当前 IT/OT 安全方面的趋势和挑战
根据德国联邦信息安全办公室的统计,每天都有超过 30 万个新的恶意软件变种出现,这说明即使公司及其数字化基础设施不是网络攻击的对象,也很有可能受到恶意软件的影响。针对公司及其自动化基础设施的攻击正在增加。
根据 Claroty 的一份报告,在受到恶意软件攻击的受访企业中,有 50% 的企业的 OT 系统受到了影响,其中 80% 的案例导致了生产流程故障或中断。
以下重要案例说明了当前的 IT/OT 安全形势:
- 2010:首个专门用于攻击 OT 系统的恶意软件 Stuxnet
- 2012:沙特阿拉伯石油行业的恶意软件事件(恢复成本约 10 亿美元,35,000 台计算机必须更换)
- 2014:德国一家钢铁厂遭受攻击,工厂遭到大规模破坏
- 2019:LockerGoga 恶意软件事件,第一周损失总计约 4000 万美元
- 2022:日本汽车制造商的 28 条生产线瘫痪
如今,工厂所有者面临的挑战是制定一个概念,旨在保证实体安全、确保网络安全、维护工厂的完整性,并制定处理 IT/OT 系统的政策。
IEC 62443 是一系列标准之一,涉及自动化基础设施全生命周期中的网络安全问题,它考虑到了特定组件,如 PLC 控制系统和相应的传感器,这些组件与标准 IT 组件(如以太网网络,包括 WiFi 和工厂自动化的客户端/服务器基础设施)一起使用。该系列标准的一个要素是相关系统的制造商、集成商和运营商之间的互动。
X-Pact® 纵深防御 - IT/OT 安全的整体概念
作为金属行业领先的系统集成商之一,西马克集团将操作技术 (OT) 和信息技术 (IT) 相结合,以提高产线和设备的盈利能力、可持续性、安全性和可靠性。西马克集团可以同时扮演三种角色:作为数字化产品(软件)和精选自动化组件(硬件)的制造商,西马克集团通过系统集成,将自身的各种组件和分包商的系统整合在一起,为客户提供全方位的集成解决方案。
基于此,西马克集团的X-Pact®电气和自动化系统世界又增加了一个重要模块。针对IT/OT 安全的 X-Pact® 纵深防御 概念以 IEC 62443 为基础,根据客户工厂自动化基础设施所需的保护级别,将多项措施结合在一起,为客户量身定制解决方案。
所有措施的实施都以风险分析为基础。它根据风险列出了自动化基础设施中使用的所有组件和系统,并评估了在最坏情况下的保护要求。通过风险分析,所用组件不再仅根据其功能进行分组,还根据为其确定的保护要求进行分组。这就产生了一个分区图,将组件分配到不同的区域。不同区域之间的通信仅限于必要的通信,从而使恶意软件的快速、不受控制的传播更加困难。
实施过程中使用的其他模块包括各种防病毒保护方法、标准化系统组件加固和用户授权限制、监控和备份概念以及资产和漏洞管理系统。
此外,还为客户提供一系列量身定制的服务选项,这些选项与工程设计和实施已定义的安全概念同时进行,并为客户提供长期的持续支持。如前所述,潜在的威胁和风险在不断变化,相关的网络安全措施必须与时俱进,因此服务包可分为以下几类:
标准服务
- 关键组件的可用性监控
- 备份服务
- 定期持续更新操作系统
- 评估异常事件日志
- 定期病毒扫描
- 定期报告
- 不同软件的更新协议
扩展服务
- 资产和漏洞管理,可选择漏洞扫描
- 定期进行备份恢复测试
- 持续或定期重复风险分析
- 扩展日志分析
- 定期更新安全技术(如更换防火墙系统)
- 可选的渗透测试
西马克集团的 "纵深防御"(Defense in Depth)方法可确保客户特定自动化基础设施的 IT/OT 安全,进而帮助相关设备保持高可用性水平。西马克集团与客户合作,根据他们的具体使用情况量身定制解决方案。凭借在硬件、电气设备、自动化、数字化和服务方面的综合能力,以及将解决方案与基于性能的业务模式相结合,西马克集团是客户在设备和装置的整个全生命周期内理想的长期合作伙伴。