在网络攻击前检测异常网络行为

先进制造技术（也称为智能工厂或工业 4.0）的承诺是，通过将我们的机器、计算机、传感器和系统联网，我们将（除其他外）实现自动化、提高安全性并最终提高生产力和效率。毫无疑问，制造业已经从这种转变中受益。

将所有这些传感器和设备连接到我们的工业控制系统 (ICS)，以及远程工作和监控的增加，导致制造网络更容易受到网络攻击。随着制造商解决如何采用与其运营技术 (OT) 标准兼容的商业信息技术 (IT) 标准，这是一个越来越具有挑战性的动态。

基于标准的新功能将有助于制造商

NIST 的国家网络安全卓越中心 (NCCoE) 与 NIST 的工程实验室最近发布了一份报告，该报告展示了一组行为异常检测 (BAD) 功能，以支持制造组织的网络安全。这些功能的使用使制造商能够检测其操作环境中的异常情况，以减轻恶意软件攻击和其他对关键操作数据完整性的威胁。

换句话说，制造商将能够实时或接近实时地持续监控系统，以获取入侵证据。制定基于标准的网络控制是制造商安全要求的一个重要方面。

不良监控如何转化为网络威胁的早期检测

行为异常检测涉及对系统异常事件或趋势的持续监控。监控器实时查找入侵证据，而不是网络攻击本身。及早发现潜在的网络安全事件是帮助减少这些事件对制造商的影响的关键。网络漏洞通常是在攻击后检测到的。

BAD 工具在 ICS 和 OT 环境中实施，可以通过人工控制界面进行监控，许多制造商使用该界面来监控其操作。操作员将能够看到网络流量，并在添加任何授权或未授权的设备或连接时收到警报。

例如，系统会知道与可编程逻辑控制器 (PLC) 进行了哪些通信授权，因此任何新联系人都会生成警报。同样，连接的机器之间的任何异常通话、人机界面 (HMI) 逻辑的修改或其他异常都会被记录。

BAD 解决方案是一种相对便宜的模块化方法，是一种检测异常的有效方法，但是 BAD 警报本质上是被动的，不一定会采取补救措施，例如关闭生产过程。

制造商仍然是网络攻击的目标

根据美国国土安全部的数据，制造业是 2015 年基础设施攻击最有针对性的行业，中小型制造商 (SMM) 仍然是主要的网络目标。

由于制造商越来越依赖技术和数据作为生产力和效率的驱动因素，因此对网络安全的需求更大。由于各种原因，SMM 一直在如何管理网络安全问题方面面临挑战：

• 制造技术组合包括 IT（网络和业务端软件，例如电子邮件、财务和 ERP）和 OT（运营技术，例如机器和控制系统）。
• 网络在资金、意识和教育方面与许多其他领域竞争。
• 很难将专业资源专门用于内部人员配备。
• 网络安全并未成为 OT 构建的优先事项，这意味着随着 IT 和 OT 相互连接，遗留系统的漏洞成为整个网络的潜在负债。

NIST 实验室和 NCCoE 的网络安全下一步计划

开发 BAD 功能的工作使用了 16 个测试用例或分类。有些是对事件的简单警报，例如密码和身份验证失败，而其他则涉及某种程度的分析，例如未经授权的软件安装通知和拒绝服务警报。

NIST 的 NCCoE 和工程实验室的下一个联合项目保护工业控制系统环境中的信息和系统完整性，采用更全面的方法来防止数据完整性黑客攻击。这些功能包括：

• 安全事件和事件监控；
• 应用许可名单；
• 恶意软件检测和缓解；
• 变更控制管理；
• 用户身份验证和授权；
• 访问控制最小权限；和
• 文件完整性检查机制

九家制造供应商和集成商已与 NCCoE 签署合作研发协议 (CRADA)，以帮助开发能力。

联系您当地的 MEP 中心获取专家网络安全建议

在制造业工作的网络安全专家将教育视为采用 SMM 的关键。越来越多的 SMM 以与寻求金融或保险专业知识的方式类似的方式看待网络咨询。

如果您不确定从哪里开始为您的制造公司进行网络安全，请查看此评估工具和 NIST 的网络安全框架。您还可以浏览 NIST MEP 为制造商收集的网络安全资源。

对于特定需求，找到适当指导的最便捷途径是与当地 MEP 中心的网络安全专家联系。