IBM的《2022年X-Force威脅情報報告》顯示,在2021年前9個月,攻擊者對連網(wǎng)的SCADA網(wǎng)絡(luò)設(shè)備和傳感器的偵察增加了2204%。預(yù)計(jì)到2023年,OT網(wǎng)絡(luò)攻擊造成的全球經(jīng)濟(jì)損失將達(dá)到500億美元。到2026年,超過一半的網(wǎng)絡(luò)攻擊將針對零信任控制無法覆蓋或無法緩解的領(lǐng)域。
今年早些時候,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)警告稱,高級持續(xù)威脅(APT)犯罪團(tuán)伙的目標(biāo)是許多最流行的工業(yè)控制系統(tǒng)(ICS)和SCADA設(shè)備。由于新的端點(diǎn)技術(shù)(包括物聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)和用于提供實(shí)時數(shù)據(jù)的遙感設(shè)備)的快速增長,制造商的漏洞正變得越來越廣為人知。
ICS傳感器的設(shè)計(jì)不是為了保護(hù)數(shù)據(jù),而是為了簡化數(shù)據(jù)捕獲過程。這是在當(dāng)今制造業(yè)中實(shí)現(xiàn)零信任網(wǎng)絡(luò)架構(gòu)(ZTNA)框架和策略的挑戰(zhàn)之一。
制造業(yè)是威脅增長最快的領(lǐng)域
在IBMX-Force威脅管理平臺修復(fù)的所有攻擊中,有23%源自制造業(yè)。根據(jù)該公司的分析,這使得制造業(yè)成為受攻擊最嚴(yán)重的行業(yè),并在2021年首次取代金融服務(wù)業(yè),位列威脅榜首。IT和OT間的缺口對于網(wǎng)絡(luò)攻擊極具吸引力,61%的入侵和泄露事件發(fā)生在基于OT的制造商身上。超過三分之二(36%)的針對制造商的攻擊是通過勒索軟件發(fā)起的。
令人擔(dān)憂的是,針對制造商和ICS設(shè)備的攻擊潮流正在以非常快的速度增長。例如,卡巴斯基ICSCERT發(fā)現(xiàn),僅在2022年上半年,全球三分之一的ICS計(jì)算機(jī)就攔截過至少一次惡意對象。在同一時期,ICS-CERT發(fā)布了560個常見漏洞和暴露(CVE),其中303個是在今年上半年引入的。關(guān)鍵制造業(yè)是受影響最直接的行業(yè),報告了109個CVE。
經(jīng)歷一次網(wǎng)絡(luò)攻擊后,制造商的系統(tǒng)平均會癱瘓五天。其中,50%在三天內(nèi)響應(yīng)中斷,僅有15%在一天或更短時間內(nèi)響應(yīng)。BlastWave聯(lián)合創(chuàng)始人兼首席執(zhí)行官TomSego表示,“制造業(yè)的生死取決于可用性。IT大概是三到五年的技術(shù)更新周期,而OT的更新周期更像是30年。大多數(shù)人機(jī)界面(HMI)和其他系統(tǒng)運(yùn)行的都是Windows或SCADA系統(tǒng)版本,這些系統(tǒng)不再受支持,無法打補(bǔ)丁,是黑客癱瘓制造業(yè)務(wù)的完美選項(xiàng)。”
為什么在制造業(yè)中很難實(shí)現(xiàn)零信任
制造商正在迅速增加端點(diǎn),暴露威脅面,并不斷擴(kuò)展“使用不受保護(hù)的第三方設(shè)備的”合作伙伴生態(tài)系統(tǒng)。基于邊界的網(wǎng)絡(luò)安全系統(tǒng)已被證實(shí)不夠有效和靈活,無法跟上快速發(fā)展的威脅格局。再加上在ICS上實(shí)現(xiàn)ZTNA極具挑戰(zhàn)性,因?yàn)镮CS的設(shè)計(jì)更多的是為了效率、監(jiān)控和報告,而非安全,所以問題也就顯而易見了。
在系統(tǒng)之間配置具有物理間隙的ICS(一種稱為airgapping的技術(shù))不再有效。事實(shí)證明,勒索軟件攻擊者可以利用USB驅(qū)動器的氣隙,將系統(tǒng)之間暴露的物理間隙變成攻擊載體。超過三分之一(37%)針對ICS的惡意軟件攻擊是通過USB設(shè)備進(jìn)行的。勒索軟件攻擊者正在復(fù)制軟件供應(yīng)鏈攻擊的技術(shù),用常見的合法文件名重新標(biāo)記可執(zhí)行文件。一旦進(jìn)入ICS,攻擊者就可以通過網(wǎng)絡(luò)橫向移動,獲取特權(quán)訪問憑證,竊取數(shù)據(jù)并試圖獲得對設(shè)施的控制權(quán)限。
另一個挑戰(zhàn)是,許多傳統(tǒng)傳感器和端點(diǎn)——從可編程邏輯控制器(PLC)到基本的運(yùn)動和溫度傳感器——都依賴于廣泛的協(xié)議,以至于許多傳統(tǒng)設(shè)備無法分配IP地址。ICS所依賴的傳感器更多地設(shè)計(jì)用于低延遲的持續(xù)實(shí)時數(shù)據(jù)傳輸,而不是用于支持加密和安全。不出所料,86%的制造商對其ICS系統(tǒng)及其支持的生產(chǎn)流程幾乎沒有可見性。
制造業(yè)的首席信息安全官(CISO)表示,他們的傳統(tǒng)外圍安全網(wǎng)絡(luò)通常對web應(yīng)用程序、瀏覽器會話和第三方硬件缺乏足夠的保護(hù),并且沒有遠(yuǎn)程訪問策略選項(xiàng)。開放的端口、配置錯誤的防火墻和不受管理的無線連接滲透在這些網(wǎng)絡(luò)中。再加上缺乏對聯(lián)邦身份和特權(quán)訪問憑證的控制,很明顯,在遺留制造環(huán)境中實(shí)現(xiàn)零信任是多么困難。
這些風(fēng)險負(fù)債就是制造業(yè)必須在2023年將實(shí)施“ZTNA框架”和采取“零信任安全”態(tài)勢作為高度優(yōu)先事項(xiàng)的原因所在。
制造業(yè)的CISO應(yīng)該從何入手
造成這種現(xiàn)狀的部分原因在于,制造行業(yè)競爭激烈使得安全問題一直落后于其他優(yōu)先事項(xiàng)。在2023年,這種情況必須改變,安全必須成為業(yè)務(wù)的推動者。
BlastWave公司的CISOTomSego表示,“接受零信任的公司將獲得競爭優(yōu)勢,并實(shí)現(xiàn)遠(yuǎn)程能力,從而提高全球供應(yīng)鏈的效率。那些拒絕與時俱進(jìn),心存僥幸的公司將會不可避免地陷入網(wǎng)絡(luò)攻擊,從而造成一場本可以避免的生存危機(jī)。一小步的預(yù)防抵得上一大步的檢測和補(bǔ)救。”
隨著制造商提高運(yùn)營速度,他們需要使用零信任來保護(hù)web應(yīng)用程序。微分段(Microsegmentation)需要超越將整個生產(chǎn)設(shè)施定義為單個可信區(qū)域的狹隘概念。最重要的是,ZTNA框架需要基于考慮多云配置的可靠業(yè)務(wù)案例。
以下領(lǐng)域是一個實(shí)用的ZTNA框架的核心,制造商可以根據(jù)其獨(dú)特的業(yè)務(wù)和操作需求進(jìn)行調(diào)整。
正確實(shí)現(xiàn)零信任需要從公司范圍內(nèi)的每個瀏覽器會話開始
由于勞動力、政治和成本的不確定性,制造商有時需要急于將生產(chǎn)轉(zhuǎn)移回國內(nèi)。Web應(yīng)用程序和瀏覽器會話是實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵。遠(yuǎn)程瀏覽器隔離(Remotebrowserisolation,RBI)是必須的,因?yàn)檫@些回遷轉(zhuǎn)移發(fā)生得非常快。目標(biāo)是使用零信任來保護(hù)每個web應(yīng)用程序和瀏覽器會話免受入侵和破壞。
制造商正在評估和采用RBI,因?yàn)樗粫仁顾麄儗夹g(shù)堆棧進(jìn)行徹底檢查。RBI對瀏覽采取零信任安全方法。領(lǐng)先的RBI提供商包括Broadcom、Forcepoint、Ericom、Iboss、Lookout、NetSkope、PaloAltoNetworks和Zscaler。
RBI還被用于保護(hù)Office365和Salesforce等應(yīng)用程序及其包含的數(shù)據(jù)不受潛在惡意非托管設(shè)備(如承包商或合作伙伴使用的設(shè)備)的影響。
Ericom是該領(lǐng)域的領(lǐng)導(dǎo)者,其在保護(hù)每個端點(diǎn)免受高級web威脅的同時,保持本機(jī)瀏覽器性能和用戶體驗(yàn)的方法證明了這一點(diǎn)。Ericom的解決方案對于面臨生產(chǎn)回遷的艱巨挑戰(zhàn)的制造商來說是理想的,因?yàn)樗踔量梢员Wo(hù)Zoom和MicrosoftTeams等虛擬會議環(huán)境中的用戶和數(shù)據(jù)。
多因素身份驗(yàn)證(MFA)是入場籌碼,是完整ZTNA框架的一部分
CISO表示,MFA是入場籌碼,企業(yè)可以利用它為未來的預(yù)算建立強(qiáng)有力的支持。在最近一次題為《展望未來:JohnKindervag對2023年零信任的展望》的文章中,零信任創(chuàng)造者JohnKindervag在評論MFA時稱,“我們太過依賴MFA了,我們過去稱它是‘雙因素身份認(rèn)證(2FA)’,現(xiàn)在數(shù)字2換成字母M后,它似乎突然變得新奇而迷人了,但它本質(zhì)都是一樣的。而且,確實(shí),它是一個強(qiáng)大的工具,有助于我們獲取勝利。但與此同時,如果我們只依賴這一點(diǎn),那將是一個問題。”
MFA的部署速度需要與其作為ZTNA總體框架的一部分的有效性相平衡。Forrester高級分析師AndrewHewitt表示,保護(hù)端點(diǎn)的最佳起點(diǎn)是“始終圍繞著執(zhí)行多因素身份驗(yàn)證。這對于確保企業(yè)數(shù)據(jù)的安全大有幫助。”
為什么制造商也需要微分段
微分割的目的是隔離和孤立特定的網(wǎng)絡(luò)段,以減少攻擊面數(shù)量和限制橫向移動。它是NISTSP800-27零信任框架定義的零信任的核心要素之一。
制造商正在使用微分段來保護(hù)他們最具價值的資產(chǎn)和網(wǎng)絡(luò)部分。他們還使用微分段使承包商、第三方服務(wù)和供應(yīng)鏈供應(yīng)商能夠訪問他們的網(wǎng)絡(luò)。在ZTNA采用方面最先進(jìn)的制造商最終將使用微分段來取代傳統(tǒng)的軟件定義網(wǎng)絡(luò)(SDN)架構(gòu)。
該領(lǐng)域的主要供應(yīng)商包括Akamai、AirgapNetworks、AquaSecurity、Cisco、ColorTokens、Illumio、PaloAltoNetworks、TrueFort、vArmour、VMware和Zscaler。
端點(diǎn)在ZTNA框架中不可或缺
端點(diǎn)是在制造業(yè)中實(shí)現(xiàn)ZTNA框架最具挑戰(zhàn)性的領(lǐng)域,也是最重要的領(lǐng)域。端點(diǎn)是制造業(yè)務(wù)每筆交易的管道,它們經(jīng)常不受保護(hù)。基于云的端點(diǎn)保護(hù)平臺(EPP)是追求ZTNA框架和策略的制造商的理想選擇,因?yàn)樗鼈兛梢愿斓夭渴穑⑶铱梢愿鶕?jù)制造業(yè)務(wù)的獨(dú)特需求實(shí)現(xiàn)個性化定制。
自修復(fù)端點(diǎn)(Self-healingendpoint)在制造業(yè)中至關(guān)重要,因?yàn)镮T人員經(jīng)常會面臨人手不足的情況。根據(jù)定義,自修復(fù)端點(diǎn)將關(guān)閉自身,重新檢查所有操作系統(tǒng)和應(yīng)用程序版本,包括補(bǔ)丁更新,并將自身重置為優(yōu)化的安全配置。所有這些活動都在沒有人為干預(yù)的情況下進(jìn)行。AbsoluteSoftware、Akamai、CrowdStrike、Ivanti、McAfee、Microsoft365、Qualys、SentinelOne、Tanium、趨勢科技和Webroot都提供自修復(fù)端點(diǎn)服務(wù)。
Forrester的報告《端點(diǎn)管理的未來》為自修復(fù)端點(diǎn)的未來提供了有用的指導(dǎo)和愿景。其作者AndrewHewitt寫道,要想最有效地自我修復(fù),它需要在多個層面上進(jìn)行,從應(yīng)用程序開始,然后是操作系統(tǒng),最后是固件。Forrester的報告指出,嵌入在固件中的自修復(fù)將被證明是最重要的,因?yàn)樗鼘⒋_保在端點(diǎn)上運(yùn)行的所有軟件,甚至是在操作系統(tǒng)級別上進(jìn)行自我修復(fù)的代理,都可以有效地運(yùn)行而不會中斷。
Hewitt介紹稱,“固件級別的自修復(fù)在許多方面都有幫助。首先,它確保固件中的任何損壞都能自行修復(fù)。其次,它還確保在設(shè)備上運(yùn)行的代理能夠修復(fù)。例如,假設(shè)在端點(diǎn)上運(yùn)行一個端點(diǎn)安全代理,該代理以某種方式崩潰或損壞。在這種情況下,固件級別的自修復(fù)可以幫助其快速修復(fù)并重新正常運(yùn)行。”
每個身份(無論是人還是機(jī)器)都是一道新的安全防線
將每個機(jī)器和人的身份視為新的安全邊界,是創(chuàng)建基于零信任的強(qiáng)大安全態(tài)勢的核心。保護(hù)身份與制造商通過MFA獲得的早期勝利一樣值得重視。
CISO表示,隨著他們在企業(yè)中采取更強(qiáng)有力的零信任態(tài)勢,他們也在尋求鞏固這種態(tài)勢的技術(shù)堆棧。他們中的許多人追求的目標(biāo)是找到一個以身份和訪問管理(IAM)為核心的基于云的網(wǎng)絡(luò)安全平臺。事實(shí)證明,這是一個很好的決定,因?yàn)镃IO警告稱,盡早獲得IAM有助于快速加強(qiáng)安全態(tài)勢。
提供集成平臺的領(lǐng)先網(wǎng)絡(luò)安全提供商包括Akamai、Fortinet、Ericom、Ivanti和PaloAltoNetworks。
從長遠(yuǎn)考慮在制造業(yè)中實(shí)現(xiàn)零信任
在制造業(yè)中實(shí)現(xiàn)零信任并非一蹴而就的事情。它的重點(diǎn)在于持續(xù)加強(qiáng)整個企業(yè)的安全態(tài)勢。制造商的運(yùn)營越分散,就越需要使用API的高級集成和技能。
對于被攻擊者盯上的制造商來說,已經(jīng)沒有時間可以浪費(fèi)了。IT和OT系統(tǒng)中的缺口和開放端口很容易被掃描制造商網(wǎng)絡(luò)的攻擊者識別出來。對于許多制造商來說,遠(yuǎn)程訪問服務(wù)根本沒有安全措施。所以,想要保護(hù)生產(chǎn)中心、公用事業(yè)和它們所依賴的基礎(chǔ)設(shè)施,還有很多工作要做。
實(shí)現(xiàn)ZTNA框架并不需要花費(fèi)很多錢,也不需要一組完整的工作人員。Gartner的《2022年零信任網(wǎng)絡(luò)接入市場指南》提供了很有價值的參考,可以幫助定義任何ZTNA框架。
隨著每個身份都有一個新的安全邊界,制造商必須在2023年優(yōu)先考慮零信任網(wǎng)絡(luò)架構(gòu)。
