果有完全物理隔离的安全网络，我们可以使用数据二极管来获取数据。它们对出于历史目的获取数据非常有用，但没有反向通信。我们必须通过数据库存储数据或使用OPC UA或MQTT来获取数据。为此，数据二极管供应商必须支持该协议，这可能是为了支持在数据二极管场景中没有直接连接的状态less连接。”

　　“我认为对于那些只关心数据存储的用户来说，这可以作为一个步骤，”CoX继续说道。“它们也可能很昂贵。如果你设置好了正确的DMZ和防火墙，并使用正确的协议，你就可以以更低的成本和复杂度达到相同的效果。但是今天，用户需要做的不仅仅是获取历史数据。他们需要有实时信息;他们需要在某些方面进行控制或确认警报或各种必须远程完成的事情。”

　　网络分段。 Gregory Hale，工业安全与安全来源的编辑和创始人，ISSSource，在他的文章中写道，虽然网络攻击不可避免，但韧性至关重要，这种网络分段有助于实施安全的远程访问计划。有了网络分段，公司可以限制供应商访问特定资产，并防止远程访问OT设备与其他网络部分互动。”

　　现代的软件定义微分段解决方案比数据二极管提供了更灵活的替代方案，通过在需要的地方提供逻辑单向执行，同时在需要时支持安全的双向通信，Winebrenner解释道。“这种方法利用了现有的网络基础设施，更高效地扩展，并在保持强大的安全控制的同时提供了更大的运营灵活性，所有这些都基于OT安全专家定义的策略，而不是在运营环境中强加IT中心的模型，”他说。

　　追求整合与韧性

　　有效的OT/IT融合对于远程监控安全至关重要，但它必须尊重这些环境之间的基本差异。Winebrenner解释说，虽然传统方法将这些领域严格分开，“现代数字化转型需要在适当边界内进行安全集成。OT和IT团队之间的统一安全治理能够实现一致的策略执行、简化的事发响应以及对两个领域的全面可见性。”

　　解决这一差距的方案必须尊重OT安全原则，同时提供OT安全团队根据运营需求和风险评估设计的控制措施。“组织应追求Gartner所说的‘受控融合’——战略整合并采取适当的安全控制措施，而不是完全统一或继续保持严格的分离，”Winebrenner补充道。

　　随着工业组织接受远程监控能力，采用能够增强运营韧性而不是阻碍运营的安全解决方案至关重要。传统安全方法通常在安全、运营需求和成本之间 forced 难以取舍。Winebrenner 表示，现代微分段平台通过在网络不重新配置、不需要新硬件或代理的情况下实施基于网络的安全策略，提供了一种替代方案。

　　“通过利用组织现有的网络基础设施作为执行基础，[一个有效的]解决方案使工业组织能够在几天而不是几个月内实施安全的远程监控解决方案，”Winebrenner 解释道。“这种方法尊重了 OT 环境的独特要求，同时允许 OT 安全团队根据其对工业过程和风险状况的专家理解来定义和实施适当的控制边界。最重要的是，它减少了攻击面并最小化了横向移动风险，从而解决了大多数工业网络安全事件中利用的主要威胁向量。”