總結
評估是良好網絡安全戰略的基礎。對於最終用戶來說,選擇合適的合作夥伴進行OT級別的網絡安全評估可能是一個挑戰。如今,各種各樣的公司都提供這種評估。OT級網絡安全服務市場一直在大幅增長,許多新公司已經進入這個領域從自動化供應商到大型工程服務提供商,都有自己的方法和優勢和劣勢。
在當今長期疫情大流行的世界裏,讓工程師和技術人員到現場進行脆弱性評估可能是一項相當大的挑戰。正如我們在新冠疫情期間看到遠程操作和其他形式的遠程工作激增一樣,網絡安全服務領域也在接受這一概念,並將其應用於各種工程服務,包括網絡安全漏洞評估。
ARC最近與工程提供商L&T技術服務(LTTS)討論了OT級別的網絡安全評估。該公司多年來一直在進行OT級別的脆弱性評估,並開發了一種用於進行遠程評估的方法,該方法結合了標準方法。
OT級別網絡安全評估有何不同?
網絡安全評估是網絡安全生命周期的必要組成部分。管理風險的第一步是了解係統中當前的風險級別。ISA/IEC 62443-3-2標準概述了進行網絡安全風險評估的過程。正常工作包括審查控製係統架構和設備,以確定防禦方麵的潛在漏洞;審查當前網絡安全計劃和實踐,以確定可能限製公司維持安全態勢能力的人員和流程漏洞。最後交付的成果包括風險評估和緩解建議。網絡資產的實物盤點是一個常見的選擇,特別是對於設備較舊和變更管理程序不成熟的設施。
標準、指導方針和最佳實踐
一個好的OT級別網絡安全評估將符合行業標準和最佳實踐,如IEC/ISA 62443標準和NIST網絡安全框架(CSF),還將執行資產識別和風險評估等關鍵任務。
雖然大多數服務提供商都有自己的網絡安全指南,但終端用戶越來越多地要求按照普遍接受的指南和標準進行評估。這包括NIST網絡安全框架、ISA99/IEC-62443、NERC-CIP和NIST 800-52/53。在某些情況下,用戶可能還希望評估包括對特定行業標準和實踐的遵守。
傳統和尖端技術的獨特組合
工業、能源和關鍵基礎設施應用程序還包含OT級別的大量專有遺留技術和資產,這些技術和資產並不總是易於檢測。這些包括分布式控製係統(dcs)、可編程邏輯控製器(plc)、機器人、遠程終端單元(rtu)、安全和停機係統等等。許多遺留係統也相當老舊,有些已不再為供應商所支持。其中許多資產也帶來了其他負債和漏洞,例如不受支持的操作係統,如Windows XP,過時的計算硬件和固件,以及各種應用程序的舊版本未打補丁。
相反,許多工業站點將這些舊的不受支持或未記錄的資產與工業物聯網(IIoT)下覆蓋的更新的創新技術和係統相結合,包括新的邊緣計算設備、支持物聯網的傳感器、基於雲的係統、無線技術、vlan等。
IT/OT網絡安全融合
缺乏資源可以說是OT網絡安全項目麵臨的最大挑戰。它會導致管理不善的防禦和未被發現的妥協,為攻擊者提供時間來破壞關鍵資產和竊取專有信息。這也是最難克服的問題之一。網絡安全專業人員的全球短缺和高成本使得很難證明和招募必要的人才。
IT和OT網絡安全項目的融合對解決這些問題有很大幫助。大多數IT集團都有一個網絡安全專家團隊,可以立即填補困擾設施的專業知識空白。這減輕了每個設施雇傭具有這些獨特技能的人的需要。出於安全和運營原因,現有的OT網絡安全資源可以應用於需要在本地執行的任務。由於這些任務隻需要基本的IT和OT技能,因此可以由本地技術人員完成。IT網絡安全專家還可以提供解決可能出現的具體問題所需的任何遠程支持。
IT和OT仍有不同的網絡安全需求
盡管IT和OT方法趨於融合,但OT級別的網絡安全需求與IT世界不同。OT領域的時間要求更嚴格,通常涉及安全或緊急關閉係統控製的危險過程。OT環境需要高可用性,具有複雜的變更管理需求,以及大量的專有協議。與IT世界相比,補丁和升級的部署不太定期,通常需要更特殊的測試,並且以一種更可控的方式進行。由於OT的係統、軟件和控製器的安裝基礎龐大而多樣,在資產發現方麵也麵臨更多挑戰。OT級別部署的許多資產也可能相當老舊,有些係統可以追溯到20多年前。
廣泛的評估服務提供者
評估是最受歡迎的工業/OT網絡安全服務。大多數公司都希望了解他們的潛在風險,即使他們並不總是能夠解決缺陷。許多國家還要求對設施的安全性進行定期審查。不足為奇的是,這個細分市場擁有最廣泛的供應商組合。其中包括自動化供應商、控製係統集成商、小眾ICS網絡安全服務公司和IT/OT網絡安全服務提供商。
網絡安全風險評估
衡量風險以及采用基於風險的框架和模型,作為衡量網絡安全防範和保護總體水平的一種方式,正成為人們關注的焦點。在融合時代,管理風險和采用基於風險的網絡安全方法越來越有必要。在工業和關鍵基礎設施領域,基於風險的服務和基於風險的網絡保險、工程和設計方法已經大量湧現。
LTTS網絡安全服務
作為印度最大的工程集團之一Larsen & Toubro的子公司,LTTS提供整個“從設計到車間”價值鏈的工程服務,如產品概念化,設計與開發,測試,價值分析與價值工程,產品維護,製造支持,售後市場支持和工廠工程服務。
LTTS已經為製造業和過程工業進行了十年的網絡安全評估。該公司基於NIST CSF和ISA/IEC 62443標準進行評估,並開發了自己的內部安全態勢評估框架,該框架是為解決聯網產品的網絡威脅而定製的。
LTTS評估服務包括對控製係統架構和設備的審查,以確定防禦中的潛在漏洞,以及對當前網絡安全計劃和實踐的審查,以確定可能限製公司維持其安全態勢的能力的人員和流程漏洞。最後交付的成果包括風險評估和緩解建議。網絡資產的實物盤點是一個常見的選擇,特別是對於設備較舊和變更管理程序不成熟的設施。
LTTS的目標是指導最終用戶通過網絡安全項目成熟的各個階段,最終達到主動和管理的網絡安全狀態,其中IT和OT層都受到持續監控。LTTS執行評估後,它有能力提供額外的服務,包括補救、被動監視、補丁升級、防火牆更新和網絡分段服務。LTTS具有遠程安全監控和事件響應能力。
目前,LTTS為全球大企業開展了50多個漏洞評估和滲透測試(VAPT)項目。LTTS擁有多個行業的專業知識,從製造業到汽車、半導體、電子、建築和智能城市。該公司在以色列也有一個創新中心,致力於尖端的安全微服務。
COVID時代的遠程OT網絡評估
除了現場評估,LTTS還采取了許多步驟來自動化部分評估和進行遠程評估。在COVID時代,由於大流行及其相關的旅行限製,常規的現場網絡安全評估受到了阻礙。然而,新冠疫情的混亂正在刺激創新,服務提供商正在采用新的方法來遠程完成更多的工程任務,這是以前無法做到的。
為了解決這些增加的遠程工作需求,LTTS開發了一個遠程OT脆弱性評估方法.LTTS與最終用戶組織內的單聯絡點一起工作,可以通過檢查、分析和報告從發現和包捕獲遠程執行評估。該公司還能夠擴展這些評估能力,幫助最終用戶實施托管網絡安全服務,以實現更主動和持續的威脅監控態勢。
發現會議
LTTS遠程漏洞評估從發現會議開始,其中包括項目意識演示和OT網絡拓撲的審查。團隊審查整個OT流程及其關鍵輸出,並審查已經到位的任何網絡工具。然後,團隊確定所需的網絡接入點並確定接入持續時間。其他信息,如OT網絡設計、IP模式、已知自動化供應商和現有係統的列表,以及已知的OT協議的列表,也會被提供和審查。
數據包捕獲
LTTS指導工廠團隊通過在相關攻點上運行數據包捕獲的過程。包捕獲文件然後上傳到一個安全的位置,以供LTTS檢索。
檢查分析
LTTS處理數據包捕獲並執行分析。通過遠程會話執行標準的遵從性審計。
報告
一旦執行數據包分析和標準遵從性審計,LTTS將構建一個全麵的OT安全評估報告,以共享來自評估的任何相關見解和信息。該公司還針對已確定的問題提供建議的補救措施。
評估報告包括來自LTTS的關鍵見解,包括資產清單和普渡模型的交互圖。還提供了資產通信協議映射以及類型、固件和供應商詳細信息。除了按供應商劃分的資產明細,該報告還包括一個包含CVE詳細信息的已知漏洞列表,並突出顯示了安裝中的主要安全漏洞。
超出評估的生命周期能力
評估也不會在評估結束後結束。LTTS在評估後提供許多其他網絡安全服務,可以指導最終用戶采取更積極主動的網絡安全姿態。作為其SOC即服務產品的一部分,LTTS可以持續監控和改善組織的安全態勢,同時預防、檢測、分析和響應網絡安全事件。
案例研究
消費產品
LTTS已經在許多客戶站點實現了遠程評估方法。最近的一個成功案例發生在一家大型全球消費品製造商。該評估是IT和OT級別的評估,用於識別資產和相關風險。LTTS進行了網絡拓撲和IT、OT網絡分割的驗證。
由於這是一個組合IT/OT審計,LTTS對IT元素進行了審計掃描,以確定主要漏洞。他們還完成了關鍵OT實體的審計掃描和手動驗證,如MES係統,控製係統,以及agv識別主要漏洞的能力。評估的OT部分遵循NIST指南。評估後,LTTS為最終用戶提供了已識別漏洞的補救措施,並為持續監測和通知係統提供了進一步的建議。
餐飲
LTTS最近完成了對一家全球煙草巨頭的另一項遠程脆弱性評估。與消費產品項目一樣,該案例研究包括對IT和OT資產的評估。在非生產時間對IT資產和選定的OT資產進行了自動掃描。在現場對部分OT子網進行被動網絡流量監控,並對現場接入點進行掃描驗證。
該項目還包括訪問控製列表(ACL)驗證和防火牆體係結構驗證。LTTS在這個項目中還使用了主動掃描技術進行IT網絡掃描。該項目的主要建議包括實施持續監測和通知係統。
專用5G網絡評估
私人部署的5G網絡已經開始進入車間。LTTS最近完成了對一家大型電子製造商擬議的專用5G網絡的獨立安全評估,以降低與運營這些技術相關的風險,並使客戶能夠實現強大而安全的5G網絡。
LTTS提供了5G網絡組件的安全評估,並為5G網絡的每個組件開發了安全測試用例。該公司還審查了正在部署的網絡的整體架構,以確保它符合最終用戶的整體網絡安全需求。LTTS還審查了防火牆需求、與供應商的維護和服務合同,並推薦了端到端威脅監控解決方案。
建議
評估潛在合作夥伴的能力和專業知識非常重要,以確保他們了解您所在行業的要求以及相關標準和最佳實踐,但最終用戶了解評估是網絡安全生命周期的第一步也很重要。評估建立資產清單、性能基準,並真正應該提供最終用戶整體網絡安全狀況的全麵圖景。
評估隻是整個網絡安全生命周期中的一個步驟,並進入實施和維護/操作階段。任何潛在的評估合作夥伴都應在此背景下查看評估結果,並就如何使用評估中收集的信息來糾正問題、實施解決方案並在整個工廠或設施的維護和運營階段提供價值向您提供指導。
遠程評估是利用當前技術套件、查明關鍵漏洞並開發更可靠的網絡安全態勢的好方法,而無需現場工程師的要求和相關成本。良好的遠程評估需要評估提供者和最終用戶之間的充分協調,因此ARC建議最終用戶對遠程服務產品有充分的理解,包括在項目職責和所需工作流程方麵對最終用戶的期望。
有關LTTS遠程網絡安全評估功能的更多信息,您可以請訪問他們的網站.
ARC谘詢集團客戶可在ARC客戶端門戶
如果您想購買這份報告或獲取如何成為客戶的信息,請聯係我們
關鍵詞:OT級別網絡安全評估,LTTS, Larsen & Toubro技術服務,IEC 62443,風險管理,NIST CSF, ARC谘詢集團。