由于远程ICS管理增加以及制造业适应了在新冠疫情下的工作条件,美国网络安全和基础设施安全局CISA已确定了工业控制系统中潜在的运营问题:
- 扩大网络攻击面;
- 减少网络分段和资产化;
- 未经授权的访问(物理和在线)。
为了应对疫情流行,采用远程工作也增加了与识别、验证和保护账户相关的风险,这比在物理访问允许验证的工作环境中更为必要。在ICS环境中管理网络安全风险需要多种技能,这些技能在面临疫情驱动的变化时变得难以维护。
机器人流程自动化RPA
新冠疫情对现场工人数量的限制导致更多关键制造工厂采用机器人流程自动化(Robotic Process Automation,RPA),即通过使用机器人和通过远程操作员进行管理来实现关键制造生产的自动化。RPA已经存在于生产的某些部分,但在疫情驱动下采用此方法是从以前的劳动密集型制造环境中取得的进步。
向RPA的转变解决了疫情导致的中断风险,但如果实施过程不安全,可能会带来新的风险。例如,RPA需要对操作员进行新流程和强连接的再培训,以控制机器人进行复杂的操作,这增加了转型的运营成本。RPA要求安全地使用控制、验证和监控策略来降低内部风险。
RPA的使用需要对远程流程进行有效管理。远程控制、验证和监控必须量身定制以支持运营需求。远程控制是管理生产过程的功能,例如停止或恢复生产。验证是确定可以远程成功执行的操作。监控是连接性、安全性和缓解潜在生产风险的场景的一项功能。面临的挑战包括带宽限制、确定有利的偏远条件、以及通过再培训减少工作人员失业。解决这个问题将使关键制造业能够继续畅通无阻,并为安全分析师提供远程管理访问。RPA虽然可以大大提高制造的生产能力和安全性,但也引入了外部供应链风险。
RPA的行业采用有助于确保在疫情期间保持业务连续性,但网络安全威胁使RPA的采用复杂化。转向自动化和远程控制、验证和监控方面的进步可能会提高生产力。这些生产力和制造业弹性的改进可以减少关键基础设施员工的暴露风险,并增加关键基础设施和社区的弹性。改进的程度取决于转换手动系统转换的感知成本,网络安全成本可能会人为地显得过高。如果不开发安全自动化,RPA在未来场景中的优势可能会被网络攻击的脆弱性增加所抵消。
网络安全工作人员
从历史上看,工业流程的网络安全服务是由工厂工程师和操作员执行的一项操作功能。然而随着网络攻击变得更加复杂,检测和响应威胁所需的技能已经大大扩展。因此,组织必须相应地增强其ICS网络安全操作。不幸的是,这些增加的必要技能(如远程ICS管理)扩大了传统IT安全分析师与支持制造环境所需的知识差距。例如,制造工程师职位需要两年或两年以上的管理ICS和供应商/行业特定认证,以及标准IT安全经验。这种对人才的高需求也影响了有效应对这些威胁的人才库。
如果当前趋势保持不变,针对制造业基础设施的攻击将继续增加。以前气隙的环境可能会更加连接到企业网络,以及公共云、供应商网络和其他第三方以进行远程管理。威胁形势和攻击面的快速扩张使得制造业组织更有可能经历足以降低或阻碍生产安全性和可用性的网络事件。供应链攻击或中断使制造业安全运营的需求进一步复杂化。勒索软件是制造业的一种新威胁,已经开始针对缺乏自我保护所需的固有安全控制的系统。由于勒索软件高度依赖IT基础设施,在疫情期间成为一种流行的网络攻击形式。结果可能是灾难性的生产损失和停机,以及收入损失和生产延迟的处罚。
缓解措施
管理这些问题需要一种长期和多方面的方法。由于在疫情情况下工作人员密度降低,在车间环境中发展网络安全和运营知识至关重要。此外,公司内部的网络安全团队必须投资培训安全分析师,使其能够远程监控制造环境。生产资源和网络安全分析人员之间的合作伙伴关系应与组织的风险承受能力相对应。
参考资源:
【1】CISA, Cyber Threats to Critical Manufacturing Sector Industrial Control Systems, December 2021
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
