01 摘要与前言
传统的生产制造领域是OT集中领域,从工业自动化的角度,与传统企业IT互相割裂,形成各自孤岛。而当今世界,行业与地理界限逐渐打破与消失,行业的融合在加剧与深化。这要求工业企业的价值链从研发、生产、物流、销售、售后服务等环节要实现数据的打通,实现数字化的价值。因此,从生产制造的源头,就要充分发掘工业资产、工业流程、工业数据的价值。为了获得更大的工业数据价值,必须实现数据驱动工业流程和效率的优化。而传统OT往往脱离IT部门,独立建设工业基础架构,并习惯性采用物理隔离的方法实现工业网络安全。很显然,在数字驱动的业务述求下,这已经不再适用。
千里之行始于足下,这是思科一贯的风格。我们将从工业中容易被忽略的工业网络基础开始,进而延伸到工业网络安全;并涉及工业资产可视化、工业资产管理、工业网络自动化运营等多个维度,帮助企业IT人员、OT人员一起,打造工业企业的数字化基础与保障。这也完全与工业互联网产业联盟AII的理念一致:在工业互联网领域,网络是基础,安全是保障,平台是核心。
作为IT行业的创新及领先企业,思科始终与工业互联网产业界同仁一起,与时俱进、共同发展;联合开发与合作一系列创新方案,业务场景,实现企业数字化转型,实现业务模式的创新与腾飞。
02 网络融合:工业网络互联
互联是工业企业实现数字化转型的基础。
工业企业除了需要互联办公人员和业务应用系统外,还需要互联生产现场如车间内的PLC、传感器、数控机床、机器人、AGV等设备。此外,利用IT、OT技术的融合互通,工业企业进一步读取和分析相关数据,通过优化流程、提高效率等方式赋能数字化转型。
基于普渡参考模型,思科推出了融合工业网络架构(CPwE),结合先进的数字化网络架构(DNA),不仅实现了制造企业的互联互通,还通过SDN的方式为工业网络赋予了业务编排、自动化部署、策略调整、微分段隔离和智能分析等能力。
在融合工业网络架构(CPwE)中,思科通过一系列工业网络产品,如:工业以太网交换机、工业无线、工业 IoT 网关、工业路由器、工业防火墙等实现了工业网络的互联。通过对标准工业协议如Profinet、Ethernet/IP的支持,以及采用相应的环网技术如MRP、DLR等,提供安全、可靠的现场工业网络。工业无线网络将车间内机器、数据和人的通讯灵活性提升到新的高度,使得随时随地的无线访问和控制成为可能,大大提高了车间工作效率。WiFi6的技术和产品进一步提升了传输带宽并降低延迟,这有助于车间内采用视频及AR/VR技术进行的协作和远程辅助运维。
利用数字化网络架构(DNA),工业网络实现了即插即用和自动化的设计及调整,宏分段和微分段等技术使制造企业可以从产线和设备等角度进行安全细化隔离。工业网络特别是工业无线网络的运维和排障一直都是困扰运维人员的难题,一个简单的工业无线平板连接,其故障可能出现在多个方面:无线信号覆盖、干扰、漫游、接入认证、IP地址获取、域名解析等等。思科DNA中的智能分析模块帮助快速进行故障定位并给出有效建议,从而大大缩短了排障时间并能够实现主动运维。
作为互联企业的重要部分,思科企业级协作架构实现了企业内各部门人员之间、企业与上下游供应链之间、现场人员与远程专家之间的协同互联,这为提高管理效率、降低运营风险、确保连续生产并促进产销协同都提供了很好的平台和工具。
下图是思科工业以太网交换机系列,支持Profinet, Ethernet/IP,Modbus, CC-Link等工业协议
03 安全融合——工业资产可视化及工控威胁侦测
2021年5月,美国最大输油管道因为勒索软件攻击,被迫关闭。这表明传统互联网领域犯罪渗透到能源系统基础设施,对传统工控系统进行攻击。而大量的工业领域的基础设施,工控系统面对虎视眈眈的黑客,又显得那么脆弱与不堪一击。因此,工业安全是工业互联网的保障,这点毋庸置疑。
IT-OT人员携手
为共同实现业务目标,IT 团队需要与 OT 团队合作,以确保他们深刻理解对方,理解需要保护的对象,以及如何在不中断生产的情况下保护重要工业资产。为了使 IT/OT 协作取得成功,双方必须共同行动。
工控安全框架与阶段
为保障工业安全,我们建议多阶段、多步骤、IT-OT联合共同实现。其中多阶段是三部曲:最低安全、基础安全、全面安全。而多步骤则分成四部:发现、分段、侦测、响应。彼此交叉关联,有重叠区域。
罗马不是一天建成的。要全面实现基于零信任工业安全,从第一步骤“发现”开始就很难,虽然这只是最低安全的组成部分。因为传统IT厂商非常擅长识别各类IT资产设备,对于工业互联网领域或者工业自动领域的各类工业终端、工业资产,往往是这些IT厂商的弱项。而传统工业自动化供应商,对于网络安全的积累和工具又不足,这也造成工业网络安全防护的脆弱。
思科直面工业安全挑战
世界各地的 IT 和 OT 人员都知道思科是互联网和工业网络产品的领先供应商。安全专业人士也知道,思科也是一家领先的网络安全公司,拥有广泛全面 IT、云和移动安全解决方案和服务组合。思科最新Cyber Vision工业安全解决方案,扩大了思科工业安全防护范围,包括OT异常和违规侦测。
思科Cyber Vision可深入了解 OT 资产、工业工作流程和 OT 系统中的异常行为。该产品还利用思科 Talos 智能检测安全漏洞、入侵和恶意流量。与其他思科安全产品的深度集成将OT 安全信息整合到工业企业的 IT 安全运营中心(SOCs)或者态势感知平台中,以便维护人员能够快速分析和响应 OT 系统威胁。网络安全运维人员还可以使用来自Cyber Vision的 OT 数据加强 IT系统防御,并改善工业网络环境。
发现
工业网络网络安全框架的第一步骤是识别。该功能不仅涉及识别工业物理资产,还涉及构成的数据、人员、设备、系统、功能和设施等。
一个工业组织。制定完整的风险管理战略意味着全面了解支持关键职能的资源,以及相关的网络安全风险。简言之,资产相关信息(Context)就是一切。
保护工业网络需要在每个阶段持续看见工业网络中的每个工业设备:包括从进入工业网络的那一刻到它被移除的时间点。这将有助于工业企业跟踪安全漏洞、供应商远程访问和已退役的工业资产。
发现过程包括建立一个自动化的资产清单,用于识别设备、固件、防病毒软件和其他系统因素的制造和型号,以评估资产脆弱性。此步骤还包括一个网络发现过程,以自动化的方式,帮助IT,OT及网络安全运营人员构建全工业网络的实时视图。
Cyber Vision各类视图允许 OT 工程师清楚地了解其 OT工业网络在不同条件下的运行情况,更好地规划安全性和生产连续性,并与 IT 网络安全团队合作,用相关设备记录关键业务流程。这些举措还有助于 IT/SecOps 团队开发有利于 OT 的程序和蓝图,以更好地保护和保障这些流程。将OT关联上下文信息、业务洞察和知识提交给 IT/SecOps 专家和 SOC分析师,对于实现工业网络安全目标至关重要。
下图是思科Cyber Vision展示工业资产清单及分组视图
保护
一旦明确围绕网络设备、流程和工业资产的统一视图进行可视化,IT/SecOps 和 OT 团队就可以共同努力,制定保护OT 网络的联合战略。制定和实施适当的保障措施,以确保工业生产继续平稳、高效地运行。
NIST网络安全框架的保护功能支持限制或遏制潜在网络安全事件影响的能力。这需要设计一个网络架构,这也是在 ISA99/IEC 62443中的普渡模型中进行了明确定义。
构建此类网络架构的典型操作包括网络分段( network segment),以确保业务关键流程中涉及的设备安全,并防止任何威胁或恶意行为者横向移动在工业网络。而思科的微分段技术(SGT)可更加颗粒化隔离威胁,并将威胁检测工作重点放在工业网络最关键部分。
配合思科ISA 3000系列工业防火墙,将使IT及OT合作创建本地过滤规则,以隔离制造单元,以帮助确保仅授权设备或连接会话可以访问,保护网络免受恶意或有害活动的侵害。此外,这些“ OT感知”防火墙将为原本无法修补、易受攻击的传统工业设备提供一层加固与保护。
此外,也可以使用网络访问控制架构(NAC),例如思科身份服务引擎(ISE)来结合工业以太网、工业防火墙共同实现网络分段。工业资产和工业网络将轻松地实施工业安全访问策略。
更重要的是,OT人员必须定义要应用的策略。他们是最清楚应该禁止哪些通信以及需要哪些通信以避免干扰生产的人。IT与OT人员联手,使用思科Cyber Vision这样的工具来设置此工业分组和服务逻辑逻辑,并自动与Cisco ISE共享它,这样IT人员便拥有配置适当的安全策略所需的信息,并最终通过网络控制器将信息下发给ISA 3000及工业以太网交换机。
下图是思科工业防火墙ISA 3000,直接部署于工业生产单元
侦测
NIST网络安全框架的“侦测”功能涉及到识别工业网络安全事件。随着在工业网络中部署越来越多的智能终端,检测工业网络中的网络安全威胁变得越来越重要。
通过思科Cyber Vision,解码工业网络流量并确定此类流量中命令的完整性和合法性来发现过程异常。工业企业需要一种能够理解这些工业环境中使用的协议并了解OT流程、环境、资产和协议正确使用的解决方案,也就是Cyber Vision。
下图是Cyber Vision展示一台PLC设备信息及威胁沟通
IT和OT人员必须共同努力,确定网络异常行为。这包括定义正常的工业流程,了解异常的潜在影响以设置关键级别,以及在IT和OT团队之间进行有效的沟通,以使SecOps不会在OT维护期间被误报淹没。
在日常活动中,企业的各方面将需要不同种类的数据和见解,用于评估,调查和响应OT安全事件。OT团队将监视过程修改和设备变更。IT / SecOps团队将监视漏洞和入侵事件。SOC经理将需要详细的资产信息来简化调查过程和策略配置。
下图是思科Cyber Vision威胁事件驾驶舱视图
04 工业网络&安全联动——运营自动化
不同于底层的工业自动化控制系统,思科通过提供“可视-洞察-行动”的闭环处理,为工业互联网平台的部署、安全策略和运维等实现了基于智能分析的自动化处理,从而实现更高的弹性、敏捷性和安全性。
自动化的第一步需要实现可视,通过识别资产,如PLC、IO模块、上位机、PC终端;网络设备,如工业以太网交换机、工业无线、IoT网关;流量,如控制指令、网络会话;安全威胁,如系统漏洞、可疑行为等,这为进一步的洞察分析提供了基础。
洞察是一个分析过程,它试图采用机器学习和大数据分析方法,对系统可视的内容进行处理,通过制定策略、建立基线、关联分析等,为进一步的自动化操作提供依据。例如,通过对网络流量和会话的分析,可以侦测到工业互联网平台上的安全威胁。
由于采用面向软件定义和一体化集成的架构,根据洞察结果,系统管理人员和运维人员能够非常方便地对互联的工业网络平台实现即插即用的自动化上线,服务策略的自动化部署、连接性能的自动化优化、安全威胁的自动化隔离。
工业互联网平台的自动化能力帮助工业企业进一步优化了产线的柔性调整、系统性能和端到端安全,从而支撑工业企业数字化转型。