一家炼油厂安装了现代分布式控制系统,可自动管理工业网络安全任务,从而减少错误和成本。
最近的网络安全事件表明,过程控制行业在面对威胁时保持防御水平的容错水平较低。例如公司用电脑监控软件,今年3月,全球最大的铝材供应商之一挪威海德鲁在欧美多个工厂运营遭遇“大规模网络攻击”公司用电脑监控软件,影响公司在多个业务领域的运营,并导致其全球计算机网络系统瘫痪。该系统受到了一种名为 LockerGoga 的相对较新的勒索软件恶意软件的攻击,该恶意软件会加密目标计算机上的所有文件,然后像其他勒索软件一样要求支付赎金。
不幸的是,日常现实往往是执行安全任务的主要障碍,包括限制可以安全上网的人数以及需要各种安全补丁的旧设备。好消息是,风险管理软件可以帮助自动化安全监控,以检查其服务器备份是否安装正确或报告风险评分。
DCS系统升级
一家大型欧洲炼油厂通过将专有的分布式控制系统 (DCS) 技术转换为使用 Microsoft Windows 操作系统的现代 DCS,实现了增强的网络安全能力。企业信息技术 (IT) 和现场领导者意识到需要做更多工作来了解和解决潜在的网络安全漏洞。跨平台实现自动化和标准化的任何努力都需要相关的风险管理,并且组织需要在迁移的每个阶段都考虑安全性。
第一个决定是尽可能减少手动工作流程。这包括检查所有端点是否存在潜在的网络漏洞,例如过时的补丁或缺少防病毒更新。过去,为这项耗时的任务分配员工资源可能会花费企业数十万美元。除了降低成本外,新系统标准化和自动化终端节点检查的能力有助于消除人为错误,提高安全检查的频率,并允许通过一致的数据收集来衡量和改进关键指标。
炼油厂拥有关键的基础设施,需要满足 IEC 62243 SL3 安全保证级别。因此,组织需要提高网络安全态势感知能力,使系统日志(消息记录协议)更容易转发到安全信息和事件管理系统,并将风险管理与现有仪表板集成。
与一家主要的全球工业网络安全提供商合作,该企业进行了网络架构评估,以了解潜在的差距并以安全、可持续的方式支持网络的发展。在 5 年的时间范围内进行规划使团队能够考虑对架构的近期影响,例如需要添加无线连接或扩展设施。此外,根据安全信息和事件管理要求以及仪表板访问视图,可以规划架构以满足合规性需求。
DCS 自动化升级包括网络安全系统评估,以确定安全迁移到新系统的关键要求。其中包括运营工程顾问和工业网络安全专家的专业知识。专家们借鉴其他组织的见解,提供客观数据,精炼团队可以使用这些数据来确定范围、预算和执行优先风险降低工作。
自动化风险管理为工业控制系统 (ICS) 网络提供了急需的风险可见性和执行能力。图片来源:霍尼韦尔
风险管理软件
为了提高可见性并改进对网络安全风险的管理,炼油厂选择实施风险管理软件。这包括对跨网络、端点和其他安全因素的关键风险指标进行 24/7 自动监控。
炼油厂的自动化人员从试点阶段就发现了严重的网络安全漏洞,包括未使用的端口、不一致的备份、过时的安全补丁等等。风险管理软件为工作人员提供了一种一致的方式来衡量、监控和管理现场的网络安全风险,而无需人工干预。软件仪表板突出显示可能的问题,以帮助员工保护数百个端点。它还提供补丁、网络安全和备份状态的更新。这使工作人员能够更快地响应潜在威胁,从而提高了站点的安全性。
除了提高效率外,实施还带来了人员和流程的好处。例如,企业需要讨论风险偏好,然后就定义的风险阈值达成一致。由于软件将与风险相关的算法评分作为监控功能的一部分,因此简化了对安全状况的可见性。
因为员工看到了需要做的事情,他们的技能和效率得到了提高,这可以降低特定优先级的风险并降低监控资产的优先级。即使是非安全人员也有能力遵循建议并影响风险评分。
在执行层面,自动化网络风险管理在工业控制系统 (ICS) 网络中提供急需的风险可见性和执行能力。在运营层面,工程师可以在事件发生之前发现并解决运营技术 (OT) 合规性和性能问题。在网络安全事件不会真正影响组织的底线之前,任何对自动化、标准化和改进风险管理的投资都将为组织带来明确的商业意义。
Experion PKS 解决方案的仪表板突出显示可能的问题,以帮助员工保护数百个端点。
关键概念:
■ 升级 DCS 有助于改进流程操作和网络安全。
■ 风险管理软件提高了可见性。
想一想:
DCS 升级可以带来哪些好处?
-END-
本文来自CONTROL ENGINEERING中国2019年10月号“封面故事”栏目,原标题:自动化风险管理
暂无评论内容