运营技术环境插图

OT 和 ICS 安全

什么是 OT 安全?

OT 安全(也称为 ICS 安全和工业物联网安全)是指帮助确保工业网络和关键基础设施在运营上的持续性、完整性和安全性的网络安全实践。

OT、ICS、SCADA 和 IIoT 分别是什么?

什么是运营技术 (OT)?

OT 是通过控制或监控设备、流程和事件,检测或更改物理环境的硬件和软件。OT 涵盖多种解决方案,包括阀门、泵、驱动器、传感器、机器、机器人和工业控制系统。这些解决方案用于在制造厂、电网、供水设施、石油和天然气、运输以及其他行业开展运营。

什么是工业控制系统 (ICS)?

ICS 用于管理、自动执行和控制工业运营中的物理流程。ICS 根据远程终端设备 (RTU)、智能电子设备 (IED)、可编程逻辑控制器 (PLC)、安全仪表系统 (SIS)、分布式控制系统 (DCS) 或监控和数据采集系统 (SCADA) 等执行的逻辑,向 OT 资产发出指示。

什么是工业物联网 (IIoT)?

IIoT 是指旨在满足工业运营需求和恶劣环境特定限制(需隔热、防尘、防水或防振动)的物联网解决方案。IIoT 解决方案用于收集、监控和分析来自工业运营的数据,以增强故障排除和维护能力、提高效率、降低成本并提升安全性。

什么是工业物联网?>

什么是 ICS 安全?

ICS 安全可保护控制器和 OT 资产免受网络威胁的影响,并有助于确保工业网络与关键基础设施在运营上的持续性、完整性和安全性。ICS 安全、OT 安全和工业物联网安全虽然是不同的术语,但目标相同,都是为了保护工业自动化设备和运营网络免受网络威胁的影响。

OT 安全为何如此重要?

工业控制系统和运营技术在我们的身边应用非常广泛,例如用于控制供水网、燃气网和配电网;运行发电厂和关键基础设施;实施工厂生产线自动化;以及用于十字路口和铁路系统等交通运输基础设施。工业网络和关键基础设施遭受网络攻击,会对组织及其客户和公众造成广泛的长期影响。后果包括运营中断(会导致停产和收入损失)、设施受损、员工受伤、环境灾难、监管合规问题以及民事或刑事责任。

OT 网络安全面临哪些挑战?

以前,ICS 和 OT 资产与企业的其他资产和互联网各司其职,相互分离。但随着组织实现数字化运营并部署工业 4.0 技术,他们需要在 IT、云端和运营网络之间实现顺畅通信,这使 ICS 和 OT 资产面临严重的网络威胁。

缺乏可视性

某些 OT 资产是在几年前甚至几十年前安装的,在恶意流量(如 DDoS)和漏洞攻击面前不堪一击。更糟的是,大部分组织并不完全清楚自身需要保护的 OT 资产,因此难以评估各种风险,如严重漏洞、互联网流量风险,以及可能导致恶意攻击者获得访问权限的错误配置。

缺乏可控性

工业网络通常未实施分段,因此攻击者很容易在其中横向移动而不被察觉,恶意流量也很容易传播到整个环境。远程访问在工业网络中应用广泛,但用于远程访问的蜂窝网关或软件通常不在 IT 团队控制范围内。IT 用来保护企业的安全工具无法分析 ICS 和 OT 资产使用的通信协议,因此很难检测到威胁。

缺乏协作

在许多组织中,首席信息安全官 (CISO) 和 IT 团队共同负责网络安全,但他们几乎都不了解运营和流程控制技术专业知识。OT 团队有时候会忍不住想要将他们的网络隔离开来,但若 OT 与 IT 部门之间缺少信任和协作,会对组织的安全带来毁灭性的影响。

OT 安全与 IT 安全有何不同?

IT 网络安全和 OT 网络安全有很多共同之处,例如都需要抵御恶意软件、防范恶意流量、控制资源访问和减少漏洞。但 OT 环境本质上是物理环境,因此在构建运营技术安全策略时需要考虑它的一些特殊性。

OT 团队更看重可用性而非机密性。

在 IT 领域,数据的机密性、完整性和可用性至关重要。虽然 OT 团队也担心数据遭到窃取,但他们更关注保持生产正常进行。试想一下,电网停运、交通信号灯熄灭或管道关闭会造成多么大的影响。在 IT 领域,重新启动计算机或断开可疑设备连接的做法很常见,但在 OT 领域,这么做会对物理设施带来重大风险,并对组织造成巨大的收入损失。

OT 资产有不同的生命周期。

OT 系统的生命周期(15 到 30 年或更长)比 IT 系统的生命周期(3 到 5 年)长得多。有时,OT 资产太过老旧而没有适用的安全补丁可用。即使有可用的补丁,安装也并非易事。资产是业务关键流程的一部分,几乎不能停止运行。在 IT 环境中一直安全使用的程序并不适用于 OT 环境。

看似正常的行为也许是网络攻击。

恶意软件入侵是 OT 环境的最常见威胁,但也存在更复杂的攻击,包括更改工业流程的基本参数,使之无法正常运行。要检测对工业流程的更改,需要解码工业网络流量,同时清楚了解正常行为模式以确定所发送命令的合法性。

OT 资产使用特定通信协议。

要确定 OT 资产、了解其行为并检测异常,需要解码数据包负载并分析通信内容。解码协议(如 Modbus、S7、Profinet、EtherNet/IP、CIP、NTCIP、CC-Link、IEC104/101/61850、DNP3 和 OPC)对于保护工业网络和关键基础设施至关重要。IT 安全解决方案通常不具备这些功能,需要使用 OT 安全工具才能获得对运营环境的可视性。

什么是 ICS 安全的普渡模型?

普渡企业参考架构 (PERA) 由普渡大学应用工业控制普渡实验室 (PLAIC) 于 1990 年代开发,后来并入了国际自动化学会 (ISA) 的 ANSI/ISA-95 国际标准。

普渡模型框架将工业控制系统 (ICS) 网络从企业网络中分离出来,根据各系统在工业网络中的作用对系统分级:

  • 0 级(流程区):包括与物理设备(传感器、致动器、机器)交互的设备。
  • 1 级(控制区):包括向 0 级设备发送命令的智能设备,例如可编程逻辑控制器 (PLC)、远程终端设备 (RTU)、智能电子设备 (IED) 和安全仪表系统 (SIS) 等。
  • 2 级(监控区):包含控制并监控物理流程的系统,例如分布式控制系统 (DCS)、监控和数据采集系统 (SCADA) 以及人机接口 (HMI)。
  • 3 级(运营区):用作运营网络的数据中心,托管负责协调工业流程的系统,包括制造执行系统 (MES) 和数据历史管理器
  • 4 级和 5 级(企业区):包括传统 IT 企业网络,该网络包含企业资源规划 (ERP) 和邮件服务器等业务系统,如用户计算机和相关功能。

虽然该模型列出了六大功能级别,但它将工业支持运营分为三个主要区域:

  1. 企业区(4 级和 5 级)包括 IT 控制的环境,如企业数据中心、LAN、WAN 和商业应用托管。
  2. 工业隔离区 (IDMZ) 是关键环境或生产系统与企业网络之间的缓冲区。工业区与企业区之间的所有共享服务均部署在 IDMZ 中。
  3. 工业安全区(0 级到 3 级)包含关键运营系统,如进行低延迟或实时频繁通信的单元区/区域区 。

 

普渡模型功能级别

什么是 OT 网络安全标准?

NIST 网络安全框架 (CSF)

网络安全框架 (CSF) 是美国国家标准技术研究院 (NIST) 提供的一组网络安全最佳实践和建议。它使用包含以下五个关键功能的简单模型来帮助您构建方法结构:识别、保护、检测、响应和恢复。

阅读 NIST 网络安全框架白皮书 (PDF) >

NIST SP 800-82

NIST 特别出版物 800-82《运营技术 (OT) 安全指南》深入概述了 OT,并说明了典型系统拓扑、常见威胁和漏洞以及应对相关风险的安全对策。

阅读 NIST OT 安全指南 (PDF) >

ISA99/IEC 62443

国际自动化学会 (ISA) 和国际电工委员会 (IEC) 共同制定了一系列 OT 安全标准(称为 ISA99IEC 62443)。该系列标准定义了评估风险、开发安全组件、设计安全工业网络架构和衡量每项安全要求成熟度的方法。

阅读 ISA/IEC-62443-3-3 白皮书 >

NERC CIP

北美电力可靠性公司关键基础设施保护 (NERC CIP) 报告和审计合规计划旨在帮助美国和相邻国家/地区的电力设施运营商实现系统级网络安全。

阅读 NERC CIP 合规白皮书 >

欧盟 NIS/NIS2 指令

网络与信息安全 (NIS) 指令是在所有欧盟成员国施行的网络安全立法,其目标是提高关键基础设施的安全性和弹性,并列明安全要求、报告义务和严格的监管措施。

阅读 NIS2 合规白皮书 (PDF)

什么是 OT 安全最佳实践?

运营网络基于 IT 技术,因此 OT 安全需要与 IT 网络相同的网络安全解决方案,如边界安全、终端保护、多重身份验证 (MFA) 和团队培训。必须实施特定措施来支持性质特殊的 OT 环境。Cisco Industrial Threat Defense 是思科的 OT 安全解决方案,可帮助您增强 OT 安全性。

限制 IT 域与 OT 域之间的通信

在实现 OT 安全的过程中,第一步是限制对 OT 网络的逻辑访问。常用设置方法是带有防火墙的 IDMZ 网络,通过防火墙阻止网络流量在企业与 OT 网络之间直接传递。IDMZ 防火墙是攻击者尝试入侵网络时面临的第一道防线,也是执行最低访问权限策略以确保只有合法服务可以安全地进入网络的位置。

了解 Cisco Secure Firewall >

维护详细的 OT 资产清单

您无法保护您不了解的资产。维护详细的运营技术资产清单是实施 OT 安全计划的前提。OT 环境可视性有助于识别各种风险,包括软件漏洞、未知资产、IDMZ 泄漏和不必要的通信活动。它可帮助组织了解攻击与 OT 网络的瞬时情况或正常运营状况之间的区别。

了解 Cisco Cyber Vision >

将 OT 网络分割为多个较小的可信区域

多年来,许多工业网络已发展为大型扁平化双层网络。现在的当务之急是限制资产之间的通信,以防止攻击在整个生产基础设施中传播并造成破坏。ISA/IEC-62443 安全标准建议将系统分组,这些组称作“区域”,通过一种叫做“管道”的通道来互相通信。

要对区域分段使用防火墙,需要部署专门的安全设备、更改网络布线并维护防火墙规则。幸运的是,您可以使用软件分段来实施安全策略,并在工业网络中建立安全区域,而无需部署和维护专门的安全设备。

了解 Cisco Identity Services Engine (ISE) >

实施对 OT 资产的零信任远程访问

远程访问对于管理 OT 资产并及时排除故障非常重要,避免了付出大量时间和成本前往现场作业。对于许多组织,机器制造商、维护承包商或运营团队都已自行安装蜂窝网关或远程访问软件,而这些都不在 IT 控制范围内。此外,安装在 IDMZ 中的虚拟专用网络 (VPN) 需要维护复杂的防火墙规则,并且无法访问 NAT 边界之外的设备。

零信任网络访问 (ZTNA) 解决方案能够帮助组织减少网络风险,因此备受关注。ZTNA 是安全远程访问服务,可验证用户身份并根据身份和情景策略仅授予对特定资源的访问权限。它首先默认拒绝访问,再根据情况提供当前所需的适当信任。但在 OT 环境中,为了简化大规模部署并提供对所有资产的访问权限,ZTNA 必须为分布式访问。

了解 Cisco Secure Equipment Access (SEA) >

为安全团队提供对 IT 和 OT 环境的全局可视性

除了识别和保护 OT 资产外,OT 安全还需要检测并应对网络安全事件。OT 安全通常独立管理,导致安全分析人员无法了解组织所面临的全局威胁环境。安全运营团队需要对症的解决方案,以便轻松洞悉 IT 域与 OT 域内的可观察对象,并启动补救工作流程以防止威胁穿过这些域。

了解 Cisco XDR >

做好最坏的打算

理想的网络安全响应能够防患于未然。所有组织应定期开展员工培训,使之掌握网络安全最佳实践。要让 OT 安全团队做好充分准备,还需要测试防御情况、构建行动手册并进行桌面演练。

了解 Cisco Talos 事件响应服务 >