Secure 关键数据的大规模移动
制造商在控制能源和维护成本方面一直面临挑战。工厂设备每年可能消耗数百万美元的能源和水,即使是微小的性能问题也会导致成本迅速增加。
意外的设备故障是另一个主要问题。缺乏预测性维护会导致生产停止,每停机一小时都会造成巨大的收入损失。
根据阿伯丁研究公司(Aberdeen Research)的数据,制造商每小时因计划外停机造成的损失高达 26 万美元。目前,攻击造成的停机时间平均为 21 天,风险可想而知。
为了解决这些问题,制造商利用分析平台和节能绩效合同来帮助维护团队。他们利用 OPC 和其他数据流来了解每个设施的关键设备,确定任务的优先次序,并指导投资。
然而,内部 OT(操作技术)安全团队认为,将工厂车间连接到互联网存在巨大的网络安全风险:
- 传统的 OT 设备通常缺乏内置安全或补丁功能。
- 向外部公开 OPC 数据源会给对手制造攻击载体。
- 修改生产系统不仅成本高昂,还有停机的风险。
这些安全问题是有根据的,并得到了联邦指南的支持。2022 年 3 月,网络安全和基础设施安全局(CISA)建议使用单向通信二极管来加强网络分段,保护工业控制系统免受网络攻击。2023 年,NIST 和国防部在最新的 NIST SP 800-82r3 和 UFC 4-010-06 中建议将数据二极管作为保护 OT 基础设施安全的一种选择,进一步加强了这一指导。
该设施需要一种方法来安全地提取和共享 OT 数据,而不需要进行破坏性的系统更改或增加新的漏洞。
带 Enero 协议转换功能的MetaDefender Optical Diode
制造商与OPSWAT 和 Enero Solutions 合作设计了一个安全、低延迟的数据传输架构。
部署MetaDefender Optical Diode (Fend)使用光学隔离,仅单向发送数据,从物理上保护关键资产。它可提供系统可见性,同时禁止恶意软件、勒索软件和其他攻击侵入网络连接。
通过与Enero Solutions合作,我们将 OPC UA 数据源从传统系统引入,而无需修改原有系统。带有MetaDefender Optical Diode (Fend)的 OPC 协议转换采用了多步骤、低延迟的方法,可安全地将 OPC 数据暴露在 OT 网络之外,而不会将潜在的攻击向量引入不良行为者。
工作原理
受保护方的 OPC 客户端消耗 OPC UA 或 DA 订阅。
数据在 OT 端边缘设备上进行 TCP 直通序列化,转发到MetaDefender Optical Diode (Fend),并传递到企业端的 TCPServer ,在 IT 端边缘设备上进行反序列化,并提取为可行的 OPC 点(路径、值、时间戳)。企业(IT)边缘设备上的 OPC 客户端将点写入 OPC UA 服务器,客户可通过订阅访问这些点。
成果
通过综合解决方案,生产设施实现了以下目标
- 完全隔离 OT/IT: Hardware单向传输确保外部威胁无法侵入 OT 网络。
- 实时可见性: Secure、持续地向 IT 系统交付 OPC UA 数据,从而加快响应速度、改进监控和数据驱动决策。
- 保持正常运行时间和投资:传统的 OT 系统保持不变,避免了昂贵的更换费用或中断时间。
- 降低网络风险:通过消除与直接连接或纯软件方法相关的攻击载体,该设施加强了整体网络安全态势。
- 与法规保持一致:实施过程遵循联邦网络安全最佳实践,符合 CISA 关于单向通信二极管的建议,并与 NIST SP 800-82r3 和国防部 UFC 4-010-06 关于确保 OT 基础设施安全的指导保持一致。
展望未来
传统的 OT 系统不必成为安全隐患。通过正确的方法,制造商可以提取宝贵的运行数据,同时保持网络的完全隔离,并保护现有投资。
立即联系OPSWAT ,了解MetaDefender Optical Diode (Fend) 如何在保持硬件强制保护的同时,实现从传统系统中安全提取数据。
