在數(shù)字化浪潮席卷工業(yè)領(lǐng)域的今天，OT （運(yùn)營(yíng)技術(shù)）終端安全已成為保障關(guān)鍵基礎(chǔ)設(shè)施安全運(yùn)營(yíng)的重中之重。2024 年底，美國(guó)最大的上市水務(wù)與污水公司 American Water 遭遇了嚴(yán)重的網(wǎng)絡(luò)安全事件。雖然此次攻擊未對(duì)運(yùn)營(yíng)或水質(zhì)造成影響，但 American Water 暫時(shí)關(guān)閉了客戶計(jì)費(fèi)平臺(tái)，有 14 個(gè)州的 1400 多萬(wàn)人受到影響。

這一事件凸顯了強(qiáng)化關(guān)鍵基礎(chǔ)設(shè)施各個(gè)方面網(wǎng)絡(luò)安全的緊迫性。面對(duì)停機(jī)、安全風(fēng)險(xiǎn)及財(cái)務(wù)損失，OT 安全從業(yè)者必須跳出傳統(tǒng)的網(wǎng)絡(luò)安全框架，重新審視運(yùn)營(yíng)技術(shù)安全管理（OTSM）工作。

羅克韋爾自動(dòng)化將探討一個(gè)常被忽視的重要環(huán)節(jié)——終端安全。了解終端安全如何融入整體安全戰(zhàn)略、閱讀成功案例并了解實(shí)施方法。

什么是終端安全？

終端安全幫助保護(hù) OT 網(wǎng)絡(luò)中的每臺(tái)設(shè)備和系統(tǒng)免受網(wǎng)絡(luò)威脅。本質(zhì)上，它就像為工廠或設(shè)施中的每臺(tái)設(shè)備配備一個(gè)保安。

● 監(jiān)控設(shè)備的異常行為

●控制哪些軟件可以運(yùn)行

●定期更新軟件

OT 中邊界安全的局限性

邊界安全就像 M&M 糖果。一旦黑客突破外殼，就能接觸到系統(tǒng)的關(guān)鍵數(shù)據(jù)或組件。以下是幾種攻擊突破邊界安全的方式：

●網(wǎng)絡(luò)釣魚：員工收到看似來(lái)自合法供應(yīng)商的郵件，內(nèi)容涉及關(guān)鍵 OT 設(shè)備軟件更新。如果員工點(diǎn)擊郵件，就會(huì)無(wú)意中在設(shè)備上安裝惡意軟件，從而讓攻擊者進(jìn)入 OT 網(wǎng)絡(luò)。

●供應(yīng)鏈攻擊：制造工廠從不滿足安全規(guī)范的供應(yīng)商處購(gòu)買工業(yè)控制系統(tǒng)和可編程邏輯控制器，惡意固件會(huì)危及他們的系統(tǒng)。

●內(nèi)部威脅：廢水處理廠的工程師在瀏覽個(gè)人網(wǎng)站時(shí)，意外下載惡意軟件到工作計(jì)算機(jī)，并將其引入 OT 網(wǎng)絡(luò)。

終端管理與邊界安全的對(duì)比

許多組織并沒(méi)有采用強(qiáng)有力的網(wǎng)絡(luò)安全措施來(lái)管理 OT 環(huán)境中的終端。相反，他們把重心放在網(wǎng)絡(luò)邊界或基于網(wǎng)絡(luò)的安全策略上，這些策略側(cè)重于通信安全，卻忽視了終端配置，從而使終端成為攻擊的薄弱環(huán)節(jié)。

因此，多層次的安全防護(hù)至關(guān)重要。多重防護(hù)層讓攻擊者更難突破，有力保護(hù)組織的關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施。

監(jiān)控工具與終端安全的對(duì)比

很多人傾向于使用被動(dòng)異常檢測(cè)工具進(jìn)行 OT 安全管理，因?yàn)樗鼈兡軌虮O(jiān)聽(tīng)網(wǎng)絡(luò)內(nèi)的日常流量來(lái)檢測(cè)異常行為。通過(guò)觀察終端行為來(lái)識(shí)別風(fēng)險(xiǎn)跡象的方法實(shí)際上為時(shí)已晚，因?yàn)榇藭r(shí)網(wǎng)絡(luò)上已經(jīng)發(fā)生了危險(xiǎn)事件。監(jiān)控工具無(wú)法有效降低終端的安全風(fēng)險(xiǎn)，而終端正是最需要加強(qiáng)的環(huán)節(jié)。

好消息是，OT 安全終端管理解決方案能夠顯著減少攻擊面，幫助保護(hù)那些易受惡意軟件、黑客和其他網(wǎng)絡(luò)風(fēng)險(xiǎn)攻擊的目標(biāo)設(shè)備。但要獲得最佳效果，企業(yè)需要改變思維方式。

OT 安全管理：整體方法

OT 安全管理為客戶提供了解組織 OT 資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)的全面視角。全面的 OT 安全策略需要多層防護(hù)來(lái)確保基礎(chǔ)設(shè)施的安全。以下是整體安全戰(zhàn)略中的其他關(guān)鍵層面：

●網(wǎng)絡(luò)分段：通過(guò)防火墻、虛擬局域網(wǎng)（VLAN）和隔離網(wǎng)絡(luò)來(lái)隔離關(guān)鍵系統(tǒng)，限制潛在網(wǎng)絡(luò)攻擊的影響。

●漏洞管理：通過(guò)滲透測(cè)試等評(píng)估識(shí)別威脅，并通過(guò)打補(bǔ)丁和軟件更新來(lái)減少這些威脅。

安全政策：為組織制定 OT 安全措施，涵蓋最佳實(shí)踐、可接受的使用方式和訪問(wèn)控制。

●事件響應(yīng)計(jì)劃：引導(dǎo)組織有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊，制定檢測(cè)與響應(yīng)程序，包括隔離、清除和恢復(fù)等策略。

終端安全是 OT 安全管理的核心部分，它保護(hù)工業(yè)控制系統(tǒng)和可編程邏輯控制器免受惡意軟件和其他網(wǎng)絡(luò)威脅。終端安全應(yīng)對(duì)威脅的方式包括：殺毒軟件、入侵檢測(cè)系統(tǒng)（IDS）和防火墻。

為什么終端保護(hù) 對(duì) OT 安全管理至關(guān)重要

終端保護(hù)是 OT 安全管理的基石。通過(guò)確保 OT 環(huán)境中每臺(tái)設(shè)備的安全，可以大大減少攻擊面，提升整體防御水平。

終端保護(hù)可通過(guò)以下方式減少攻擊面：

●定期打補(bǔ)丁：及時(shí)應(yīng)用安全更新和補(bǔ)丁，修補(bǔ)惡意軟件可能利用的已知漏洞。

●應(yīng)用白名單：限制未經(jīng)授權(quán)的軟件執(zhí)行，防止惡意代碼的植入。

●設(shè)備控制：控制對(duì)外部設(shè)備（如 USB 驅(qū)動(dòng)器等）的訪問(wèn)，降低惡意軟件傳播的風(fēng)險(xiǎn)。

●加強(qiáng)系統(tǒng)配置：實(shí)施安全的默認(rèn)配置，關(guān)閉不必要的服務(wù)，減少攻擊面。

減少 OT 環(huán)境中的攻擊面

很多 OT（運(yùn)營(yíng)技術(shù)） 所有者和運(yùn)營(yíng)商不愿意在終端使用代理。但問(wèn)題是，直接連接終端打補(bǔ)丁、調(diào)整并對(duì)其進(jìn)行跟蹤和管理，能夠顯著降低風(fēng)險(xiǎn)。

通過(guò)采用這種強(qiáng)有力的終端管理解決方案，OT 安全從業(yè)者能夠大幅降低風(fēng)險(xiǎn)，并節(jié)省大量時(shí)間和成本。一家大型制藥公司的項(xiàng)目后期分析顯示，他們通過(guò)這種方法，節(jié)省了超過(guò) 60 萬(wàn)美元的勞動(dòng)力成本，同時(shí)將安全成熟度提升了一倍。

這種方法的核心在于改變現(xiàn)狀，接受代理和無(wú)代理的分析，并將其應(yīng)用到目標(biāo)資產(chǎn)上。企業(yè)還需要將資產(chǎn)清單自動(dòng)化，在沒(méi)有補(bǔ)丁的情況下靈活運(yùn)用補(bǔ)充控制措施。同時(shí)，利用公司總部或租賃的云平臺(tái)的可見(jiàn)性，將稀缺的技術(shù)資源擴(kuò)展到更廣泛的工業(yè)資產(chǎn)。通過(guò)這種以資產(chǎn)為中心的方法，在企業(yè)的日常決策中融入 OT 背景，確保風(fēng)險(xiǎn)消除舉措準(zhǔn)確落實(shí)到最需要保護(hù)的資產(chǎn)。

減少 OT 環(huán)境中攻擊面的實(shí)踐：

●實(shí)施多層防御策略

將終端保護(hù)與防火墻、入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)分段等其他安全措施結(jié)合

●定期進(jìn)行安全評(píng)估

持續(xù)評(píng)估終端安全措施的有效性，識(shí)別需要改進(jìn)的地方

●及時(shí)了解最新威脅

跟蹤攻擊途徑和漏洞，確保防御措施始終有效

通過(guò)優(yōu)先考慮終端保護(hù)并采用全面的 OT 安全方法，組織能夠大大降低網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，確保運(yùn)營(yíng)的安全性和可靠性。

一家制藥公司通過(guò)加強(qiáng)終端管理，顯著提升了網(wǎng)絡(luò)安全防護(hù)。通過(guò)增強(qiáng)特定于資產(chǎn)的可見(jiàn)性和控制力，他們發(fā)現(xiàn)了可能導(dǎo)致嚴(yán)重網(wǎng)絡(luò)攻擊的關(guān)鍵漏洞。

終端管理幫助他們：

●發(fā)現(xiàn)數(shù)百個(gè)未打補(bǔ)丁的關(guān)鍵漏洞，如 NotPetya 和 WannaCry

●識(shí)別出超過(guò) 100 個(gè)固件版本存在已知漏洞的 PLC

●在兩周內(nèi)將整體網(wǎng)絡(luò)風(fēng)險(xiǎn)減少了一半

●在關(guān)鍵資產(chǎn)上的重大風(fēng)險(xiǎn)（如漏洞的影響）減少了近三分之二

通過(guò)優(yōu)先考慮并實(shí)施終端管理，企業(yè)及時(shí)識(shí)別并解決了這些關(guān)鍵風(fēng)險(xiǎn)，這種主動(dòng)出擊的方法顯著提升了安全性，防止了潛在的災(zāi)難性網(wǎng)絡(luò)事件。

一家排名北美前五的石油天然氣生產(chǎn)商請(qǐng)羅克韋爾協(xié)助保障其各種 ICS 和 DCS 供應(yīng)商系統(tǒng)的安全。公司高層意識(shí)到他們面臨的脆弱性，并迫切需要一個(gè)供應(yīng)商中立的解決方案，以幫助他們：

●增強(qiáng) OT 環(huán)境的可見(jiàn)性

●管理各種供應(yīng)商系統(tǒng)

●在人員有限的情況下實(shí)施相關(guān)政策和流程

通過(guò)全面評(píng)估和采用“立足全球，因地制宜”的方法，能源公司通過(guò)終端安全取得了顯著成效：

●深入了解 OT 環(huán)境

●識(shí)別并堵塞漏洞

●快速應(yīng)對(duì)威脅

這種增強(qiáng)的可見(jiàn)性和自動(dòng)化修復(fù)能力提高了公司的整體安全防護(hù)，降低了操作風(fēng)險(xiǎn)，強(qiáng)化了對(duì)網(wǎng)絡(luò)攻擊的防御。

如何在 OT 環(huán)境中實(shí)施終端保護(hù)

OT 安全守衛(wèi)者的目標(biāo)是將中斷的頻率、持續(xù)時(shí)間和影響程度降至最低，企業(yè)需要盡最大努力縮減所有資產(chǎn)的攻擊面。

簡(jiǎn)而言之，企業(yè)需要將 OT 系統(tǒng)的權(quán)限最小化、定期打補(bǔ)丁、添加諸如殺毒軟件和白名單等最先進(jìn)的網(wǎng)絡(luò)安全工具，并做好備份計(jì)劃。

同時(shí)，遵循標(biāo)準(zhǔn)的安全流程，如用戶/帳戶管理、監(jiān)控和檢測(cè)。按照以下五個(gè)步驟建立 OT 環(huán)境中的終端保護(hù)：

●創(chuàng)建資產(chǎn)清單并識(shí)別安全漏洞和差距

●制定保護(hù)策略，優(yōu)先保護(hù)關(guān)鍵系統(tǒng)

●在相關(guān)環(huán)境中部署這些策略。分階段實(shí)施，減少干擾

●持續(xù)管理關(guān)鍵資產(chǎn)，確保防御始終有效

●培訓(xùn)員工和專業(yè)人員，幫助他們識(shí)別可疑活動(dòng)

OT 終端打補(bǔ)丁與強(qiáng)化

新技術(shù)令人興奮，但企業(yè)必須清楚認(rèn)識(shí)到，由于多年來(lái)未能及時(shí)打補(bǔ)丁和強(qiáng)化終端，OT 網(wǎng)絡(luò)安全領(lǐng)域面臨嚴(yán)重的技術(shù)風(fēng)險(xiǎn)亟需彌補(bǔ)。

唯一能夠充分保護(hù)我們資產(chǎn)的辦法就是直接解決問(wèn)題。直接管理終端可以有效提供系統(tǒng)級(jí)最小特權(quán)詳情報(bào)告，幫助鎖定并去除不必要或不安全的軟件，從而大幅增強(qiáng)安全性。這種方式能顯著降低發(fā)生重大故障的風(fēng)險(xiǎn)以及對(duì) OT 資產(chǎn)的沖擊。

終端安全是全面 OT 安全管理計(jì)劃的核心。通過(guò)確保 OT 環(huán)境中每臺(tái)設(shè)備的安全，企業(yè)可以顯著減少攻擊面，提升整體防御能力。

通過(guò)全面評(píng)估當(dāng)前的終端安全狀況、識(shí)別漏洞并采取適當(dāng)?shù)膶?duì)策，企業(yè)可以增強(qiáng)防御，保護(hù)資產(chǎn)不受威脅。