网络安全恐怖事件比比皆是,足以让制造业数据安全负责人频频做恶梦。就好像Stuxnet和“Wanna Cry”勒索勒索勒索勒斯的案件是不够的, 近在“ 华尔街日报”等多家出版物上,澳大利亚的黑客窃取了包括F-35在内的高端防务装备资产的敏感数据联合打击战斗机(JSF)。在 大多数情况下,人为错误(例如不遵循适当的网络安全协议和使用易于猜测的密码)似乎是主要的罪魁祸 。这使银行业,电力基础设施,航空航天/国防和制造业的数据容易受到不断增长的网络威胁的影响。
改善网络安全的 好方法之 是勤勉地应用软件补丁。在臭名昭着的Equifax违规行为中,该公司未能将关键补丁应用于其网络安全系统中使用的开源软件Apache Struts软件。这使得黑客能够渗透到Equifax的数据库,窃取美国多达1.43亿人的信息,而在英国和加拿大则更多。
像这样的坏消息可能会给云软件和基于云计算的商业运营带来不好的口碑。事实上,云网络安全做法与仅用于本地安装的安全做法没有什么不同,但是连接到互联网的云计算使黑客有更多的机会通过解锁门进入。
保护工厂
电网,金融机构和零售商都受到网络攻击。制造业务没有报告过很多重大的入侵事件,但根据9月份发布的 项研究,多达半数的中小型企业(SMB)将支付物联网(IoT)设备的赎金来收回他们的数据。
包括基于MindSphere操作系统的云工具在内的网络安全系统使Siemens PLM Software能够在 各地监控网络威胁。
作为服务提供商的安全运营中心(SOC)北 狼网络公司(Arctic Wolf Networks Inc.,Sunnyvale,CA)的研究指出,13%的中小企业经历了基于物联网的攻击,然而许多企业仍然没有采取适当的措施安防措施。与Survey Sampling International合作进行的研究发现,大多数中小企业没有 进的勒索软件,高 持续性威胁(APT)和零日攻击(Stuxnet)等检测和响应能力。
安全专家和制造专家 致认为,保护云数据的步骤将镜像非云本地数据用户的镜像。
北 狼网络公司联合创始人兼 席执行官Brian NeSmith说:“人们错误地认为云端数据是安全的,而且只有安全的数据。“这意味着实施防火墙,监控可疑活动并控制对敏感数据的访问。
NeSmith继续说:“责任不在于云服务提供商,而在于公司的IT团队来保护任何基于云的数据。“受监管行业的公司往往认为合规是安全的。合规是 种评估控制的方法,但 对不是安全的。“
他说,内部系统的好处是用户可以更好地控制数据可以访问的网络。“对于基于云的数据,任何有Internet连接的人都可以尝试访问数据。无论数据是在云端还是在本地,勤奋的安全控制和流程都是关键。例如,如果您无意中访问了您的内部网络,任何发现该漏洞的人都可能访问您的数据,无论这些数据是在云端还是在本地。
NeSmith说,理想情况下,制造商应该有 个安全运营中心(SOC),全天候收集,分析和调查潜在的网络安全威胁。“SOC应该由专职安全专家组成。把IT作为兼职工作是不够的。
“事后看来,几乎所有主要的黑客都是可以预防的,”NeSmith继续说。“Equifax有 个安全补丁,他们没有安装。目标有警报,但他们埋在他们的系统的噪音。网络安全并不容易,许多公司认为有效的网络安全意味着购买正确的产品。安全不是关于产品,而是安全操作的有效性。“
云+强大的安全性
使用西门子解决方案的制造商可以利用西门子Scalance和Ruggedcom系列的协议和强化网络安全硬件以及新的云产品组合。西门子还运营其网络安全运营中心,在发生网络攻击时提供全天候的数据安全监控和补救措施(请参见“打造必然的黑客攻击”,制造工程,2017年10月)。
借助其MindSphere云软件,可以在 范围内监控启用了Siemens PLM Software的机器,从而减少停机时间和安全或安全问题。
根据Siemens PLM Software(Plano,TX)工厂安全服务主管Henning Rudoff的说法,利用西门子工厂安全服务,可以及早发现威胁和恶意软件,分析漏洞,并启动合适的安全措施。他补充说,持续的监督使工厂运营商的安全透明。
Rudoff表示,与传统的现场部署相比,基于云的网络安全软件可以提供更简单的部署和更好的操作选择,而不受当地法律或内部限制的解决方案的约束。他说:“西门子提供基于其物联网操作系统MindSphere的网络安全软件,以帮助客户实现数字化和安全性。”
工业运营的运营商通常应该从评估开始,以安全需求和现状为基准,例如基于IEC 62443,Rudoff建议。“需要的安全措施可以是组织性的,如培训劳动力以提高认识,或技术性,如实施网络分割或强化自动化设备。
他继续说:“除了保护理念之外,拥有 进需求的客户还应该部署检测和修复概念。例如,利用安全信息和事件管理[SIEM]系统可以实现检测,帮助客户监控系统的行为[例如,网络上的新设备或失败的登录事件]。如果发生安全事件,建议进行法医分析。它回答了两个问题:如何使系统恢复正常行为,以及未来事件如何防止?“
为防止入侵,西门子强烈建议制造商尽快应用产品更新,并始终使用 新的产品版本。有关产品更新的信息,客户可以在http://www.siemens.com/industrialsecurity订阅西门子工业安全RSS源。
云安全的优势
制造执行系统(MES)软件开发商42Q(San Jose,CA) 席技术官兼IT副总裁Srivats Ramaswami指出,强大的系统和应用尽职调查是云提供商的必备条件。
像制造执行系统(MES)开发商42Q的基于云的软件工具实际上可以增强而不是降低安全性。
“制造商每天都在处理敏感数据:可追溯性数据,保修信息,设备历史记录,特别是产品的工程规格都是高度机密的。相信数据到基于云的系统需要尽职调查,以确保提供商已采取适当的步骤来保护数据,“Ramaswami说。他建议用户寻找关键的网络安全功能,例如:
种多层安全方法,包括应用程序代码,数据中心内的物理防御和防火墙的逻辑屏障,以及持续的活动监视和恶意软件扫描。
与执行安全测试的 三方签订合同,向客户提供报告。
AICPA(美国注册会计师协会)的SOC 2等认证要求公司制定和遵守严格的信息安全政策和程序。
制造业务的云端数据有多安全?Ramaswami表示:“当制造业数据存储在云中时,安全性通常得到增强而不是减弱。“这是因为云供应商投入巨大的资源来确保他们的系统尽可能安全,并不断更新以应对潜在的威胁。尽管在基于云的系统上每天都会发生几十次的黑客攻击,但迄今为止,制造商所使用的系统并没有出现严重的安全漏洞。
据Ramaswami介绍,人们普遍认为基于云的数据不如内部部署的服务器安全。“事实上,大多数内部部署的系统远不及 好的云提供商部署的安全性。事实上,我亲自看到了在应用程序运行的服务器旁边贴上Post-it笔记上的“安全”系统的密码。高 云提供商的安全架构几乎不可能在内部解决方案中复制,“Ramaswami补充说。“例如,42Q所使用的云存储系统设计的耐用度为99.999999999%,在给定年份内可达99.99%的可用性; 由于这个系统的高成本,几乎每个IT组织都无法实现。
Ramaswami指出,Equifax不使用外部云提供商,而是建立和管理自己的基础设施和应用程序。他说:“根据迄今为止公布的信息,似乎Equifax可能在保护数据安全方面做了更多的工作 - 五月份发生了黑客攻击,”他补充说,“而漏洞利用的补丁在两个多月前就已经发布了!这就是为什么企业应该关注实时监控数据和网络安全的高质量云服务提供商的 个例子。
“云中的安全没有魔力; 它需要 家拥有安全性的公司,每天都要关注细节。“Ramaswami继续说。他指出,42Q的安全包括数据中心内的物理防御和防火墙的逻辑障碍,编码和密码强度标准,持续活动监控和恶意软件扫描以及 三方测试。
从云加工数据
适用于Android或iOS设备和Windows桌面的MachiningCloud应用程序可以快速向机械师提供云中的关键工具和工件夹持信息。
云计算的支持者认为,大多数情况下,云计算中的数据掌握得很好 - 如果采取普遍的网络安全步骤或措施并遵循规则。
MachiningCloud公司(位于加州Camarillo和Stans,瑞士),云端传播者Chuck Mathews说:“良好的安全做法是良好的做法,不管计算和存储的物理位置如何,内部部署还是基于云计算。“我们的前十名包括:
保持软件,BIOS和固件是 新的,
保持防病毒和恶意软件检测是 新的,
备份重要信息,
使用强密码,而不是默认的密码或帐户名称,
可用时打开双因素身份验证,
不要共享帐户或密码,
分享信息之前想想,
在无线网络上使用加密,
保持计算机安全原则的意识,
限制访问和角色需要知道。
“ 般来说,基于云的数据比内部数据更安全,”Mathews同意道。“云公司聘请安全专家,并负有提供高度安全性的信托责任; 这是他们做的。 般的店铺 般都没有这方面的专业知识。“
MachiningCloud是数控刀具和工件夹持产品数据的独立供应商,为机械师和制造商提供基于云数据的加工数据检索。
Mathews补充说:“美国的大多数人每周都会使用基于云的服务。“上网浏览,发送电子邮件,预订飞机或酒店,银行,支付账单都是基于云的服务。然而,在CAD / CAM中使用基于云的系统是非常有限的,大多数CAD / CAM软件是基于桌面的,只能访问许可,软件更新或参考数据/库的云服务。“
许多高度宣传的黑客活动是异常的,根据Mathews的说法,通过适当的网络安全措施可以很容易地防止这些事件。他说:“但是, 些基于云的服务,如单点登录(相对于双重身份验证登录),确实存在固有的安全风险,应该在高度安全的情况下避免。”
云技术不适合每个人
在某些情况下,基于云的数据可能不适合某些应用程序,包括CAD / CAM或高响应应用程序,以及在工厂车间几乎实时自动化中发现的某些操作技术(OT)。
嵌入式系统开发商ADL嵌入式解决方案(圣地亚哥)公司产品经理JC Ramirez说:“普遍的共识是,只有云的网络安全措施永远不足以完全消除关键基础设施的网络威胁。电脑和自动化硬件。因此,趋势是将网络安全硬件/软件解决方案与这些关键资产更接近。这与工业IoT / IIoT的类似趋势与雾和雾计算等新范例类似,由于各种原因必须与强大的工业系统控制相结合,使云计算更接近织物的边缘,同时也增强了对高价值的网络威胁安全工业资产“。
Ramirez指出,工业和基础设施资产的网络安全使用了许多与IT系统相同的网络安全措施。“关键的区别在于对关键基础设施和设备的威胁会对人员,公共安全或高价值资产产生重大的实际影响。因此, 好的网络安全措施应该依靠基于团队的方法,不仅包括IT人员,还包括控制工程师,操作员,现场管理代表和现场物理安全人员。“他补充说。国家标准与技术研究院(NIST)出版物800-82“工业控制系统(ICS)安全指南”是 个很好的参考。
罗克韦尔自动化提供的新威胁检测软件工具和服务使用本地软件而不是基于云的软件。
些自动化供应商似乎正在对云系统进行对冲,或许有充分的理由。今年9月,罗克韦尔自动化公司(Milwaukee)推出了 种新的内部威胁检测服务,旨在帮助企业检测入侵并从中恢复。它采用OT应用程序开发商Claroty(纽约)的技术,旨在为OT空间提供“清晰”。