根据西门子(https://www.arabianbusiness.com/technology/428319-the-biggest-oil-gas-threat-isnt-drones-its-cyber)的说法,“中东地区的网络安全漏洞非常普遍西门子和Ponemon研究所的一项研究表明,这种攻击未被发现,有30%的攻击针对的是操作技术(OT)。这项研究的调查中有三分之二的受访者在过去一年中经历了至少一项安全妥协,导致在OT环境中不受限制的信息丢失或操作中断。”
这些发现与其他有关控制和安全系统网络安全的调查相似。它们与OT网络及相关的网络影响有关。未解决对过程的影响,例如设备故障和工厂停工。但是,此过程与公司底线最相关。即,生产和分配电力,水,石油/天然气,制成品等物理产品。该过程可以在没有OT网络的情况下工作,但不能以方式进行。但是,如果没有控制系统,该过程将无法进行。例如,在2015年网络攻击之后,乌克兰在没有OT网络的情况下运营了数月的电网,因为他们无法相信网络是“干净的”。但是,OT网络安全社区实际上忽略了该过程。具有讽刺意味的是,控制系统供应商在流程方面拥有广泛的专业知识,但是文化鸿沟经常使他们无法参与网络安全活动。这种文化/治理上的差距必须改变。
具体而言,西门子提出以下建议。应当注意,这四个步骤与其他控制系统供应商相似。我的评论以粗体显示。
-入侵检测:西门子使用人工智能和无机器学习来为网络通信的正常行为创建基线。然后,该公司将被动监控整个网络并实时确定异常情况,而无需进行配置或设置预设条件。这适用于网络异常检测,但不适用于进程异常检测。入侵检测方法既不针对实际工厂设备,也不针对原始模拟级别的过程传感器,执行器和驱动器。从本质上讲,“夜幕降临时”的设备没有得到解决。安全和运营之间存在差距。
-评估:西门子检查和监视资产,以确定OT网络内部及其组件系统之间的弱点或威胁缺口。这适用于网络,但不针对实际的工厂设备,也不针对没有网络安全性或身份验证的过程传感器,执行器,驱动器和传感器网络。安全和运营之间存在差距。
-自动化:西门子确保为整个自动化系统提供并安装了最新的软件和硬件更新。这可能已经确定了Stuxnet的PLC逻辑更改。但是,存在各种控制系统供应商的系统实例,其中安全软件和硬件更新已影响设施的运行。因此,有必要确全性升级不会影响运营,因此必须使工程和安全性一起工作。
-最终,西门子确保在发生任何安全事件时,都有计划使工厂尽快恢复在线。没有提及西门子如何确定事件是网络事件,无意的“小故障”或看起来像小故障的网络攻击。回想一下,使用Stuxnet之前,离心机被摧毁了一年,然后才确定这是一次网络攻击。这不是西门子的问题。沙特阿拉伯Schneider Triconex安全系统的Triton攻击于2017年6月关闭工厂时并未被确定为网络攻击。需要对安全和操作进行培训,以识别可能是网络攻击。
对于工业和制造公司而言,诸如信用评级机构和保险公司之类的组织不仅关注网络,还关注企业面临的风险。OT安全社区需要认识到对组织最重要的风险是流程而不是网络。这将需要更改治理模型,以要求与工程部门合作以及由工程部门带头的安全性。
