盡管在外圍安全上花費(fèi)了數(shù)百萬(wàn)美元，但網(wǎng)絡(luò)攻擊者針對(duì)制造企業(yè)和加工廠(chǎng)的攻擊仍然達(dá)到了創(chuàng)紀(jì)錄的水平。通過(guò)將“零信任”作為2023年的優(yōu)先事項(xiàng)，制造商可以縮小IT和OT(運(yùn)營(yíng)技術(shù))缺口，以最大限度地減少攻擊。

IBM的《2022年X-Force威脅情報(bào)報(bào)告》顯示，在2021年前9個(gè)月，攻擊者對(duì)連網(wǎng)的SCADA網(wǎng)絡(luò)設(shè)備和傳感器的偵察增加了2204%。預(yù)計(jì)到2023年，OT網(wǎng)絡(luò)攻擊造成的全球經(jīng)濟(jì)損失將達(dá)到500億美元。到2026年，超過(guò)一半的網(wǎng)絡(luò)攻擊將針對(duì)零信任控制無(wú)法覆蓋或無(wú)法緩解的領(lǐng)域。

今年早些時(shí)候，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)警告稱(chēng)，高級(jí)持續(xù)威脅(APT)犯罪團(tuán)伙的目標(biāo)是許多最流行的工業(yè)控制系統(tǒng)(ICS)和SCADA設(shè)備。由于新的端點(diǎn)技術(shù)(包括物聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)和用于提供實(shí)時(shí)數(shù)據(jù)的遙感設(shè)備)的快速增長(zhǎng)，制造商的漏洞正變得越來(lái)越廣為人知。

ICS傳感器的設(shè)計(jì)不是為了保護(hù)數(shù)據(jù)，而是為了簡(jiǎn)化數(shù)據(jù)捕獲過(guò)程。這是在當(dāng)今制造業(yè)中實(shí)現(xiàn)零信任網(wǎng)絡(luò)架構(gòu)(ZTNA)框架和策略的挑戰(zhàn)之一。

制造業(yè)是威脅增長(zhǎng)最快的領(lǐng)域

在IBM X-Force威脅管理平臺(tái)修復(fù)的所有攻擊中，有23%源自制造業(yè)。根據(jù)該公司的分析，這使得制造業(yè)成為受攻擊最嚴(yán)重的行業(yè)，并在2021年首次取代金融服務(wù)業(yè)，位列威脅榜首。IT和OT間的缺口對(duì)于網(wǎng)絡(luò)攻擊極具吸引力，61%的入侵和泄露事件發(fā)生在基于OT的制造商身上。超過(guò)三分之二(36%)的針對(duì)制造商的攻擊是通過(guò)勒索軟件發(fā)起的。

令人擔(dān)憂(yōu)的是，針對(duì)制造商和ICS設(shè)備的攻擊潮流正在以非?？斓乃俣仍鲩L(zhǎng)。例如，卡巴斯基ICS CERT發(fā)現(xiàn)，僅在2022年上半年，全球三分之一的ICS計(jì)算機(jī)就攔截過(guò)至少一次惡意對(duì)象。在同一時(shí)期，ICS-CERT發(fā)布了560個(gè)常見(jiàn)漏洞和暴露(CVE)，其中303個(gè)是在今年上半年引入的。關(guān)鍵制造業(yè)是受影響最直接的行業(yè)，報(bào)告了109個(gè)CVE。

經(jīng)歷一次網(wǎng)絡(luò)攻擊后，制造商的系統(tǒng)平均會(huì)癱瘓五天。其中，50%在三天內(nèi)響應(yīng)中斷，僅有15%在一天或更短時(shí)間內(nèi)響應(yīng)。BlastWave聯(lián)合創(chuàng)始人兼首席執(zhí)行官Tom Sego表示，“制造業(yè)的生死取決于可用性。IT大概是三到五年的技術(shù)更新周期，而OT的更新周期更像是30年。大多數(shù)人機(jī)界面(HMI)和其他系統(tǒng)運(yùn)行的都是Windows或SCADA系統(tǒng)版本，這些系統(tǒng)不再受支持，無(wú)法打補(bǔ)丁，是黑客癱瘓制造業(yè)務(wù)的完美選項(xiàng)?！?/p>

為什么在制造業(yè)中很難實(shí)現(xiàn)零信任

制造商正在迅速增加端點(diǎn)，暴露威脅面，并不斷擴(kuò)展“使用不受保護(hù)的第三方設(shè)備的”合作伙伴生態(tài)系統(tǒng)?；谶吔绲木W(wǎng)絡(luò)安全系統(tǒng)已被證實(shí)不夠有效和靈活，無(wú)法跟上快速發(fā)展的威脅格局。再加上在ICS上實(shí)現(xiàn)ZTNA極具挑戰(zhàn)性，因?yàn)镮CS的設(shè)計(jì)更多的是為了效率、監(jiān)控和報(bào)告，而非安全，所以問(wèn)題也就顯而易見(jiàn)了。

在系統(tǒng)之間配置具有物理間隙的ICS(一種稱(chēng)為air gapping的技術(shù))不再有效。事實(shí)證明，勒索軟件攻擊者可以利用USB驅(qū)動(dòng)器的氣隙，將系統(tǒng)之間暴露的物理間隙變成攻擊載體。超過(guò)三分之一(37%)針對(duì)ICS的惡意軟件攻擊是通過(guò)USB設(shè)備進(jìn)行的。勒索軟件攻擊者正在復(fù)制軟件供應(yīng)鏈攻擊的技術(shù)，用常見(jiàn)的合法文件名重新標(biāo)記可執(zhí)行文件。一旦進(jìn)入ICS，攻擊者就可以通過(guò)網(wǎng)絡(luò)橫向移動(dòng)，獲取特權(quán)訪(fǎng)問(wèn)憑證，竊取數(shù)據(jù)并試圖獲得對(duì)設(shè)施的控制權(quán)限。

另一個(gè)挑戰(zhàn)是，許多傳統(tǒng)傳感器和端點(diǎn)——從可編程邏輯控制器(PLC)到基本的運(yùn)動(dòng)和溫度傳感器——都依賴(lài)于廣泛的協(xié)議，以至于許多傳統(tǒng)設(shè)備無(wú)法分配IP地址。ICS所依賴(lài)的傳感器更多地設(shè)計(jì)用于低延遲的持續(xù)實(shí)時(shí)數(shù)據(jù)傳輸，而不是用于支持加密和安全。不出所料，86%的制造商對(duì)其ICS系統(tǒng)及其支持的生產(chǎn)流程幾乎沒(méi)有可見(jiàn)性。

制造業(yè)的首席信息安全官(CISO)表示，他們的傳統(tǒng)外圍安全網(wǎng)絡(luò)通常對(duì)web應(yīng)用程序、瀏覽器會(huì)話(huà)和第三方硬件缺乏足夠的保護(hù)，并且沒(méi)有遠(yuǎn)程訪(fǎng)問(wèn)策略選項(xiàng)。開(kāi)放的端口、配置錯(cuò)誤的防火墻和不受管理的無(wú)線(xiàn)連接滲透在這些網(wǎng)絡(luò)中。再加上缺乏對(duì)聯(lián)邦身份和特權(quán)訪(fǎng)問(wèn)憑證的控制，很明顯，在遺留制造環(huán)境中實(shí)現(xiàn)零信任是多么困難。

這些風(fēng)險(xiǎn)負(fù)債就是制造業(yè)必須在2023年將實(shí)施“ZTNA框架”和采取“零信任安全”態(tài)勢(shì)作為高度優(yōu)先事項(xiàng)的原因所在。

制造業(yè)的CISO應(yīng)該從何入手

造成這種現(xiàn)狀的部分原因在于，制造行業(yè)競(jìng)爭(zhēng)激烈使得安全問(wèn)題一直落后于其他優(yōu)先事項(xiàng)。在2023年，這種情況必須改變，安全必須成為業(yè)務(wù)的推動(dòng)者。

BlastWave公司的CISO Tom Sego表示，“接受零信任的公司將獲得競(jìng)爭(zhēng)優(yōu)勢(shì)，并實(shí)現(xiàn)遠(yuǎn)程能力，從而提高全球供應(yīng)鏈的效率。那些拒絕與時(shí)俱進(jìn)，心存僥幸的公司將會(huì)不可避免地陷入網(wǎng)絡(luò)攻擊，從而造成一場(chǎng)本可以避免的生存危機(jī)。一小步的預(yù)防抵得上一大步的檢測(cè)和補(bǔ)救。”

隨著制造商提高運(yùn)營(yíng)速度，他們需要使用零信任來(lái)保護(hù)web應(yīng)用程序。微分段(Microsegmentation)需要超越將整個(gè)生產(chǎn)設(shè)施定義為單個(gè)可信區(qū)域的狹隘概念。最重要的是，ZTNA框架需要基于考慮多云配置的可靠業(yè)務(wù)案例。

以下領(lǐng)域是一個(gè)實(shí)用的ZTNA框架的核心，制造商可以根據(jù)其獨(dú)特的業(yè)務(wù)和操作需求進(jìn)行調(diào)整。

正確實(shí)現(xiàn)零信任需要從公司范圍內(nèi)的每個(gè)瀏覽器會(huì)話(huà)開(kāi)始

由于勞動(dòng)力、政治和成本的不確定性，制造商有時(shí)需要急于將生產(chǎn)轉(zhuǎn)移回國(guó)內(nèi)。Web應(yīng)用程序和瀏覽器會(huì)話(huà)是實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵。遠(yuǎn)程瀏覽器隔離(Remote browser isolation，RBI)是必須的，因?yàn)檫@些回遷轉(zhuǎn)移發(fā)生得非?？?。目標(biāo)是使用零信任來(lái)保護(hù)每個(gè)web應(yīng)用程序和瀏覽器會(huì)話(huà)免受入侵和破壞。

制造商正在評(píng)估和采用RBI，因?yàn)樗粫?huì)迫使他們對(duì)技術(shù)堆棧進(jìn)行徹底檢查。RBI對(duì)瀏覽采取零信任安全方法。領(lǐng)先的RBI提供商包括Broadcom、Forcepoint、Ericom、Iboss、Lookout、NetSkope、Palo Alto Networks和Zscaler。

RBI還被用于保護(hù)Office 365和Salesforce等應(yīng)用程序及其包含的數(shù)據(jù)不受潛在惡意非托管設(shè)備(如承包商或合作伙伴使用的設(shè)備)的影響。

Ericom是該領(lǐng)域的領(lǐng)導(dǎo)者，其在保護(hù)每個(gè)端點(diǎn)免受高級(jí)web威脅的同時(shí)，保持本機(jī)瀏覽器性能和用戶(hù)體驗(yàn)的方法證明了這一點(diǎn)。Ericom的解決方案對(duì)于面臨生產(chǎn)回遷的艱巨挑戰(zhàn)的制造商來(lái)說(shuō)是理想的，因?yàn)樗踔量梢员Ｗo(hù)Zoom和Microsoft Teams等虛擬會(huì)議環(huán)境中的用戶(hù)和數(shù)據(jù)。

多因素身份驗(yàn)證(MFA)是入場(chǎng)籌碼，是完整ZTNA框架的一部分

CISO表示，MFA是入場(chǎng)籌碼，企業(yè)可以利用它為未來(lái)的預(yù)算建立強(qiáng)有力的支持。在最近一次題為《展望未來(lái)：John Kindervag對(duì)2023年零信任的展望》的文章中，零信任創(chuàng)造者John Kindervag在評(píng)論MFA時(shí)稱(chēng)，“我們太過(guò)依賴(lài)MFA了，我們過(guò)去稱(chēng)它是‘雙因素身份認(rèn)證(2FA)’，現(xiàn)在數(shù)字2換成字母M后，它似乎突然變得新奇而迷人了，但它本質(zhì)都是一樣的。而且，確實(shí)，它是一個(gè)強(qiáng)大的工具，有助于我們獲取勝利。但與此同時(shí)，如果我們只依賴(lài)這一點(diǎn)，那將是一個(gè)問(wèn)題。”

MFA的部署速度需要與其作為ZTNA總體框架的一部分的有效性相平衡。Forrester高級(jí)分析師Andrew Hewitt表示，保護(hù)端點(diǎn)的最佳起點(diǎn)是“始終圍繞著執(zhí)行多因素身份驗(yàn)證。這對(duì)于確保企業(yè)數(shù)據(jù)的安全大有幫助?！?/p>

為什么制造商也需要微分段

微分割的目的是隔離和孤立特定的網(wǎng)絡(luò)段，以減少攻擊面數(shù)量和限制橫向移動(dòng)。它是NIST SP 800-27零信任框架定義的零信任的核心要素之一。

制造商正在使用微分段來(lái)保護(hù)他們最具價(jià)值的資產(chǎn)和網(wǎng)絡(luò)部分。他們還使用微分段使承包商、第三方服務(wù)和供應(yīng)鏈供應(yīng)商能夠訪(fǎng)問(wèn)他們的網(wǎng)絡(luò)。在ZTNA采用方面最先進(jìn)的制造商最終將使用微分段來(lái)取代傳統(tǒng)的軟件定義網(wǎng)絡(luò)(SDN)架構(gòu)。

該領(lǐng)域的主要供應(yīng)商包括Akamai、Airgap Networks、Aqua Security、Cisco、ColorTokens、Illumio、Palo Alto Networks、TrueFort、vArmour、VMware和Zscaler。

端點(diǎn)在ZTNA框架中不可或缺

端點(diǎn)是在制造業(yè)中實(shí)現(xiàn)ZTNA框架最具挑戰(zhàn)性的領(lǐng)域，也是最重要的領(lǐng)域。端點(diǎn)是制造業(yè)務(wù)每筆交易的管道，它們經(jīng)常不受保護(hù)?；谠频亩它c(diǎn)保護(hù)平臺(tái)(EPP)是追求ZTNA框架和策略的制造商的理想選擇，因?yàn)樗鼈兛梢愿斓夭渴穑⑶铱梢愿鶕?jù)制造業(yè)務(wù)的獨(dú)特需求實(shí)現(xiàn)個(gè)性化定制。

自修復(fù)端點(diǎn)(Self-healing endpoint)在制造業(yè)中至關(guān)重要，因?yàn)镮T人員經(jīng)常會(huì)面臨人手不足的情況。根據(jù)定義，自修復(fù)端點(diǎn)將關(guān)閉自身，重新檢查所有操作系統(tǒng)和應(yīng)用程序版本，包括補(bǔ)丁更新，并將自身重置為優(yōu)化的安全配置。所有這些活動(dòng)都在沒(méi)有人為干預(yù)的情況下進(jìn)行。Absolute Software、Akamai、CrowdStrike、Ivanti、McAfee、Microsoft 365、Qualys、SentinelOne、Tanium、趨勢(shì)科技和Webroot都提供自修復(fù)端點(diǎn)服務(wù)。

Forrester的報(bào)告《端點(diǎn)管理的未來(lái)》為自修復(fù)端點(diǎn)的未來(lái)提供了有用的指導(dǎo)和愿景。其作者Andrew Hewitt寫(xiě)道，要想最有效地自我修復(fù)，它需要在多個(gè)層面上進(jìn)行，從應(yīng)用程序開(kāi)始，然后是操作系統(tǒng)，最后是固件。Forrester的報(bào)告指出，嵌入在固件中的自修復(fù)將被證明是最重要的，因?yàn)樗鼘⒋_保在端點(diǎn)上運(yùn)行的所有軟件，甚至是在操作系統(tǒng)級(jí)別上進(jìn)行自我修復(fù)的代理，都可以有效地運(yùn)行而不會(huì)中斷。

Hewitt介紹稱(chēng)，“固件級(jí)別的自修復(fù)在許多方面都有幫助。首先，它確保固件中的任何損壞都能自行修復(fù)。其次，它還確保在設(shè)備上運(yùn)行的代理能夠修復(fù)。例如，假設(shè)在端點(diǎn)上運(yùn)行一個(gè)端點(diǎn)安全代理，該代理以某種方式崩潰或損壞。在這種情況下，固件級(jí)別的自修復(fù)可以幫助其快速修復(fù)并重新正常運(yùn)行?！?/p>

每個(gè)身份(無(wú)論是人還是機(jī)器)都是一道新的安全防線(xiàn)

將每個(gè)機(jī)器和人的身份視為新的安全邊界，是創(chuàng)建基于零信任的強(qiáng)大安全態(tài)勢(shì)的核心。保護(hù)身份與制造商通過(guò)MFA獲得的早期勝利一樣值得重視。

CISO表示，隨著他們?cè)谄髽I(yè)中采取更強(qiáng)有力的零信任態(tài)勢(shì)，他們也在尋求鞏固這種態(tài)勢(shì)的技術(shù)堆棧。他們中的許多人追求的目標(biāo)是找到一個(gè)以身份和訪(fǎng)問(wèn)管理(IAM)為核心的基于云的網(wǎng)絡(luò)安全平臺(tái)。事實(shí)證明，這是一個(gè)很好的決定，因?yàn)镃IO警告稱(chēng)，盡早獲得IAM有助于快速加強(qiáng)安全態(tài)勢(shì)。

提供集成平臺(tái)的領(lǐng)先網(wǎng)絡(luò)安全提供商包括Akamai、Fortinet、Ericom、Ivanti和Palo Alto Networks。

從長(zhǎng)遠(yuǎn)考慮在制造業(yè)中實(shí)現(xiàn)零信任

在制造業(yè)中實(shí)現(xiàn)零信任并非一蹴而就的事情。它的重點(diǎn)在于持續(xù)加強(qiáng)整個(gè)企業(yè)的安全態(tài)勢(shì)。制造商的運(yùn)營(yíng)越分散，就越需要使用API的高級(jí)集成和技能。

對(duì)于被攻擊者盯上的制造商來(lái)說(shuō)，已經(jīng)沒(méi)有時(shí)間可以浪費(fèi)了。IT和OT系統(tǒng)中的缺口和開(kāi)放端口很容易被掃描制造商網(wǎng)絡(luò)的攻擊者識(shí)別出來(lái)。對(duì)于許多制造商來(lái)說(shuō)，遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)根本沒(méi)有安全措施。所以，想要保護(hù)生產(chǎn)中心、公用事業(yè)和它們所依賴(lài)的基礎(chǔ)設(shè)施，還有很多工作要做。

實(shí)現(xiàn)ZTNA框架并不需要花費(fèi)很多錢(qián)，也不需要一組完整的工作人員。Gartner的《2022年零信任網(wǎng)絡(luò)接入市場(chǎng)指南》提供了很有價(jià)值的參考，可以幫助定義任何ZTNA框架。

隨著每個(gè)身份都有一個(gè)新的安全邊界，制造商必須在2023年優(yōu)先考慮零信任網(wǎng)絡(luò)架構(gòu)。