制造業(yè)和企業(yè)技術(shù)領(lǐng)域歷來(lái)是獨(dú)立運(yùn)行的,不同的技能和不同類型的技術(shù)在這兩個(gè)領(lǐng)域之間形成了天然的障礙。由于擔(dān)心運(yùn)營(yíng)中斷,人們采取了“護(hù)城河”的方式來(lái)保護(hù)生產(chǎn)工廠,并且不愿對(duì)支持操作工具的技術(shù)進(jìn)行更改。IT和制造業(yè)內(nèi)部的功能孤島經(jīng)常導(dǎo)致制造工程和IT團(tuán)隊(duì)之間的關(guān)系緊張。
在過去幾年,這一切都發(fā)生了變化。工業(yè)4.0、互聯(lián)網(wǎng)連接、物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備的引入改變了游戲規(guī)則。制造環(huán)境與IT環(huán)境的聯(lián)系越來(lái)越緊密,技術(shù)領(lǐng)域之間密不可分,相互依存。好消息是,消除障礙使企業(yè)能夠更有效地運(yùn)營(yíng),并更有效地降低風(fēng)險(xiǎn)。
當(dāng)制造企業(yè)考慮使他們的技術(shù)投資現(xiàn)代化時(shí),他們應(yīng)該問自己以下制造產(chǎn)業(yè)的有關(guān)問題:
(1)知道所擁有的一切嗎?
每個(gè)人都知道無(wú)法管理看不見的東西,在當(dāng)今世界,如果不能管理它,就不能保護(hù)它。
在傳統(tǒng)制造業(yè)中,資產(chǎn)庫(kù)存流程涉及人工步驟,嚴(yán)重依賴電子表格。隨著越來(lái)越多的新資產(chǎn)類型被引入到工廠環(huán)境中,許多資產(chǎn)類型無(wú)法使用這些傳統(tǒng)掃描方法捕獲。在最糟糕的情況下,運(yùn)營(yíng)人員只會(huì)在需要掃描時(shí)關(guān)掉設(shè)備,然后在掃描后重新啟動(dòng)。多年來(lái),過時(shí)和不完整的信息被接受,因?yàn)楦匾氖顷P(guān)注保持運(yùn)營(yíng)的事情。
(2)是否在全面地管理和保護(hù)制造產(chǎn)業(yè)?
在更高層次上,制造業(yè)有兩種不同類型的技術(shù)。工業(yè)控制系統(tǒng)是分層的,由普渡模型和ISA/IEC62443IACS網(wǎng)絡(luò)安全標(biāo)準(zhǔn)定義。從資產(chǎn)管理的角度來(lái)看,設(shè)備類型和管理它們的專業(yè)知識(shí)之間存在主要區(qū)別。
在堆棧的下層是通常在工廠或工業(yè)運(yùn)營(yíng)中執(zhí)行高容量、重復(fù)工作的設(shè)備。像傳感器和執(zhí)行器這樣的東西必須以很高的效率運(yùn)行,并且不能容忍停機(jī)時(shí)間。從技術(shù)角度來(lái)看,這些設(shè)備通常運(yùn)行在實(shí)時(shí)操作系統(tǒng)(RTOS)上,這是由工業(yè)控制系統(tǒng)(ICS)供應(yīng)商構(gòu)建和管理的專有系統(tǒng)。近年來(lái),OT安全供應(yīng)商已經(jīng)出現(xiàn),專門評(píng)估和幫助管理這類設(shè)備的風(fēng)險(xiǎn)。在工業(yè)4.0時(shí)代,人們也看到了互聯(lián)網(wǎng)連接(IOT/IIOT)設(shè)備進(jìn)入工業(yè)環(huán)境,擴(kuò)大了管理的復(fù)雜性和攻擊面。
堆棧的上半部分是通常用于控制低層設(shè)備、提供總體管理功能以及與公司域中的系統(tǒng)通信的設(shè)備。這些類型的設(shè)備通常運(yùn)行在Windows和Linux等標(biāo)準(zhǔn)操作系統(tǒng)上,需要與企業(yè)環(huán)境中的系統(tǒng)相同類型的管理和控制。還有一層技術(shù),有時(shí)稱為“網(wǎng)關(guān)設(shè)備”,用于管理從較低層到較高層的協(xié)議轉(zhuǎn)換。網(wǎng)關(guān)設(shè)備通常運(yùn)行在標(biāo)準(zhǔn)操作系統(tǒng)的簡(jiǎn)化嵌入式版本上。所有這些類似IT的設(shè)備,以及它們與企業(yè)環(huán)境的連接,都是最常見的網(wǎng)絡(luò)攻擊載體和安全隱患。事實(shí)上,制造業(yè)多年來(lái)首次超過金融服務(wù)業(yè),成為受到網(wǎng)絡(luò)攻擊最嚴(yán)重的行業(yè)。
為了確保他們端到端管理和保護(hù)他們的制造環(huán)境,制造工程、IT和安全團(tuán)隊(duì)正在協(xié)作形成統(tǒng)一的安全運(yùn)營(yíng)中心(SOC)和流程,將這些不同類型的技術(shù)的最佳管理數(shù)據(jù)源推入共享CMDB、SIEM和工作流平臺(tái)。
(3)最關(guān)鍵的資產(chǎn)有沒有打補(bǔ)丁?
大多數(shù)IT和安全從業(yè)者都認(rèn)為,防止網(wǎng)絡(luò)威脅的首要方法是給電腦打補(bǔ)丁。
確保保持盡可能高水平的安全技術(shù)還將增加正常運(yùn)行時(shí)間,減少維護(hù)和修復(fù)問題的工作量,例如減少故障通知單,這樣企業(yè)的幫助臺(tái)團(tuán)隊(duì)就可以專注于更有價(jià)值的工作。同樣的規(guī)則也適用于制造業(yè):前面提到的類IT設(shè)備或“托管資產(chǎn)”都需要與企業(yè)環(huán)境中的資產(chǎn)類似的級(jí)別和類型的補(bǔ)丁,企業(yè)應(yīng)該努力將補(bǔ)丁實(shí)踐擴(kuò)展到制造業(yè)領(lǐng)域,最好是從管理其IT資產(chǎn)的同一個(gè)平臺(tái)擴(kuò)展。
歷史表明,IT實(shí)踐不能輕易地?cái)U(kuò)展到制造業(yè)。過時(shí)的操作系統(tǒng)、狹窄的更改窗口、精簡(jiǎn)的硬件規(guī)格和網(wǎng)絡(luò)分段都是制造環(huán)境中打補(bǔ)丁的傳統(tǒng)挑戰(zhàn)。然而,隨著最近技術(shù)的進(jìn)步和協(xié)作的增加,制造技術(shù)團(tuán)隊(duì)越來(lái)越能夠在不影響生產(chǎn)的情況下提高可操作性和降低風(fēng)險(xiǎn)。
關(guān)于漏洞管理的注意事項(xiàng):識(shí)別和確定漏洞優(yōu)先級(jí)的過程可以幫助企業(yè)將打補(bǔ)丁集中在風(fēng)險(xiǎn)最大的領(lǐng)域。如果企業(yè)可以從用于識(shí)別漏洞和確定漏洞優(yōu)先級(jí)的同一平臺(tái)驅(qū)動(dòng)修補(bǔ)程序,則可以消除移交,獲得更好的結(jié)果,并在操作中實(shí)現(xiàn)顯著的生產(chǎn)力提高。
至于較低層次,或“未管理”資產(chǎn),人們看到越來(lái)越多的網(wǎng)絡(luò)攻擊和威脅。有一些企業(yè)專門識(shí)別和分析該領(lǐng)域的漏洞,最佳實(shí)踐包括將來(lái)自這些供應(yīng)商的系統(tǒng)和IT系統(tǒng)的數(shù)據(jù)聚合到統(tǒng)一的CMDB、SIEM和工作流平臺(tái)中。
(4)企業(yè)對(duì)制造業(yè)的網(wǎng)絡(luò)事件準(zhǔn)備得如何?
鑒于最近勒索軟件攻擊的激增,有很多企業(yè)提供最佳實(shí)踐、解決方案和服務(wù)。
首先,企業(yè)必須有一個(gè)適當(dāng)?shù)氖录憫?yīng)計(jì)劃,該計(jì)劃必須包括制造。讓企業(yè)的董事會(huì)成員和其他主要高管知道他們的角色是很重要的。還應(yīng)該就誰(shuí)負(fù)有最終責(zé)任達(dá)成一致,并且應(yīng)該為盡可能多的場(chǎng)景確定行動(dòng)。例如,如果受到網(wǎng)絡(luò)攻擊,會(huì)支付贖金嗎?是否可以從備份中恢復(fù),如果可以,需要多長(zhǎng)時(shí)間?如果企業(yè)已經(jīng)考慮過許多可能的網(wǎng)絡(luò)攻擊的影響,會(huì)恢復(fù)得更快。測(cè)試運(yùn)行和桌面練習(xí)是確保所有涉眾都意識(shí)到影響并做好準(zhǔn)備的好方法。
從系統(tǒng)能力的角度來(lái)看,在事件發(fā)生期間,了解事件的狀態(tài)總是至關(guān)重要的。在一個(gè)分秒計(jì)算的工作環(huán)境中,對(duì)環(huán)境中正在發(fā)生的事情的實(shí)時(shí)可見性是非常寶貴的。唯一的真相來(lái)源就是合作伙伴,在關(guān)鍵時(shí)刻從同一個(gè)平臺(tái)采取行動(dòng)和控制資產(chǎn)的能力也是一個(gè)很大的優(yōu)勢(shì)。準(zhǔn)備最充分的企業(yè)提前知道他們?cè)谀睦镒钊菀资艿接绊?,在這個(gè)資源有限的世界里,可以通過優(yōu)先分配資源來(lái)補(bǔ)救,從而最大限度地減少影響。
然后是云計(jì)算,整個(gè)制造業(yè)都在采用云計(jì)算,按照技術(shù)的發(fā)展速度,可以肯定的是,企業(yè)將繼續(xù)從云計(jì)算環(huán)境的規(guī)模和效率中尋求好處。無(wú)論企業(yè)處于云計(jì)算之旅的哪個(gè)階段,在事件響應(yīng)計(jì)劃中包含基于云的場(chǎng)景都是一個(gè)好主意。
(5)技術(shù)在優(yōu)化運(yùn)營(yíng)效率方面發(fā)揮了什么作用?
企業(yè)不愿意在工廠給機(jī)器打補(bǔ)丁,這會(huì)妨礙運(yùn)營(yíng)效率和生產(chǎn)產(chǎn)量的提高嗎?
傳統(tǒng)的制造團(tuán)隊(duì)長(zhǎng)期以來(lái)都不愿意接觸正在運(yùn)行的任何東西。工廠正常運(yùn)行時(shí)間驅(qū)動(dòng)產(chǎn)量,僅次于安全,產(chǎn)量是工廠經(jīng)理的主要KPI。不頻繁和短暫的維護(hù)窗口是正常的,“如果沒有壞掉……”的心態(tài)在許多地方仍然普遍存在。
然而,在當(dāng)今世界,情況恰恰相反。工業(yè)環(huán)境中充滿了工作以管理從事體力勞動(dòng)的資產(chǎn)的機(jī)器。其中一些需要相對(duì)較少的人際互動(dòng),而且看不見就會(huì)想不到。工廠員工使用的工作站和筆記本電腦往往比在企業(yè)環(huán)境中受到的關(guān)注要少。除了這些過時(shí)的、管理不足的資產(chǎn)所帶來(lái)的風(fēng)險(xiǎn)之外,還會(huì)對(duì)運(yùn)營(yíng)效率產(chǎn)生影響??紤]一下機(jī)器所花費(fèi)的資源數(shù)量,以及當(dāng)其中一臺(tái)機(jī)器最終宕機(jī)或被黑客攻擊時(shí)的影響。在這一基礎(chǔ)上增加企業(yè)所使用的資源,以確保符合法規(guī)要求。除了工業(yè)控制環(huán)境的傳統(tǒng)合規(guī)框架(例如ISA62443)之外,還有許多關(guān)于影響制造業(yè)的聯(lián)網(wǎng)產(chǎn)品的最新監(jiān)管要求(例如汽車行業(yè)的UNECER155/156)。
考慮一下這在規(guī)模上意味著什么,多個(gè)工廠或工業(yè)運(yùn)營(yíng)獨(dú)立運(yùn)行,每個(gè)工廠都有自己的一組資源管理自己的過時(shí)資產(chǎn)。
現(xiàn)在是改變管理制造技術(shù)方式的時(shí)候了。在傳統(tǒng)模式中,工廠是獨(dú)立管理的:它們?cè)谑澜绮煌牡胤?、不同的環(huán)境、不同的IT基礎(chǔ)設(shè)施中運(yùn)行。通過收購(gòu)增加到這些業(yè)務(wù)中,這種模式本質(zhì)上是低效的。
隨著當(dāng)今技術(shù)的發(fā)展,以及在工廠環(huán)境中采用良好的方式,企業(yè)可以提高運(yùn)營(yíng)的標(biāo)準(zhǔn)化和集中化。除了改善風(fēng)險(xiǎn)狀況外,這還將對(duì)生產(chǎn)產(chǎn)生積極影響。
分離和獨(dú)立制造技術(shù)的傳統(tǒng)效率低下,使制造商容易受到網(wǎng)絡(luò)攻擊。過時(shí)的技術(shù)正在受到審查,隨著制造工程師的離職或退休,沒有良好的端到端解決方案來(lái)管理和保護(hù)企業(yè)的資產(chǎn)。
這些挑戰(zhàn)的解決方案始于能見度。首先統(tǒng)一企業(yè)的IT和OT環(huán)境,并從始終了解企業(yè)擁有什么、它在哪里以及它處于什么狀態(tài)中獲得信心。從那里,從一個(gè)平臺(tái)控制資產(chǎn)的能力將幫助企業(yè)消除移交和人工流程。
對(duì)制造技術(shù)采取端到端觀點(diǎn)并采用集成平臺(tái)方法的企業(yè)管理最有效,環(huán)境受到最好的保護(hù)。來(lái)自IT和OT環(huán)境的最高質(zhì)量和最及時(shí)的數(shù)據(jù)正在為它們的SIEM、CMDB和工作流平臺(tái)提供信息。他們有統(tǒng)一的SOC,合規(guī)性在很大程度上是自動(dòng)化的。最后,以效率為最終目標(biāo)的企業(yè)將在未來(lái)幾年獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。