+8618675556018

Förbättra cybersäkerhet i OT-system (Operational Technology) när de integreras med IT-nätverk

Aug 26, 2024

Eftersom OT-system fortsätter att integreras med IT-nätverk kräver tillverkningsföretag mer robusta cybersäkerhetsåtgärder för att minska riskerna.

 

Framväxten av Industrial Internet of Things (IIoT) har onekligen utökat anslutningsmöjligheterna från enhetsnivå till molnet, och därigenom ökat attackytan för automatiserade anläggningar. Även om direkta anslutningar till molnet erbjuder övertygande affärsfördelar, såsom övervakning av fjärrunderhåll, spårning av nyckelprestandaindikatorer (KPI) och processoptimering, kommer dessa fördelar på bekostnad av försvagad säkerhet. Steve Fales, direktör för marknadsföring på ODVA, förklarar, "Dessa nya anslutningar kan tillåta dåliga aktörer att infiltrera industriella nätverk, vilket leder till ökat fokus på säkerhetskoncept som Zero Trust, som kräver validering innan de ansluts till någon enhet. Dessutom är vikten av att distribuera flera säkerhetsmetoder för att täcka alla delar av nätverket har ökat avsevärt."

 

Zero Trust-konceptet förutsätter att nätverket redan är komprometterat. Detta innebär att varje anslutning, oavsett ursprung, måste valideras, vilket ger endast den minimala åtkomst som behövs under kortast möjliga tid. Dessutom måste all kommunikation vara säker. För att gå mot Zero Trust måste företag kryptera kommunikation, tillhandahålla rollbaserad åtkomst, autentisera slutpunkter och säkerställa att kommunikationen är manipulationssäker.

Förutom att anta Zero Trust, rekommenderar Steve att man använder flera säkerhetsmetoder som en del av en djupförsvarsstrategi för att säkerställa säkerheten för industriella kontrollnätverk. Som en del av ett processorienterat helhetsgrepp är fysisk trygghet och personalutbildning utmärkta utgångspunkter. Det här är två enkla men effektiva metoder för att avskräcka dåliga skådespelare.

 

Att implementera hotmodellering är ett annat viktigt sätt att förstå nätverkssårbarheter och formulera responsplaner. Baserat på detta kommer switchbaserade brandväggar, djup paketinspektion, vitlistning och andra nätverksskydd att distribueras på ett ordnat sätt. Steve fortsätter, "Om ett andra kanalnätverk öppnas på grund av direkt anslutning, är det också avgörande att skydda enhetslagret. Ett exempel på enhetslagerskydd är EtherNet/IP:s CIP Security, som tillhandahåller enhetsautentisering, identitet, dataintegritet, konfidentialitet, användarautentisering och policyupprätthållande CIP Security erbjuder också flexibelt skydd genom profiler som kan implementeras på begäran baserat på användning. Slutligen, eftersom nätverksattackbeteenden och -metoder kontinuerligt utvecklas, är det nödvändigt att regelbundet se över och revidera säkerhetsstrategier, och utbildning. skyddsåtgärder."

 

Med det ökande antalet automatiserade enheter som är direkt anslutna till molnet och tillplattning av nätverk är det avgörande att ha en väl resurser och planerad säkerhetsstrategi. "Den nya verkligheten är att sårbarheter sannolikt kommer att uppstå, vilket leder till uppkomsten av Zero Trust-säkerhetsstrategin, som kräver validering för varje anslutning och endast tillåter nödvändig åtkomst. Det är lika viktigt att komma ihåg att fysisk säkerhet, personalutbildning och process- baserade tillvägagångssätt kan ge mycket hög avkastning på investeringen." Steve anser att skyddet måste implementeras på de lägsta nivåerna. Säkerhet är en viktig drivkraft för att ansluta automatiserade enheter till molnet, vilket leder till betydande produktivitetsvinster, vilket gör det till en värdefull investering för framtida industriell verksamhet.

 

news-301-167

Designa säkerhet från grunden

 

Traditionellt har industriföretag förlitat sig på Purdue-modellen för att skapa säkra OT-miljöer genom att segmentera fysiska processer, sensorer, övervakningskontroller, operationer och logistik. Men, som vi har hört, sätter fler öppna plattformar nu OT-nätverkssäkerhet i skarpare fokus.

 

Michael Lester, chef för cybersäkerhetsstrategi, styrning och arkitektur på Emerson, säger: "Organisationer måste nu överväga cybersäkerhet i front-end-teknik- och designstadiet av kontrollsystemprojekt, vilket gör systemet säkert genom design. Tidigare var cybersäkerhet försvar lades ofta till senare. Detta är dyrare och mindre effektivt än att införliva cybersäkerhet i projektet från början."

 

Därför behöver tillverkande företag nu designa OT-programvaruapplikationer från grunden, baserade på Zero Trust-principerna, för att skapa i sig säkra fabriker genom design. Emersons tekniska chef, Peter Zornio, tror att det inte kommer att ske över en natt att uppnå inbyggd fabrikssäkerhet genom design; det kommer att ta år av ansträngning, endast fullt realiserat när systemprogramvaran gradvis uppdateras för att införliva säkerhetsarkitektur. Varje gång den kommunicerar med en annan programvara måste den söka autentisering och ha rätt dataåtkomsträttigheter. Några av Emersons senaste produkter inkluderar redan mjukvara med inneboende designsäkerhet, men realistiskt sett kan det ta 5 till 10 år innan all mjukvara i fabriker kan stödja Zero Trust. Men när detta blir verklighet kommer det att vara den ultimata lösningen på cybersäkerhetsfrågor.

 

Dessutom kräver cybersäkerhet mer än bara teknik. Michael menar att cybersäkerhet också kräver förändringar i beteende och kultur. Hela organisationen måste på djupet förstå varför och hur man uppnår cybersäkerhet, vilket är avgörande för att driva på en meningsfull beteendeförändring. Därför är det viktigt att bygga en cybersäkerhetskultur som inkluderar människor, processer och teknik.

 

news-600-381

 

Starkare åtgärder för OT-systemskydd

 

Allt eftersom OT-system fortsätter att integreras med IT-nätverk och introducerar internetbaserade kommunikationsprotokoll som MQTT och befintliga dataöverföringsprotokoll som HTTPS, CsCAN och Modbus, expanderar attackytan, vilket ger nya attackvektorer. Detta kräver en uppsättning starkare cybersäkerhetsåtgärder för att minska riskerna. Sean Mackey, Cybersecurity Engineer på Horner Ireland, föreslår följande åtgärder för att hjälpa kontrollingenjörer att bättre skydda sina OT-miljöer:

 

  1. Förstå miljön: Förstå OT-infrastrukturen till fullo, inklusive industriella kontrollsystem, SCADA, PLC:er och andra sammankopplade enheter. Identifiera potentiella sårbarheter genom att dokumentera tillgångar, nätverksarkitektur, protokoll och kommunikationsvägar.
  2. Riskbedömning och tillgångsinventering: Genomför en grundlig riskbedömning för att identifiera kritiska tillgångar och potentiella sårbarheter. Skapa en tillgångsinventering, kategorisera system baserat på deras kriticitet och bedöm associerade risker. Prioritera säkerhetsåtgärder utifrån denna bedömning.
  3. Nätverkssegmentering: Implementera robust nätverkssegmentering, såsom luftgap, brandväggar för att filtrera och övervaka trafik, och isolera kritiska system för att hålla viktiga OT-tillgångar åtskilda från icke-kritiska system och externa nätverk. Begränsa effekten av sårbarheter eller attacker genom att hålla dem inom specifika nätverkssegment och minska attackytan.
  4. Åtkomstkontroll och autentisering: Implementera stark åtkomstkontroll och autentiseringsmekanismer för att begränsa obehörig åtkomst till OT-system. Flerfaktorsautentisering, rollbaserad åtkomstkontroll och principen om minsta privilegium bör tillämpas för att säkerställa att endast auktoriserad personal kan komma åt kritiska system.
  5. Patchhantering: Utveckla och implementera en strikt patchhanteringsprocess för att hålla OT-system uppdaterade med kända sårbarheter. Detta inkluderar firmware- och programuppdateringar relaterade till eventuella sårbarhetskorrigeringar för PLC:er/HMI:er. Prioritera patchar baserat på kritikalitet.
  6. Nätverksövervakning och intrångsdetektering: Distribuera robusta nätverksövervakningsverktyg och intrångsdetekteringssystem (IDS) för att upptäcka och svara på ovanliga aktiviteter i realtid. Övervaka nätverkstrafik, systemloggar och beteendemönster för att snabbt identifiera potentiella hot eller säkerhetsintrång.
  7. Slutpunkt Säkerhet: Implementera slutpunktsskyddslösningar, såsom brandväggar, antivirusprogram och intrångsskyddssystem, för liknande enheter i samma nätverk, för att skydda dina industriella enheter från skadlig programvara och obehörig åtkomst.
  8. Kryptering: Kryptera data både under överföring och vila för att förhindra obehörig avlyssning eller manipulering. Implementera starka krypteringsprotokoll för nätverkskommunikation, såsom Transport Layer Security (TLS), särskilt när du använder X.509-certifikat i MQTT-tunga industrier, och kryptera känslig data lagrad på OT-enheter.
  9. Incident Svar Plan: Utveckla en omfattande åtgärdsplan för incidenter som beskriver procedurerna för att upptäcka, innehålla och mildra cybersäkerhetsincidenter. Definiera roller och ansvarsområden, upprätta kommunikationsprotokoll och genomför regelbundna övningar för att säkerställa beredskap för cyberattacker.
  10. Personalutbildning och medvetenhet: Utbilda OT-personal i bästa praxis för cybersäkerhet, inklusive att känna igen nätfiskeförsök, identifiera misstänkta aktiviteter och svara på säkerhetsincidenter. Främja en kultur av cybersäkerhetsmedvetenhet, vilket gör det möjligt för anställda att aktivt delta i att skydda OT-system.
  11. Leverantörsriskhantering: Bedöm och hantera cybersäkerhetsrisker förknippade med tredjepartsleverantörer och leverantörer som tillhandahåller OT-komponenter eller tjänster. Utveckla avtal som ställer säkerhetskrav och regelbundet granska leverantörer.
  12. Efterlevnad och regulatoriska krav: Håll dig informerad om branschspecifika föreskrifter och efterlevnadsstandarder relaterade till OT-cybersäkerhet, såsom NIST SP 800-82 och ISA/IEC 62443. Se till att OT-system följer dessa krav för att undvika juridiska och regulatoriska återverkningar och minimera risken för OT intrång på grund av dålig implementering av cybersäkerhet.

 

news-1280-717

 

Säkerställa fullständigt skydd av OT-system

 

I OT-miljöer är de flesta system kritiska, vilket innebär att alla avbrott eller kompromisser kan få långtgående konsekvenser. Daniel Sukowski, Global Business Development IIOT på Paessler, betonar att med tanke på insatserna har det aldrig varit viktigare att effektivt skydda OT-miljöer. Men att uppnå detta mål har aldrig varit mer utmanande. I en sammankopplad och digital värld leder den exponentiella tillväxten av IIOT-enheter till allt mer komplexa system. Tidigare isolerade OT-nätverk öppnas nu för att ansluta nya system och enheter från externa källor, ofta över regioner. Även om denna anslutning erbjuder många fördelar, innebär den också betydande risker.

 

För att fullt ut skydda OT-system bör företag investera i övervakningsteknik. Daniel föreslår, "Ett effektivt övervakningssystem med en centraliserad instrumentpanel och larmfunktioner kan ge företag en mer heltäckande bild. Det kan konsolidera data från alla platser (OT-miljöer, IIoT-sensorer, trådbundna och trådlösa nätverk och traditionella IT-enheter och system) under en skyddande plattform. Det ger omfattande synlighet, vilket är viktigare än någonsin när cyberbrottslingar fortsätter att utvecklas och mogna."

 

Dessutom måste företag regelbundet genomföra säkerhetsrevisioner och riskbedömningar av sina operativa system för att hjälpa till att identifiera sårbarheter. Detta bör inkludera informationssäkerhetsrisker, cyberrisker och alla vanliga operativa OT-risker. En annan del av utmaningen är löpande utbildning för alla relevanta medarbetare. Utbildningsinnehållet bör uppdateras regelbundet för att säkerställa att företagen fungerar i enlighet med de senaste riktlinjerna och förordningarna. Till exempel, när det kommande NIS2-direktivet blir nationell lag i alla EU-medlemsstater i oktober 2024, måste anställda se till att de och deras bredare verksamhet förblir kompatibla.

 

NIS2-direktivet bygger på det ursprungliga NIS-direktivet (NISD) genom att uppdatera EU:s nuvarande cybersäkerhetslagar. Dess mål är att stärka OT-säkerheten, effektivisera rapporteringen och skapa konsekventa regler och påföljder i hela EU. Genom att utöka sin omfattning kommer NIS2 att kräva att fler företag och sektorer implementerar cybersäkerhetsåtgärder.

 

Klicka på länken nedan för att läsa mer:

Vi presenterar Reeman Moon Knight Robot Chassis

Vi presenterar Flash Food Delivery Robot

Vi presenterar The Nurse Hospital Delivery Robot

 

Vill du veta mer om robotar: https://www.reemanrobot.com/

robotmopp,moppningsrobot,dammsugarerobot,renrobot,kommersiell städrobot,golvrengöring,soprobot,robotstädning,dammsugningsrobot,städrobot,våt och torr robotdammsugare,kommersiell mopprobot,soprobot,uv-c robot dammsugare, golvrengöringsrobot, robotstädare, golvmoppningsmaskin, robotmoppstädare, dammsugare, robotdammsugare, dammsugningsrobot, mopprobot, robotstädardammsugare, renare mopprobot, uvc-robotstädning, städrobotar smart dammsugare, rengöring robot kommersiell, intelligent rengöringsrobot, kommersiell mopprobot

 

 

Skicka förfrågan