最近發(fā)生的網(wǎng)絡(luò)安全事件表明，在威脅面前，過程控制行業(yè)在維護防御級別方面具有較低的容錯能力。例如，今年3月全球最大鋁供應(yīng)商之一NorskHydro位于歐美的多個工廠運營遭受“大規(guī)模的網(wǎng)絡(luò)攻擊”，影響了該公司多個業(yè)務(wù)區(qū)的運營，導(dǎo)致其全球計算機網(wǎng)絡(luò)系統(tǒng)宕機。系統(tǒng)遭受的是一款相對新型的勒索惡意軟件LockerGoga的攻擊，它將目標(biāo)計算機上的所有文件進行了加密，之后要求支付勒索金，和其它勒索病毒一樣的做法。

不幸的是，日常現(xiàn)實往往成為了執(zhí)行安全任務(wù)的主要障礙，包括網(wǎng)絡(luò)安全人數(shù)的限制以及需要各種安全補丁的老式設(shè)備的限制。好消息是，風(fēng)險管理軟件可以幫助實現(xiàn)安全監(jiān)控的自動化，以檢查其服務(wù)器備份安裝是否正確或報告風(fēng)險評分。

DCS系統(tǒng)升級

一家歐洲的大型煉油廠，通過將專有的分布式控制系統(tǒng)（DCS）技術(shù)過渡到使用MicrosoftWindows操作系統(tǒng)的現(xiàn)代DCS，實現(xiàn)了網(wǎng)絡(luò)安全功能的提升。企業(yè)信息技術(shù)（IT）和現(xiàn)場負責(zé)人意識到，需要做更多的事情來理解和解決潛在的網(wǎng)絡(luò)安全漏洞?？缙脚_實現(xiàn)自動化和標(biāo)準化的任何措施都需要相關(guān)的風(fēng)險管理，并且企業(yè)在遷移的每個階段都需要考慮安全性。

第一個決定是盡可能減少手動工作流程。這包括檢查所有終端節(jié)點是否存在潛在的網(wǎng)絡(luò)漏洞，例如過時的補丁程序或缺少防病毒更新。過去為這項耗時的任務(wù)分配員工資源，可能會花費企業(yè)數(shù)十萬美元。新系統(tǒng)除了降低成本外，標(biāo)準化和自動化終端節(jié)點檢查的能力還有助于消除人為失誤，提高安全檢查的頻率并允許通過一致的數(shù)據(jù)收集來衡量和改進關(guān)鍵指標(biāo)。

該煉油廠擁有關(guān)鍵的基礎(chǔ)設(shè)施，并需要達到IEC62243SL3安全保證等級。因此企業(yè)需要提高網(wǎng)絡(luò)安全態(tài)勢意識，使系統(tǒng)日志（消息記錄協(xié)議）更容易轉(zhuǎn)發(fā)到安全信息和事件管理系統(tǒng)，并將風(fēng)險管理與現(xiàn)有儀表板集成。

該企業(yè)與一家主要的全球工業(yè)網(wǎng)絡(luò)安全提供商合作，進行了網(wǎng)絡(luò)架構(gòu)評估，以了解潛在的缺口并以安全、持續(xù)的方式支持網(wǎng)絡(luò)的發(fā)展。以5年的時間跨度進行規(guī)劃，使團隊可以考慮對架構(gòu)的近期影響，例如需要增加無線連接或擴展設(shè)施。此外，基于安全信息和事件管理要求和儀表板訪問視圖，可以規(guī)劃體系結(jié)構(gòu)以滿足合規(guī)性需求。

DCS自動化升級包括網(wǎng)絡(luò)安全系統(tǒng)評估，以識別安全遷移到新系統(tǒng)的關(guān)鍵要求。其中包括運營工程顧問和工業(yè)網(wǎng)絡(luò)安全專家的專業(yè)知識。專家們利用其它組織的見解，提供煉油團隊可以用以確定范圍、制定預(yù)算和執(zhí)行優(yōu)先風(fēng)險降低工作的客觀數(shù)據(jù)。

自動化的風(fēng)險管理可跨工業(yè)控制系統(tǒng)（ICS）網(wǎng)絡(luò)提供企業(yè)急需的風(fēng)險可見性和執(zhí)行能力。本文圖片來源：霍尼韋爾

風(fēng)險管理軟件

為了提高可見性并改善網(wǎng)絡(luò)安全風(fēng)險的管理，煉油廠選擇實施風(fēng)險管理軟件。這包括跨網(wǎng)絡(luò)、終端節(jié)點和其它安全因素自動對關(guān)鍵風(fēng)險指標(biāo)進行24/7全天候監(jiān)控。

煉油廠的自動化人員從試點階段就確定了關(guān)鍵的網(wǎng)絡(luò)安全漏洞，包括未使用的端口、備份不一致、過時的安全補丁等。風(fēng)險管理軟件為工作人員提供了一種一致的方式，在現(xiàn)場測量、監(jiān)視和管理網(wǎng)絡(luò)安全風(fēng)險，而無需人工干預(yù)。軟件儀表板突出顯示可能出現(xiàn)的問題，以幫助員工保護數(shù)百個終端節(jié)點。它還提供有關(guān)修補程序、網(wǎng)絡(luò)安全性和備份狀態(tài)的更新。這使工作人員對潛在威脅的響應(yīng)速度更快，從而提高了站點的安全性。

除了提高效率外，實施工作還帶來了人員和流程收益。例如，企業(yè)需要討論風(fēng)險偏好，然后就確定的風(fēng)險閾值達成共識。由于該軟件將相對于風(fēng)險的算法評分刻畫為監(jiān)視功能的一部分，因此簡化了對安全狀況的可視性。

ExperionPKS解決方案的儀表板突出顯示了可能存在的問題，以幫助員工保護數(shù)百個終端節(jié)點。

由于員工看到了需要采取的措施，因此他們的技能和效率得以提高，可以降低特定優(yōu)先級事項的風(fēng)險，還可以降低監(jiān)視資產(chǎn)的優(yōu)先級。甚至非安全人員也有能力遵循建議并影響風(fēng)險評分。

從執(zhí)行層面來說，自動化的網(wǎng)絡(luò)風(fēng)險管理可在工業(yè)控制系統(tǒng)（ICS）網(wǎng)絡(luò)中提供企業(yè)急需的風(fēng)險可見性和執(zhí)行能力。在運營層面上，工程師可以在問題成為新聞之前找到并解決運營技術(shù)（OT）的合規(guī)性和性能問題。在網(wǎng)絡(luò)安全事件沒有真正影響到企業(yè)的底線之前，對風(fēng)險管理進行自動化、標(biāo)準化和改善的任何投資，對企業(yè)來說都將帶來明顯的商業(yè)意義。