IIoT 和 AI 的兴起正从根本上重新定义操作技术 (OT) 数据及网络。Moxa 先前在《建构 OT 基础设施,释放 OT 数据潜在价值》一文中探讨了面向未来的 OT 网络如何助力释放 OT 数据潜在价值,推动 AI 驱动下的未来发展。
AI 虽拥有尚未充分释放的巨大潜力,但同时也是一把双刃剑。为充分释放 AI 价值,原本孤立的系统必须开放运作,而随之扩大的数字足迹也使系统更易遭受基于 AI 技术的复杂网络攻击。播客《制造业欢乐时光》的近期节目“AI 如何重塑安全与 OT 网络需求”已对此进行深入探讨。OT 网络早已从简单连接演变为复杂系统,面临的风险高于以往任何时候。您的 OT 网络是否已为迎接新时代做好准备,还是会变成导致运营中断、阻碍 AI 布局的关键短板?
评估 OT 网络安全时,需谨记以下要点:
要点一:物理隔离网络并非密不透风
许多制造商仍坚信其物理隔离网络绝对安全,能将敏感系统与外界威胁彻底隔绝。但事实果真如此吗?如果心存疑虑,不妨先自问几个简单问题:
某台设备是否正将诊断数据传输至云端?
工厂是否与厂内其他网络共享数据?
如果上述任一问题的答案为“是”,那么您的网络已不再受物理隔离保护。光靠物理隔离已是过时的安全措施,这可能导致运营风险。如今,为保护关键资产而在网络中集成强大的安全控制功能已成为常态,而非特例。然而,过去 15 至 20 年间,数据安全并未成为 OT 网络的核心议题。许多工业环境在靠近实际生产流程处几乎未部署任何防护措施。对 OT 工程师而言,工业网络安全已成为充满挑战的新领域,亟需全力应对。
要点二:AI 降低了攻击门槛
AI 不仅带来一系列全新的网络攻击手段,还会强化现有入侵方式。AI 可能从以下方面加剧安全威胁:
更快更精准:AI 让黑客得以迅速处理海量信息,更精确地找到漏洞,进而设计出针对性攻击方案。例如,现在黑客可以利用 AI 生成毫无破绽、高度个性化的钓鱼邮件。过去或许还能发现拼写错误或前后矛盾等异常,但由 AI 生成的钓鱼内容几乎可以假乱真。
实时适应:自适应恶意软件是最大的威胁。以前,黑客会扫描所有端口,寻找易于攻破的特定入侵点。发现端口关闭时,就会转向下一个目标。但在 AI 加持下,黑客现在能根据系统的情况实时调整代码和攻击策略,使攻击变得更为高效、危险。
随着 AI 不断进化,网络威胁也将随之升级。由于网络安全领域不存在万能良方,制定全面的安全策略才是最佳防护之道。
要点三:提高网络韧性势在必行
随着网络攻击手段日益精进,系统遭受入侵已在所难免。光是防堵网络威胁已远远不够,还必须让网络具备抵御攻击、及时恢复及快速适应的综合能力,从而最大限度降低攻击影响,保障运营持续稳定。这就是“网络韧性”。为实现这种韧性,需采用稳健的纵深防御策略作为坚实基础。这意味着将网络划分为多个区域和通道,并根据各自风险等级实施相应的安全措施,就像为最宝贵的资产层层加护。从遵循“安全始于设计”理念的联网设备入手,构建分层安全架构,是提升 OT 环境整体可视性、可控性和灵活性的最佳途径。
值得一提的是,纵深防御策略完全符合广泛应用于全球各行各业的 ISA/IEC 62443 网络安全标准的原则。与美国国家标准与技术研究院 (NIST) 发布的安全框架类似,ISA/IEC 62443 同样为制造商在流程和产品层面建立严格的安全标准提供了指导。您无需担忧自己不熟悉 NIST 或 ISA/IEC 62443 标准,我们将以食品行业为例进行说明。ISA/IEC 62443 等安全认证可视为网络安全产品的“营养标签”。ISA/IEC 62443-4-1 认证涵盖食品生产流程,而 ISA/IEC 62443-4-2 则对应产品认证。这些认证可验证设备及流程的技术特性,并确认其符合行业标准的安全要求。
明智之选:已获认证的供应商如何助您强化网络安全
有效增强网络韧性的第一步,是选择遵循严格安全标准的解决方案供应商。任何重视安全的企业都会确保其供应商符合行业公认的认证要求。具体而言,应选择已获 IEC 62443-4-1 安全开发生命周期 (SDL) 认证的供应商。该认证确保产品遵循“安全始于设计”原则。选择通过 IEC 62443-4-2 认证的设备,可在设备层面为关键系统提供更强大的安全保障。
然而,稳固的网络安全策略不仅是购买安全设备这么简单,还须建立在全面的分层防护承诺之上。最佳做法是通过 VLAN、防火墙、入侵检测系统 (IDS) 和入侵防御系统 (IPS) 等技术,将关键网络与一般 IT 人员或未授权访问进行隔离。可视性是有效安全策略的另一关键要素。如能全面掌握网络状况,即可迅速应对各类安全事件,将网络攻击影响降至最低。网络与安全管理平台通过简单易用的套件,实现网络全面可视化,使工程师更轻松地监控网络状态,及时接收可疑活动警报。
然而,并非所有问题都能靠建立强大的网络安全防御机制来解决。维持长期安全稳定同样取决于供应商对持续支持和安全漏洞管理的承诺。部分企业设有类似热线服务的应急响应团队,专门处理安全问题,确保客户的网络防御体系始终处于最新状态。此外,行业领导者通常也是 CVE 编号授权机构 (CNA) 的成员,能直接掌握产品漏洞披露流程中首要的关键一步。担任 CNA 成员的供应商能为客户提供更加高效、权威且可靠的安全响应服务。
在数字化时代,抵御网络威胁绝非易事。通过实施全面的纵深防御安全策略,选择符合严格安全标准的供应商,企业能更有效地抵御定向威胁,最大限度确保系统持续稳定运行。
准备好了吗?
Moxa 是率先取得 IEC 62443-4-1 安全开发生命周期认证的先锋企业之一,同时也是 CNA 成员单位。我们的目标是帮助客户构建安全的 OT 技术网络。想要保护您的 OT 网络安全?下载 Moxa 最新技术指南:《从设计到部署:工业网络构建安全指南》。这份指南提供实用建议和推荐方案,助您选择合适的联网设备、构建分层防护体系并高效管理网络,为 OT 系统打造更安全的网络空间。