确保制造资产在云端的安全

借助正确的基于云的安全工具，制造商可以锁定工厂车间设备，防止潜在的黑客入侵

网络安全的恐怖故事比比皆是，足以让制造业数据安全主管经常做噩梦。好像 Stuxnet 和“Wanna Cry”勒索软件案件的故事还不够，最近在几家出版物上出现了报道，包括 华尔街日报， 澳大利亚黑客窃取了包括 F-35 联合攻击战斗机 (JSF) 在内的备受瞩目的国防设备资产的敏感数据。在绝大多数情况下，人为错误，例如未遵循适当的网络安全协议和使用易于猜测的密码，似乎是罪魁祸首。这使得银行、电力基础设施、航空航天/国防和制造业中的数据容易受到日益增长的网络威胁。

提高网络安全的最佳方法之一是勤奋地应用软件补丁。在臭名昭著的 Equifax 漏洞中，该公司未能将关键补丁应用到软件 Apache Struts，这是一个用于其网络安全系统的开源程序。这使黑客能够渗入 Equifax 的数据库，窃取美国多达 1.43 亿人的信息，英国和加拿大的人数更多。

像这样的坏消息会给云软件和基于云的业务运营带来坏名声。现实情况是，云网络安全实践与仅用于本地安装的实践没有太大区别，但在连接到互联网的云上为黑客提供了更多机会通过未上锁的门潜入。

保护工厂

电网、金融机构和零售商都受到了网络攻击。制造业务尚未报告很多重大入侵，但根据 9 月发布的一项研究，多达一半的中小型企业 (SMB) 将在物联网 (IoT) 设备上支付赎金以收回其数据.

安全运营中心 (SOC) 即服务供应商北极狼网络公司（加利福尼亚州桑尼维尔）的研究指出，13% 的中小型企业经历过基于物联网的攻击，但许多企业仍未采取适当措施安防措施。该研究与 Survey Sampling International 合作进行，发现大多数 SMB 不具备针对勒索软件、高级持续性威胁 (APT) 和 Stuxnet 等零日攻击的高级检测和响应能力。

安全专家和制造专家一致认为，保护云数据的步骤与非云本地数据用户的步骤相同。

“人们错误地认为云中的数据是安全的，但实际上它的安全程度取决于你的安全程度，”Arctic Wolf Networks 联合创始人兼首席执行官 Brian NeSmith 说。 “这意味着实施防火墙、监控可疑活动并控制对敏感数据的访问。

“责任不在于云服务提供商，而在于公司的 IT 团队来保护任何基于云的数据，”NeSmith 继续说道。 “受监管行业的公司倾向于认为合规就是安全。合规是评估控制的一种方式，但绝对不是安全。”

他说，本地系统的好处是用户可以更好地控制可以从中访问数据的网络。 “对于基于云的数据，任何有互联网连接的人都可以尝试访问数据。勤奋的安全控制和流程是关键，无论数据是在云中还是在本地。例如，如果您无意中提供了对内部网络的访问权限，则发现该漏洞的任何人都可能访问您的数据，无论数据是在云端还是本地。”

NeSmith 表示，理想情况下，制造商应该有一个安全运营中心 (SOC)，它可以 24/7 全天候收集、分析和调查潜在的网络安全威胁。 “SOC 应配备全职安全专家。让 IT 作为兼职工作是不够的。

“事后看来，几乎所有重大黑客攻击都是可以预防的，”NeSmith 继续说道。 “Equifax 有一个他们未能安装的安全补丁。 Target 有警报，但他们被系统的噪音所掩盖。网络安全并不容易，许多公司错误地认为有效的网络安全意味着购买正确的产品。安全性与产品无关，而与您的安全操作的有效性有关。”

云 + 强大的安全性

使用西门子解决方案的制造商可以利用协议和强化网络安全硬件（如 Siemens Scalance 和 Ruggedcom 系列）以及新的云产品的组合。西门子还运营其网络安全运营中心，在发生网络攻击时提供 24/7 数据安全监控和补救帮助（请参阅“阻止不可避免的黑客攻击”，制造工程 ，2017 年 10 月）。

Siemens PLM Software（德克萨斯州普莱诺）工厂安全服务负责人 Henning Rudoff 表示，借助 Siemens 工厂安全服务，可以及早检测威胁和恶意软件、分析漏洞并采取适当的安全措施。他补充说，持续监控使工厂运营商安全透明。

Rudoff 表示，与传统的现场部署相比，基于云的网络安全软件可以为不受法律或内部限制的本地解决方案约束的客户提供更轻松的部署和更好的操作选项。 “西门子提供基于其物联网操作系统 MindSphere 的网络安全软件，以帮助客户同时实现数字化和安全性，”他说。

Rudoff 建议，工业运营的运营商通常应该从评估开始，以确定他们的安全需求和当前状态，例如，基于 IEC 62443。 “所需的安全措施可能是组织性的，例如培训员工以提高认识，也可能是技术性的，例如实施网络分段或强化自动化设备。

“除了保护概念，有高级需求的客户还应该部署检测和修复概念，”他继续说道。 “例如，可以通过安全信息和事件管理 [SIEM] 系统来实现检测，帮助客户监控系统行为 [例如，网络上的新设备或登录失败事件]。如果发生安全事件，建议进行取证分析；它回答了两个问题——如何使系统恢复正常行为，以及如何防止未来发生事故？”

为防止入侵，西门子强烈建议制造商尽快应用产品更新并始终使用最新的产品版本。有关产品更新的信息，客户可以在 http://www.siemens.com/industrialsecurity 订阅 Siemens 工业安全 RSS 源。

云安全的优势

制造执行系统 ​​(MES) 软件开发商 42Q（加利福尼亚州圣何塞）的首席技术官兼 IT 副总裁 Srivats Ramaswami 指出，强大的系统和应用尽职调查对于云提供商来说是必须的。

“制造商每天都在处理敏感数据：可追溯性数据、保修信息、设备历史记录，尤其是产品的工程规范都是高度机密的。将这些数据信任到基于云的系统需要进行尽职调查，以确保提供商已采取适当的措施来保护数据，”Ramaswami 说。他建议用户寻找关键的网络安全功能，例如：

• 一种多层安全方法，包括应用程序代码、数据中心内的物理防御和防火墙的逻辑屏障，以及持续的活动监控和恶意软件扫描。
• 与执行安全测试的第三方签订合同，并向客户提供报告。
• 获得 AICPA（美国注册会计师协会）的 SOC 2 等认证，要求公司制定并遵守严格的信息安全政策和程序。

制造业务的基于云的数据到底有多安全？ “当制造数据存储在云端时，通常增强了安全性 而不是减少，”拉马斯瓦米说。 “这是因为云供应商投入了大量资源来确保他们的系统尽可能安全，并不断更新以应对潜在威胁。虽然基于云的系统每天都会发生数十次黑客攻击，但迄今为止，制造商使用的系统还没有发生重大安全漏洞。”

根据 Ramaswami 的说法，人们普遍认为基于云的数据不如本地服务器安全。 “事实是，大多数本地系统远远达不到最好的云提供商所部署的安全性。事实上，我亲眼看到了所谓的“安全”系统的密码贴在便利贴上，旁边是运行应用程序的服务器机架。高级云提供商的安全架构几乎不可能在本地解决方案中复制，”Ramaswami 补充道。 “例如，42Q 使用的云存储系统设计用于在给定年份内实现 99.999999999% 的持久性和高达 99.99% 的对象可用性；由于该系统的成本很高，几乎每个 IT 组织都无法实现。在本地环境中部署此类工具不仅需要对基础设施进行大量投资，还需要大型团队来管理它们。”

Ramaswami 指出，Equifax 不使用外部云提供商，而是构建和管理自己的基础设施和应用程序。 “根据目前公开的信息，Equifax 似乎本可以在保护数据安全方面做得更多——黑客事件发生在 5 月，”他观察到，“而针对被利用漏洞的补丁在两个多月前就已经发布了！这就是为什么公司应该关注实时监控数据和网络安全的高质量云服务提供商的一个例子。

“云中的安全性没有灵丹妙药；它需要一家在其 DNA 中具有安全性的公司，并且每天都在关注细节，”拉马斯瓦米继续说道。他指出，42Q 的安全包括数据中心内的物理防御和防火墙的逻辑屏障、编码和密码强度标准、持续活动监控和恶意软件扫描以及第三方测试。

从云端处理数据

根据云的支持者的说法，在大多数情况下，如果采取了常见的网络安全步骤或措施并遵守规则，云中的数据就会得到妥善处理。

“良好的安全实践就是良好的实践，无论计算和存储的物理位置如何，无论是本地还是基于云，”MachiningCloud Inc.（加利福尼亚州卡马里洛和瑞士斯坦斯）的云传播者 Chuck Mathews 说。 “我们的前 10 名包括：

• 使软件、BIOS 和固件保持最新，
• 及时更新防病毒和恶意软件检测，
• 备份重要信息，
• 使用强密码，而不是默认密码或帐户名，
• 在可用时开启双重身份验证，
• 请勿共享帐户或密码，
• 在分享信息之前三思，
• 在无线网络上使用加密，
• 保持对计算机安全原则的认识，并且，
• 将访问权限和角色限制在需要知道的范围内。

“一般来说，基于云的数据比本地数据更安全，”Mathews 表示同意。 “云公司雇佣安全专家，并有责任提供高水平的安全性；这就是他们所做的。一般商店的员工通常没有这样的专业知识。”

MachiningCloud 是一家独立的 CNC 刀具和工件夹具产品数据提供商，为机械师和制造商提供基于云的加工数据数据检索。

“我们大多数人在美国一周中的每一天都使用基于云的服务，”马修斯补充道。 “网上冲浪、发送电子邮件、预订飞机或酒店、银行业务、支付账单——所有这些都是基于云的服务。然而，基于云的系统在 CAD/CAM 中的使用非常有限；大多数 CAD/CAM 软件都是基于桌面的，并且只能访问云服务以获取许可、软件更新或参考数据/库。”

Mathews 表示，许多广为人知的黑客事件都是异常事件，这些事件本可以通过适当的网络安全措施轻松预防。 “然而，一些基于云的服务，例如单点登录 [相对于双重认证登录]，确实存在固有的安全风险，应该在高安全性的情况下避免，”他说。

云技术并不适合所有人

在某些情况下，基于云的数据可能不适合某些应用程序，包括 CAD/CAM 或高响应应用程序，以及工厂车间近实时自动化中的某些操作技术 (OT)。

嵌入式系统开发商 ADL Embedded Solutions (San Diego) 工程总监、产品经理 JC Ramirez 表示：“普遍的共识是，纯云网络安全措施永远不会足够强大，无法完全消除对关键基础设施的网络威胁。”个人电脑和自动化硬件。 “因此，趋势是使网络威胁安全硬件/软件解决方案更接近这些关键资产。这与工业物联网/工业物联网的类似趋势与雾和雾计算等新范式相似，使云计算更接近结构的边缘，原因与强大的工业系统控制有关，但也将网络威胁安全性提高到高价值工业资产。”

Ramirez 指出，工业和基础设施资产的网络安全使用许多多年来在 IT 系统中常见的相同网络安全措施。 “关键的区别在于，对关键基础设施和设备的威胁可能会对人员、公共安全或高价值资产产生重大的现实影响。出于这个原因，最好的网络安全措施应该依赖于基于团队的方法，不仅包括 IT 人员，还包括控制工程师、操作员、现场管理代表和现场物理安全人员。”他补充说，美国国家标准与技术研究院 (NIST) 出版物 800-82“工业控制系统 (ICS) 安全指南”是一个很好的参考。

一些自动化供应商似乎在对冲他们在云系统上的赌注，这或许是有充分理由的。 9 月，罗克韦尔自动化公司（密尔沃基）推出了一项新的本地威胁检测服务，旨在帮助公司检测入侵并从入侵中恢复。它采用了 OT 应用程序开发商 Claroty（纽约）的技术，旨在为 OT 空间提供“清晰度”。

罗克韦尔咨询服务组合经理 Umair Masud 表示，威胁检测服务是一种被动、非侵入式安全解决方案，采用与产品无关的方法在工业运营中跨 IT 和 OT 系统创建资产清单。该系统深入工业网络协议，并使用威胁检测软件来映射最终用户的网络资产以及它们之间的通信方式。

“人们仍然担心将 OT 环境直接连接到云，这也许是正确的，”Masud 说。 “这是一种有纪律和负责任的本地方法。”

马苏德说，已经试点了大约三年的 Claroty 系统现在正在推广。除了罗克韦尔，施耐德电气等自动化供应商也在使用该系统。

“我们希望帮助客户保护自己，”马苏德说。 “在攻击连续体中，你在攻击之前、期间和之后都在做什么。您必须了解自己拥有什么并想出对策来保护它，例如使用区域防火墙和两因素或两步身份验证。在遭受攻击后，您必须确保您的资源和相关人员能够通过适当的备份和恢复工具进行恢复。”