工業(yè)企業(yè)在面對新時代網絡攻擊時，如何保障網絡安全？羅克韋爾自動化亞太地區(qū)商業(yè)服務部運營負責人Sabyasachi Goswami分享了他的個人看法。

　　新冠疫情的爆發(fā)暴露了全球制造業(yè)和供應鏈隱藏在表面下的安全漏洞，“黑天鵝”事件頻繁發(fā)生。但事實上，網絡安全問題早已是持續(xù)數十年的“灰犀?！笔录?。去年，Tokopedia遭到攻擊，1500萬用戶信息被泄露；在新加坡，網絡犯罪占所有犯罪案件的43%。通過數字技術實現的互聯為制造商帶來了更多的靈活性和便利性，但同時也讓惡意攻擊者不再受到地域的限制。

　　Sabyasachi Goswami認為，網絡安全建設就像層層把控的防疫措施一樣，從抵御（口罩和洗手液）到預防（封鎖城市）、快速檢測（PCR核酸檢測試劑盒）和治療（疫苗和抗病毒藥物），企業(yè)同樣需要用這種嚴格防控來保護關鍵基礎設施。

　　IT與OT的融合

　　信息技術 (IT) 和與運營技術 (OT) 的融合打破了以往系統“自閉式”的安全，兩者互聯性的增強讓黑客有機可乘。企業(yè)需要注意的是，IT和OT之間沒有“隔離網閘”的保護，工業(yè)設備、資產和流程會受到直接監(jiān)控和/或控制。IT與OT不再是相互獨立的個體，而是整個企業(yè)的兩個部分。

　　雖然很多企業(yè)已經開始采取措施來加強IT的防御建設，但OT系統仍處于不受保護的狀態(tài)，從而成為黑客攻擊的目標。制造業(yè)中的勒索攻擊事件變得越來越頻繁，攻擊者可以在幾分鐘內入侵企業(yè)的安全漏洞，潛伏數月，中悄無聲息地滲透到整個網絡而不被察覺，并在收集數據和關鍵信息后發(fā)動攻擊。

　　另一個OT系統安全常見問題往往出現在遺留的老舊基礎設施上，這些基礎設施早在高速互聯網普及前就已建成，至今已有數十年使用年限。這些落后的設備和計算機系統對于IT和安全運營團隊來說是一個令人擔憂的盲點，會將企業(yè)暴露在網絡攻擊的風險之中。例如，有些工廠的中央傳送帶運行仍在使用Windows XP系統，但對于軟件開發(fā)人員而言，Windows XP操作系統已不再是主流，它也不能兼容最新的軟件更新和網絡保護功能。

　　對于制造商而言，要解決OT層面的問題不僅極具復雜性，同時還要考慮如何平衡升級改造的成本問題。升級改造需要花費較長時間，改造后還需要數年進行轉型，這就導致整個過程通常不被重視，一拖再拖。而如今，網絡安全事件頻發(fā)，提升OT防御能力已刻不容緩，企業(yè)需要立即做出改變，參照最佳案例來構建和保障IT/OT網絡安全環(huán)境，最大化消除潛在威脅。

　　OT安全建設五大核心原則

　　加強OT防御和防控小兒麻痹癥或天花等疾病有想通之處，企業(yè)需要通過多層次的防御策略來檢測和阻止惡意攻擊者。首先應從整個企業(yè)范圍內的全面安全評估開始，包括：

　　列出已授權和未授權的設備及軟件清單

　　對系統性能進行詳細觀察和記錄

　　確定相容閾值以及風險和漏洞評估指標

　　根據影響程度和漏洞被利用的可能性來確定每個漏洞的主次

　　利用風險緩釋技術，使操作降到可接受的風險狀態(tài)

　　要建立強大的安全網，企業(yè)必須同時考慮軟件、網絡、控制系統、站點基礎設施之間細微差別、策略、程序，甚至員工的行為。為此，羅克韋爾自動化總結了五大核心安全原則：

　　1. 安全的網絡基礎設施 -- 通過彈性的工業(yè)網絡安全系統，限制對已授權的個人訪問，并保護數據免遭篡改或盜用。隨著遠程辦公成為常態(tài)，安全系統必須考慮人員、流程和信息的遠程連接。大規(guī)模工業(yè)應用所使用的網絡可以利用云技術、數據分析和遷移工具來優(yōu)化系統監(jiān)控。

　　2. 身份驗證和策略管理 -- 在圍繞用戶身份驗證來開發(fā)安全控件時，有一點經常被忽視，那就是需要盡量降低來自內部的潛在威脅。管理員賬戶應設有集中控制的權限。此外，還應提前規(guī)劃可擴展的解決方案，以便不時之需，例如在斷開連接的環(huán)境下確保靈活的工作流程、支持訪客訪問和臨時權限升級。

　　3. 內容保護 -- 控制器等自動化設備通常包含敏感信息。智能工業(yè)系統需要在常見的安全環(huán)境下保護企業(yè)的知識產權，同時確保生產力和質量。

　　4. 篡改檢測 -- 通過快速檢測、記錄和強大的協調響應來阻止操作系統中不該出現的行為和修改操作。阻止和解決潛在威脅的措施應包括集中記錄和跟蹤所有用戶操作的方法、定期備份運營資產配置和電子文件，以及工廠車間所有設備的詳細清單。

　　5. 穩(wěn)健性 -- 工廠機器、操作系統和數據存儲裝置可以統一到單一系統架構下，實現集中監(jiān)控和報告。借助融合型全廠以太網(CPwE)，跨國公司可以提高效率、靈活性和認知度，在保持競爭優(yōu)勢的同時，繼續(xù)對數字資產進行全面控制。

　　防大于治

　　重視網絡安全對一個具有前瞻性的組織來說至關重要。如果僅加強在IT方面的投資建設，盡管可以獲得短期增長前景，但也更容易讓企業(yè)暴露在長期網絡攻擊的風險中。就像疫苗對群體免疫至關重要一樣，現代企業(yè)的成敗往往取決于最薄弱的環(huán)節(jié)。好的進攻就是最好的防守，企業(yè)需要先發(fā)制人建立防御機制，加強全面的網絡安全系統。