全球能源领军企业从传统安全漏洞向现代Industrial 转型

涉及一系列系统性化学、物理、电气和机械过程的Industrial 通常由传统的旧系统提供保护，而这些系统在设计之初就从未考虑过应对现代网络安全威胁。

在能源生产和炼油行业中，这些工艺旨在将原材料大规模转化为能源。炼油厂中使用的各种现场操作（OT）设备需要相互通信，以确保工程工艺的正常运行。

而关键漏洞正源于此。

PLC、DCS 和 SCADA 等控制系统通常默认与之通信的任何对象都是可信的。因此，这些系统可能缺乏身份验证、加密或命令验证功能。

如果运营技术（OT）系统与信息技术（IT）系统（如远程访问工具、承包商连接或维护用笔记本电脑）位于同一网络中，那么这些安全性较低的区域一旦遭到入侵，攻击者便可直接进入控制环境。因此，始于IT系统的安全事件几乎可以毫无阻碍地横向扩散到OT系统中。

DoS/DDoS 攻击、软件配置错误或别有用心的人，都可能直接与控制系统进行通信，从而可能篡改工艺参数、中断生产、损坏设备或造成不安全的运行状况。

运营技术（OT）环境将可用性和稳定性置于首位。这些系统无法快速打补丁，这意味着漏洞会长期处于可被利用的状态。因此，在扁平化或隔离措施不足的网络中，单一事件可能会迅速升级，并波及多个资产或站点。

我们的客户——一家全球最大的上市能源和化工企业——意识到了其面临的风险，并着手通过分段策略来解决由遗留系统引发的安全漏洞。

通过合理的分段，网络会根据风险和功能进行隔离。这样一来，关键的运营技术（OT）资产只能通过严格控制的路径访问，同时通信规则会被明确定义和限制，而不是默认认为其是安全的。

由于传统的IT防火墙在处理其独特的通信协议时效果不佳，该组织转而采用OPSWATIndustrial Firewall 关键OT资产与安全性较低的区域之间Firewall 安全的隔离。

作为一家欧洲主要的石油和天然气运营商，该客户的业务流程依赖于分布在多家炼油厂、海上钻井平台和管道控制中心的基础设施。

该基础设施在很大程度上依赖于可编程逻辑控制器（PLC）、SCADA平台和人机界面（HMI）等传统工业系统。

这些系统最初的设计重点在于可靠性和可用性，而非网络安全。它们缺乏内置的身份验证、加密和详细日志记录功能。

以往使用的传统IT防火墙无法有效处理OT和CPS环境中采用的独特通信协议，导致系统面临以下风险：

• 不必要的网络流量和横向移动风险
• 勒索软件和定向网络攻击的潜在入侵途径
• 对工业协议实施精细化控制面临的困难

对于从事能源生产和炼油行业的组织而言，这些风险绝非可以轻易忽视的：针对能源系统的攻击可能会威胁公共安全、扰乱基本公共服务，并削弱国家安全。

客户没有坐等最坏的情况发生，而是通过部署OPSWAT MetaDefender Industrial Firewall着手解决该组织面临的险境。

借助Firewall Industrial Firewall ”，该客户在努力符合IEC 62443标准以及针对欧洲关键服务运营商的NIS2指令要求方面也得到了支持。

MetaDefender Industrial Firewall 作为一种补偿性控制系统，用于保护炼油厂和管道系统中十分常见的旧系统或无法打补丁的资产。

借助该Firewall，客户现在可以：

• 通过工业协议检查，防止向控制器发送意外或未经授权的命令。
• 在现场层面控制中断，防止中断在相互连接的设施间向多个地点蔓延。
• 对异常流量和格式错误的数据包进行速率限制，以确保控制器的高可用性。
• 将安全系统从标准控制网络中分离出来，以降低运营风险。
• 对供应商和承包商实施可审计的访问治理措施。