汽車制造如今已日益成為工業(yè)網絡攻擊的一個熱門目標。自 2016 年以來,每年的攻擊事件數(shù)量增加了 605%,僅在 2019 年就增加了一倍多。其中一個原因是,ICS/OT的設計從一開始就沒有考慮到安全性,PLC沒有認證、授權和加密包含的安全監(jiān)控措施,隨著OT技術的進步和IT/OT網絡融合,為網絡攻擊提供了新的攻擊向量和攻擊面。
01 OT技術進步會導致新的攻擊
實踐證明,汽車行業(yè)原有的工控系統(tǒng)非常耐用,但這種耐用性卻已成為當今互聯(lián)世界的一大安全風險。大多數(shù)服務于汽車行業(yè)的原有運營技術(OT)網絡并未考慮到安全性,原因是它們在以往幾乎沒有安全風險。它們由原先設計的“物理隔絕”設備組成,換言之,它們是從電磁、電子和物理層面與所有網絡完全隔離,包括本地系統(tǒng)和互聯(lián)網,特別是那些不安全的網絡。但是,IT 和 OT 的融合,加上工業(yè)物聯(lián)網的快速采用,產生了以前不可能產生的新的攻擊向量, 下圖就很好的解釋了近年發(fā)生的Triton典型工控攻擊事件整個原理。攻擊者從互聯(lián)網側通過IT網絡進入OT系統(tǒng),遠程控制SIS安全儀表系統(tǒng),使正常的業(yè)務邏輯報警失效,然后篡改傳感器和執(zhí)行器的邏輯控制代碼,造成物理設備不可逆損壞。
02 汽車制造業(yè)的網絡安全新挑戰(zhàn)
以下幾個條件使得汽車工業(yè)的工控系統(tǒng)易受攻擊:
現(xiàn)代汽車裝配線接入 IT 系統(tǒng)。IT 和 OT 系統(tǒng)之間的集成可能會產生盲點,這意味著一個系統(tǒng)中的漏洞可能會創(chuàng)建通向另一個系統(tǒng)的入口。
大多數(shù)汽車零部件都是利用數(shù)字技術制造的。
許多汽車零部件由第三方制造商在裝配廠利用數(shù)字技術制造的。這就將系統(tǒng)漏洞從裝配廠擴展到所有制造設施和所有供應鏈合作伙伴的工廠。他們承受著的風險無異于主要汽車制造廠。
聯(lián)網汽車始終處于互聯(lián)狀態(tài),因此總是容易受到攻擊,即使在制造過程完成后,它們仍然可能成為攻擊目標。
每當推出新款車型,組裝作業(yè)都要進行交接,這就使它們面臨新的安全威脅。
汽車制造需要持續(xù)的正常運行時間。據(jù)估計,停機一分鐘將使汽車制造商每分鐘損失 22,000 美元,即每小時損失 130 萬美元。某些損失估計高達每分鐘 5 萬美元。
03 全面的 OT 資產可見性、安全性控制來降低核心風險
TENABLE.OT 全面的可見性
為了降低 OT 風險,您需要對控制采購、制造和裝配過程的所有運營資產具有全面的可見性。深入了解 OT 網絡各類設備很有必要,這包括補丁級別、固件版本和底板信息。此外,還要了解沒有網絡正常通信的休眠設備。您可以通過一個本地物理設備在組織的主位置進行這項操作。
確保在所有站點都建立 OT 安全性,以使偏遠位置與主廠區(qū)具有相同的風險水平。如果站點太小或太遠,無法容納額外的設備,則要考慮部署基于云的解決方案。此外,通過實時反饋可以識別新的安全威脅,啟用 OT 安全狀態(tài)實時監(jiān)控。
TENABLE.OT 漏洞優(yōu)先排序和控制
由于汽車制造中嚴格的生產計劃和停機時間成本,當發(fā)現(xiàn)漏洞時,很難停運打補丁,甚至例行維護也無法進行。為了確保及時關閉漏洞窗口,有效的 OT 安全系統(tǒng)應該定期執(zhí)行庫存檢查,提供詳細信息報告,包括設備型號、固件版本、漏洞、補丁級別等等。這些檢查將查明哪些設備需要維護,何時設備可以停運,同時還能有針對性地對操作程序進行優(yōu)先排序。
TENABLE.OT 有效的安全和威脅檢測
在威脅檢測方面,最有效的方法是結合多個檢測引擎:
流量映射和流量可視化:配置審計功能,識別策略違規(guī),并針對違反給定策略(例如黑名單、白名單)的實例發(fā)出警報。
異常檢測:查明超出常規(guī)網絡操作的流量模式。
基于特征的入侵檢測:識別已發(fā)布的威脅,利用多元警報機制防范尚未識別的威脅。
04 IT/OT 網絡安全解決方案可以幫助降低風險
您是否希望深入了解如何應對 OT 安全挑戰(zhàn)?Tenable.ot(Powered by Indegy)可通過提供以下能力提供幫助:
分布式部署的多檢測引擎,同時利用被動檢測和獲得專利的主動查詢來檢測任何網絡安全威脅,無論是在您的主廠區(qū)還是偏遠站點。
全量詳細資產清單,幫助識別和管理工控設備漏洞,并確定優(yōu)先級,制定維護計劃。
全站點的審核信息,加快事件響應速度,主動滿足各種合規(guī)要求。
通過專利技術,使用原生OT協(xié)議(S7、Modbus、DNP3)從PLC主動提取配置快照,進行配置審核,同時也提高漏洞的識別準確性。
2012-2020 版權所有?信亦宏達網絡存儲技術(北京)有限公司 京ICP備09114115號-1