毫無(wú)疑問(wèn)，工業(yè)4.0革命已經(jīng)戲劇性地改變了制造業(yè)和其他工業(yè)公司的運(yùn)營(yíng)方式。工業(yè)IT團(tuán)隊(duì)在過(guò)去執(zhí)行的是基于電子控制的手動(dòng)操作，而現(xiàn)在是基于數(shù)據(jù)驅(qū)動(dòng)單元，依靠分析和自動(dòng)化操作以提高效率、產(chǎn)品質(zhì)量，驅(qū)動(dòng)業(yè)務(wù)決策和盈虧業(yè)績(jī)。

工業(yè)4.0的核心趨勢(shì)是運(yùn)營(yíng)技術(shù)（OT）的物理網(wǎng)絡(luò)和信息技術(shù)（IT）的數(shù)字網(wǎng)絡(luò)的融合。或者，換句話說(shuō)，工業(yè)網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)的融合。

盡管這個(gè)與過(guò)去截然不同的融合網(wǎng)絡(luò)模式確實(shí)促進(jìn)了數(shù)據(jù)交換，并使組織機(jī)構(gòu)能夠提高業(yè)務(wù)效率，但也帶來(lái)了許多新的安全問(wèn)題。

迄今為止，工業(yè)控制系統(tǒng)（ICS）和其他OT設(shè)備都是孤立部署的，缺乏安全保障措施。IT人員沒(méi)有必要擔(dān)心安全問(wèn)題，因?yàn)楣I(yè)技術(shù)已經(jīng)從傳統(tǒng)的IT網(wǎng)絡(luò)中隔離出來(lái)。但是現(xiàn)在，隨著OT和IT網(wǎng)絡(luò)的融合，工業(yè)設(shè)備啟用IP成為網(wǎng)絡(luò)生態(tài)系統(tǒng)的一部分，這些以前受保護(hù)的隔離設(shè)備周圍的壁壘正在坍塌。

這意味著工業(yè)控制系統(tǒng)，傳感器和其他控制器現(xiàn)在成為IT / OT融合網(wǎng)絡(luò)上的工業(yè)物聯(lián)網(wǎng)（IIoT）端點(diǎn)，這極大地增加了組織機(jī)構(gòu)的攻擊面，使其面臨更高的安全風(fēng)險(xiǎn)。

實(shí)際上，ICS攻擊變得越來(lái)越頻繁，不僅僅是出于傳統(tǒng)原因（例如，工業(yè)破壞，關(guān)鍵基礎(chǔ)設(shè)施攻擊等），而且因?yàn)镺T或IT網(wǎng)絡(luò)的滲透可能會(huì)導(dǎo)致威脅隱患橫向轉(zhuǎn)移到其他企業(yè)資產(chǎn)。換句話說(shuō)，對(duì)控制系統(tǒng)的攻擊可能導(dǎo)致企業(yè)數(shù)據(jù)泄露，并且企業(yè)IT網(wǎng)絡(luò)可能因?yàn)橐淮蜪CS攻擊就全盤崩潰。

這是極其可怕的，因?yàn)檫@些OT相關(guān)網(wǎng)絡(luò)肩負(fù)諸多關(guān)鍵職能，例如電力，清潔自來(lái)水，制造過(guò)程，拯救生命的醫(yī)療服務(wù)等等 - 如果它們?cè)馐芮趾ΓY(jié)果將是災(zāi)難性的。

在這個(gè)全新的威脅環(huán)境中，工業(yè)IT團(tuán)隊(duì)現(xiàn)在意識(shí)到自己正在奮力保護(hù)最初部署時(shí)沒(méi)有充分考慮安全性的資產(chǎn)和環(huán)境。結(jié)果，出現(xiàn)了兩個(gè)主要的安全挑戰(zhàn)：

    缺乏可視性。大多數(shù)工業(yè)IT安全團(tuán)隊(duì)無(wú)法全面掌握其IT和OT網(wǎng)絡(luò)以及云的所有端點(diǎn)。在當(dāng)今動(dòng)態(tài)的業(yè)務(wù)環(huán)境中，新的網(wǎng)絡(luò)技術(shù)和開(kāi)發(fā)流程不斷被實(shí)施，當(dāng)前的網(wǎng)絡(luò)狀態(tài)的保質(zhì)期微乎其微 - 使安全團(tuán)隊(duì)難以實(shí)現(xiàn)實(shí)時(shí)的可視性。實(shí)際上，Lumeta關(guān)于生產(chǎn)環(huán)境的研究表明，平均而言，當(dāng)前超過(guò)40％的動(dòng)態(tài)網(wǎng)絡(luò)、端點(diǎn)和云基礎(chǔ)架構(gòu)是未知的，未受管理的，野生的或非認(rèn)證IT。

此外，大多數(shù)IT團(tuán)隊(duì)根本不知道網(wǎng)絡(luò)正在發(fā)生什么？基礎(chǔ)設(shè)施是否妥善管理？是否存在可能被惡意入侵者攻陷的脆弱環(huán)節(jié)？還有哪些其他漏洞？如果缺乏對(duì)網(wǎng)絡(luò)和端點(diǎn)的實(shí)時(shí)可視性，組織機(jī)構(gòu)就無(wú)法回答這些問(wèn)題，因此無(wú)法準(zhǔn)確掌握其風(fēng)險(xiǎn)狀況 - 使其容易受到攻擊。

    缺乏對(duì)安全策略的管控。得益于工業(yè)4.0和其他數(shù)字化轉(zhuǎn)型技術(shù)，工業(yè)業(yè)務(wù)的安全需求已經(jīng)超越了IT團(tuán)隊(duì)的保障能力。因此，安全政策通常沒(méi)有得到有效執(zhí)行，而且糟糕的政策體系已成為常態(tài)（組織機(jī)構(gòu)正在與過(guò)時(shí)地，未使用，多余和不合規(guī)的混亂規(guī)則作斗爭(zhēng)）。這意味著旨在降低風(fēng)險(xiǎn)的安全策略，在實(shí)際執(zhí)行中在安全性和合規(guī)性方面的效果不盡如人意。

保護(hù)OT / IT融合環(huán)境

由于OT設(shè)備傳統(tǒng)上是封閉的，因此無(wú)法通過(guò)回撤和簡(jiǎn)單地添加安全軟件來(lái)降低風(fēng)險(xiǎn)？他們甚至根本沒(méi)有運(yùn)行安全軟件的能力。這使得對(duì)復(fù)雜網(wǎng)絡(luò)的實(shí)時(shí)可視性和控制變得更加重要，因?yàn)楸仨氃谕{到達(dá)OT端點(diǎn)之前識(shí)別并阻止威脅。為了保持堅(jiān)不可摧的安全狀態(tài)，IT安全專業(yè)人員必須能夠回答以下問(wèn)題：網(wǎng)絡(luò)上有哪些設(shè)備？他們?cè)谧鍪裁矗苛髁磕Ｊ奖憩F(xiàn)如何？是否有異常提示存在漏洞或危害？

令人興奮的是，組織機(jī)構(gòu)可以通過(guò)聯(lián)網(wǎng)設(shè)備監(jiān)測(cè)技術(shù)幫助他們識(shí)別網(wǎng)絡(luò)中的所有資產(chǎn)并實(shí)時(shí)監(jiān)控其狀態(tài)，從而輕而易舉地回答以上問(wèn)題。通過(guò)實(shí)時(shí)了解IT，OT和云基礎(chǔ)架構(gòu)的端點(diǎn)，IT安全團(tuán)隊(duì)可以運(yùn)用跨混合環(huán)境的策略管理，確保網(wǎng)絡(luò)上的所有內(nèi)容都遵循安全策略，即計(jì)算機(jī)環(huán)境中的每個(gè)資產(chǎn)都遵循正確的規(guī)則和配置。

網(wǎng)絡(luò)分段，顧名思義，將網(wǎng)絡(luò)分解為相互隔離的網(wǎng)段，是IT / OT網(wǎng)絡(luò)安全的關(guān)鍵組成部分，因?yàn)樗鼤?huì)限制威脅隱患在資產(chǎn)中的橫向轉(zhuǎn)移。

按照類型，目的，訪問(wèn)權(quán)限和解決方案類型對(duì)網(wǎng)絡(luò)進(jìn)行分段，即使網(wǎng)絡(luò)犯罪分子或未經(jīng)授權(quán)的用戶能夠破壞資產(chǎn)，也只能被限制在特定的網(wǎng)段，而不能自由地跨越到其他相鄰的網(wǎng)段。

換言之，上文中提到的案例，將控制系統(tǒng)的攻擊將被遏制在特定區(qū)域，而不會(huì)導(dǎo)致企業(yè)數(shù)據(jù)泄露，反之，如果企業(yè)IT網(wǎng)絡(luò)遭到破壞，ICS將會(huì)幸免。

最后一個(gè)難題是活動(dòng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施監(jiān)控，它提供實(shí)時(shí)更新的監(jiān)控功能，可檢測(cè)網(wǎng)段通信違規(guī)，泄密隱患以及異?；顒?dòng)和威脅。有了這些信息，IT安全團(tuán)隊(duì)方可在安全風(fēng)險(xiǎn)破壞關(guān)鍵基礎(chǔ)設(shè)施之前立即采取行動(dòng)，對(duì)其進(jìn)行修復(fù)。

安全要從頭抓起

越來(lái)越多的工業(yè)公司引入OT / IT融合網(wǎng)絡(luò)，以保持競(jìng)爭(zhēng)力，推動(dòng)更優(yōu)的業(yè)務(wù)決策和業(yè)績(jī)?cè)鲩L(zhǎng)。但是，為了實(shí)現(xiàn)工業(yè)4.0創(chuàng)造的所有商業(yè)利益，組織機(jī)構(gòu)必須將安全問(wèn)題放在新計(jì)劃的最首要考慮，而不是作為事后的補(bǔ)充考慮。唯有這樣，組織機(jī)構(gòu)才能在不增加風(fēng)險(xiǎn)的情況下享受數(shù)字化轉(zhuǎn)型，IIoT和其他下一代技術(shù)帶來(lái)的紅利。如此一來(lái)，組織機(jī)構(gòu)最終將安全視為業(yè)務(wù)推動(dòng)器，而不是瓶頸。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:網(wǎng)絡(luò)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明