为什么制造业需要更强大的 OT 网络安全?
根据Verizon 的 DBIR 报告,制造业的数据泄露事件同比增长了 89%,达到 1,607 起确认案例,而 2024 年为 849 起。这主要是由于 IT 和 OT 系统之间的互联日益增强。CAD 设计、预测性维护日志或供应商更新等文件现在在这两种环境中流动,为攻击者创造了新的切入点。
一旦这些文件被泄露,造成的不仅是数据丢失,还有生产停机、运营中断和合规风险。由于正常运行时间对制造业至关重要,即使是小事故也可能升级为供应链延误和财务影响。
本博客重点介绍制造商为加强 OT 网络安全而采用的五种策略,并通过实际部署加以说明。
1.在入口处确保可移动Media 的安全
USB 驱动器和其他便携式媒体仍然是制造环境中的主要风险源。文件经常在部门、承包商和供应商之间移动,没有集中检查,生产团队在压力下可能会在没有安全检查的情况下连接设备。这就为恶意软件进入敏感的 OT 系统留下了空间。
一种实用的防御方法是在可移动媒体进入网络之前对其进行扫描和消毒。OPSWAT 解决方案涵盖了这一过程的不同阶段:
MetaDefender Kiosk™
在允许文件进入 OT 网络之前对其进行扫描和消毒。
MetaDefender Endpoint™
在满足安全条件之前阻止媒体,同时提供额外的安全优势。
MetaDefender Endpoint Validation™(Endpoint 验证)
验证已根据执行策略扫描可移动媒体。
MetaDefender Media Firewall™
使用前检查启动扇区和文件内容。
全球制药商Abdi Ibrahim 提供了一个实际案例。该公司最初依赖空气隔绝,但发现便携式媒体仍然对敏感数据(如药品配方)构成严重威胁。通过部署MetaDefender Kiosk,Abdi Ibrahim 现在每天可以扫描 18,000 多个文件,而无需停机。该解决方案不仅能防止恶意软件,还能支持其生产场所的合规性。
2.在第三方设备连接前对其进行验证
想象一下:承包商来到生产车间进行紧急维护。他们的笔记本电脑需要立即连接到 OT 网络,以恢复系统运行。迫于将停机时间降至最短的压力,该设备在未经验证的情况下就插入了网络。这一决定可能会为恶意软件绕过现有保护打开大门。
这种情况比大多数组织意识到的要经常发生。供应商笔记本电脑和其他第三方设备是威胁进入 OT 环境的最常见途径之一。依赖信任或时间压力会造成攻击者可以利用的薄弱点。
OPSWAT 通过以下方式解决这一问题:
MetaDefender Drive™
扫描设备,确保它们在进入 OT 环境之前没有恶意软件。
MetaDefender Endpoint Validation™(Endpoint 验证)
在允许访问之前,确认设备符合扫描和消毒要求。
一家全球汽车制造商就面临着这样的挑战。他们现有的多供应商安全设置难以集成,并留下了暴露关键系统的缺口。通过采用OPSWAT的平台(包括MetaDefender Kiosk 和访客管理集成),他们获得了可靠的第三方设备控制。其结果是,威胁防范能力更强、停机时间更短、管理外部设备的流程更统一。
3.在 IT 和 OT 之间安全传输文件
文件传输是制造业的日常必需品。Software 更新、安全补丁和设计文件经常需要从 IT 系统转移到 OT 环境中。如果不对这些传输进行适当控制,它们就会绕过检查,将恶意软件引入关键系统。仅靠空气间隙已无法提供足够的保护,因为大多数工厂现在至少需要一定程度的连接。
挑战在于为每种类型的转移选择正确的方法。OPSWAT 提供多种选择,每种选择都是针对特定情况设计的:
挑战 | OPSWAT 解决方案 | 益处 |
|---|---|---|
IT 和 OT 之间的常规文件传输 | MetaDefender Managed File Transfer™ 管理式文件传输 | 通过高级威胁防护功能重新扫描每个文件,自动确保传输安全 |
监测或合规所需的单向数据流 | MetaDefender NetWall®Optical Diode] | 强制执行单向数据移动,保护 OT 免受入站威胁 |
世界各地的制造商都在应用这些方法。越南的一家化学制造公司使用MetaDefender Optical Diode 创建了一个硬件强制单向链路,该公司运营着一个扁平、无分段的网络。这消除了 IT 和 OT 之间的通信漏洞,同时保持了运行的稳定性。
一家财富 500 强石化公司在其防火墙达到使用寿命时也采取了类似的做法。他们用OPSWAT 光二极管取代了防火墙,从而大大降低了入站攻击的风险,确保了合规性,并为公司的关键系统建立了长期稳定性。
4.集中网络安全运营和管理
在许多制造企业中,每个工厂都以自己的方式处理网络安全问题。一家工厂可能有一个扫描亭,另一家工厂可能依赖于防病毒软件,还有一家工厂可能完全缺乏明确的流程。这种各自为政的情况导致很难连贯一致地执行政策、应对事故或准备审计。
集中操作可解决这一问题。有了My OPSWAT Central Management,安全团队可以从单一平台管理注册设备、执行端点安全策略并监控数据流。在涉及多个工厂、承包商和设备的复杂环境中,这种可视性至关重要。
主要优势
- 在所有站点和端点执行一致的策略
- 设备使用和访问模式的实时可见性
- 通过集中审计日志简化合规报告
- 通过统一监控加快事件响应速度
通过整合安全管理,制造商不仅降低了复杂性,还增强了维持正常运行时间和遵守法规的能力。
5.与国际合规框架接轨
制造商必须在网络安全、数据完整性和操作安全的多重监管框架下运营。通过审计需要明确的控制证据,但依靠电子表格和零散的日志很难做到这一点。符合公认的标准既能确保合规性,又能增强抵御威胁的能力。
常见的框架包括
- 信息安全管理ISO 27001
- 工业控制系统安全IEC 62443
- 关于欧洲基本服务(包括制造业)的NIS2 指令
- 数据保护和隐私的GDPR
- 食品和药品生产的FDA cGMP和FSMA
OPSWAT 解决方案通过提供集中式策略执行、可追踪日志和安全数据流控制,支持合规性。
一家全球农业和食品制造商在对 IT 和 OT 系统进行空气屏蔽以保护关键流程时,就遇到了这一挑战。这样做虽然安全,但业务团队却无法访问规划所需的 OT 数据。通过部署MetaDefender Optical Diode™,他们实现了从 OT 到 IT 的单向数据流。这保护了易受攻击的 OT 资产,为团队提供了实时可视性,并帮助企业满足了 FDA 和 FSMA 的要求。
打造制造业的网络复原力
制造业仍然是网络攻击的最大目标之一,其风险不仅限于数据,还包括生产正常运行时间和工人安全。本文概述的五项战略展示了制造商如何加强抵御这些威胁的能力。
这些并非空谈。汽车、制药、石化和农业领域的公司已经在应用OPSWAT 解决方案来确保其运营安全,从而使当前的生产保持顺畅,并为应对未来的需求做好准备。
