抵御日益严重的网络安全威胁
从历史上看,与其他行业相比,OT 安全在供水公用事业中的优先级较低。然而,根据AWWA(美国水务协会)的报告,政府情报部门最近证实,供水和污水处理部门已成为外国政府入侵活动、犯罪分子和其他威胁组织的主要目标。
为了保护饮用水,美国环保署(EPA)于 2024 年 5 月发布了一份执行警报,通知社区供水系统需要解决的网络安全漏洞。主要关注点包括
- 网络可视性有限,难以发现泵、阀门和化学处理过程中的异常。
- OT 与 IT 环境之间的分隔薄弱,增加了网络对手横向移动的风险。
- 不安全的第三方访问,使关键系统容易受到外部设备入侵的威胁。
- 需要网络安全解决方案来保证不间断的安全运行,而不会造成停机。
传统系统的网络安全漏洞
该公用事业公司面临的最大挑战之一是其过时的系统。传统的 OT 系统存在未修补的漏洞,造成了严重的安全漏洞,被恶意行为者所利用。这些漏洞不仅会带来系统宕机的风险,还可能导致关键系统的物理损坏。该公司认识到,实施网络分段和强大的访问控制是降低这些风险并确保持续运行的关键。
应对内部威胁和Secure 访问控制
内部威胁通过意外错误配置、滥用或故意修改系统构成另一个重大风险。可以访问 OT 环境的员工和承包商可能会无意中破坏运行,或在极少数情况下恶意更改关键系统。
同时,必须确保内部人员和外部第三方供应商的安全访问。未经授权的访问--无论是来自被泄露的凭证、过高的管理权限,还是未经管理的远程会话--都会使关键基础设施不堪一击。
文件和合规性
我们的现场评估发现,与已安装的现场设备相关的文档存在严重缺陷,构成了重大的合规风险。最大的问题之一是缺乏准确的资产库存和分类,许多组织仍然依赖于手工、过时的记录保存方法。如果没有结构化的资产管理系统,就很难跟踪设备、评估网络风险和实施安全控制,从而危及 NERC CIP、IEC 62443 和 NIST 800-82 的合规性。
除资产管理外,网络风险评估、访问控制政策和事件响应计划要么不完整,要么不存在。这些缺陷使得安全团队在管理威胁、限制未经授权的访问或以标准化、合规的方式应对安全事件方面缺乏明确的指导方针。
除了这些挑战之外,竣工网络图的不准确性也阻碍了绘制当前网络拓扑图和验证安全配置的能力,增加了错误配置和安全漏洞的风险。
利用MetaDefender OT 和 CPS 平台确保水务运营安全
当我们的客户经历了一系列针对其 SCADA 系统的网络事件后,他们的 CISO 知道他们需要一种更强大的方法来保护其水利基础设施。
每天晚上,我都在担心,如果有人控制了我们的处理过程,会发生什么。我们肩负着为 250 多万居民提供安全饮用水的重任,这其中的风险不言而喻。
匿名首席信息安全官
在评估了多个工业网络安全解决方案后,该公司选择了OPSWAT 的MetaDefender for OT & CPS Protection,包括MetaDefender OT Security、MetaDefender Industrial Firewall、MetaDefender OT Access 和MetaDefender Optical Diode,因为它们能够满足水行业的特殊需求。
检测和修补
MetaDefender OT Security 持续扫描 OT 网络,以检测未经授权的设备、异常活动和潜在威胁。此外,它还能评估整个 OT 资产的修补状态,识别可能被利用的过期固件和未修补的漏洞,确保关键系统保持最新状态,并能抵御网络威胁。
预防
MetaDefender Industrial Firewall 执行严格的网络分段,阻止未经授权的流量并隔离关键系统,以防止威胁。提供针对关键水 SCADA 协议(如 Modbus、DNP3 和 IEC 104)的协议过滤,确保只有有效流量才能访问运行系统。
门禁控制
MetaDefender OT Access 实现了有时间限制、政策强制的远程访问,并提供了每个访问会话的完整审计跟踪,从而实现了全面监督和快速事件响应。
安全网关
MetaDefender Optical Diode 确保单向数据流--这意味着数据只能单向传输,从一个网络传输到另一个网络,不允许反向通信。它实质上充当了两个系统之间的 "数据看门人",将网络隔离开来,同时又不会将更脆弱的 OT 系统暴露在外部威胁之下。
我们的前线 OT 解决方案提供全面的协议支持,包括 DNP3(分布式网络协议 3),确保为处理和配电系统提供无缝保护。该公用事业公司还获得了所有泵站和现场设备(如处理厂)的全面可视性,实现了精确的区域划分和管道细化通信控制。此外,OPSWAT 还为供应商访问提供了安全通道,使维护活动得以进行,而不会将关键基础设施暴露在未经授权的访问或潜在的网络威胁之下。我们的实施团队与电厂运营商密切合作,在不中断关键业务的情况下部署解决方案,创建了一个既能保护传统系统又能保护较新数字基础设施的安全架构。这种分阶段的方法使公用事业公司能够在加强防御的同时,保持向社区提供不间断的供水服务。
远程访问是我们最大的安全漏洞。有了MetaDefender for OT & CPS Protection,我们可以对所有远程连接进行安全的、基于策略的控制,从而关闭了一个主要的攻击载体,加强了我们的整体网络安全态势。
匿名首席信息安全官
超越安全:运行效益和能源节约
虽然网络安全是主要动机,但该公用事业公司还发现了额外的运营效益。对其控制系统的全面了解有助于发现泵送操作中的低效问题,从而在整个配电网络中节约了约 14% 的能源。
我们实施MetaDefender 是为了保护我们的供水系统,但它提供的操作洞察力也帮助我们优化了流程。现在,我们可以清楚地看到我们系统的运行情况,并做出调整,从而提高安全性和效率。
匿名首席信息安全官
满足监管要求
随着联邦和各州有关水安全的法规不断演变,MetaDefender 的实施使该郡的水务公司只需付出极少的额外努力就能达到合规要求。
多亏了MetaDefender for OT & CPS Protection,我们很容易就满足了 EPA 针对供水系统的新网络安全准则。其全面的文档和可视性简化了我们的合规报告。
匿名首席信息安全官
成果:增强安全性和业务连续性
通过采用OPSWAT的解决方案,该公用事业公司取得了多项重要成果:
经济高效的保护与可扩展的定价
传统的点解决方案需要为每项安全需求单独定价,成本高昂,而OPSWAT平台则不同,它提供企业级保护,并可扩展定价。
广泛的协议支持,实现无缝集成
许多网络安全解决方案与工业协议的兼容性有限,迫使电力公司依赖第三方集成。相比之下,MetaDefender for OT & CPS Protection 支持所有主要的 OT 协议,包括 Modbus、DNP3 和 IEC 104,确保在公用事业的各种基础设施中实现无缝安全。
用户友好、以 OT 为重点的设计
传统的 IT 安全工具在 OT 环境中往往缺乏可用性,使运营团队难以对其进行有效管理。MetaDefender OT 解决方案专为 OT 用户设计,具有直观的控制和自动化功能,使工程师、工厂操作员和网络安全团队能够轻松监控关键基础设施并确保其安全。
更强的安全性,零运行中断
完整的 OT 资产可见性
安全团队可以全面实时地了解所有连接设备和网络活动。
主动式威胁检测
对企图入侵承包商笔记本电脑的行为进行了标记和阻止,避免了潜在的服务中断。
自动化安全管理
先进的报告和监控功能减少了人工操作,同时提高了监管合规性。
面向未来的网络安全
现在,该公用事业公司已经具备了应对不断变化的网络威胁的能力,同时还能保持持续、安全的供水运营。
无需依赖第三方集成就能实现网络分段、安全数据传输、实时可视性和安全远程访问,这种能力非常宝贵。它是一个完整的 OT 安全套件,为我们提供了所需的保护和连续性,而不会带来任何麻烦。
匿名首席信息安全官
结论
通过实施OPSWAT的MetaDefender OT 和 CPS 保护解决方案,这家供水公司弥补了关键的安全漏洞,确保了对重要 OT 系统的保护,同时为数百万居民提供不间断的服务。 通过实时可视性、细粒度网络分段和安全的远程访问,该水务公司大大加强了对内部和外部网络威胁的防御,而无需依赖第三方集成。
与其他需要从多个供应商那里获得零散安全工具的解决方案不同,OPSWAT 提供当今最广泛的 OT 安全解决方案套件,涵盖工业网络安全的每一层。OPSWAT 解决方案专为无缝部署而设计,可协同强化关键基础设施,提供无与伦比的保护、合规性和运营连续性。
要进一步了解MetaDefender for OT & CPS Protection 如何保护您的关键基础设施,请立即联系OPSWAT 专家。
