西门子和罗克韦尔致力于解决工业网络安全问题

网络攻击可能会对依赖工业控制系统 (ICS) 或其他运营技术 (OT) 的组织造成严重破坏和损失，无论它们是直接针对 ICS（例如最近发生的水务部门攻击事件），还是间接影响 ICS（例如勒索软件攻击事件），其影响可能会从 IT 环境蔓延开来。

负责管理西门子产品和服务相关安全问题的西门子产品 CERT 表示，导致隐私泄露和生产停顿的网络攻击屡见不鲜。

许多事件的根本原因与密码缺失或安全性较差有关，这通常是由于集成商为了简化服务而多次不使用密码或使用相同（通常很简单）的密码。

西门子安全专家经常看到多年未更新的系统，以及未受保护且暴露在互联网上的系统。

这家工业巨头的调查通常重点关注OT组件周围的IT环境，而不是攻击者利用OT组件本身的漏洞。

然而，西门子产品 CERT 意识到，利用全球许多组织使用的产品中的漏洞可能会造成毁灭性的影响，正如2017年的WannaCry勒索软件攻击所表明的那样，该攻击主要针对 IT 系统，但也对 ICS 构成了风险。

WannaCry攻击利用了名为“EternalBlue”的SMB漏洞，影响了包括西门子在内的多家供应商的医疗设备，西门子当时发布了补丁以防止该漏洞被利用。

在WannaCry攻击发生几周后，同样的EternalBlue漏洞被用于NotPetya 恶意软件攻击，给许多大公司造成了重大损失。

对于罗克韦尔自动化生命周期服务部门负责产品安全的Joshua Newton 来说，NotPetya攻击是针对ICS环境的重大攻击的最佳例子，因为这次网络攻击扰乱了制造商的整个运营，并对全球供应链产生了严重影响。

牛顿称“在大多数情况下，IT网络是攻击媒介，未打补丁或已停产的工业控制系统 Windows操作系统很容易成为攻击目标，造成中断甚至损坏。”

从这些声明中可以清楚地看出，WannaCry和 NotPetya等全球性事件是工业自动化巨头最关心的问题。那么西门子（特别是其Product CERT团队）和罗克韦尔自动化正在采取什么措施来帮助保护客户免受此类事件的侵害呢？

ICS最初的设计并没有考虑到网络安全——许多人认为这种设备无法被黑客入侵，因为它们与网络的其他部分完全隔离——但IT和OT之间的融合，以及远程访问工业系统日益增长的需求，促使ICS供应商采取新的方法并在网络安全方面投入大量资源。

除了建立内部网络安全团队和部门为客户提供安全服务和解决方案外，西门子和罗克韦尔自动化等工业巨头还与专业公司合作，提供全面的工业网络安全。

例如，西门子一直与Palo Alto Networks和Nozomi Networks合作，而罗克韦尔一直与 Claroty、Dragos 和 Fortinet 合作，甚至在去年收购了ICS/OT 安全公司Verve。

对于西门子Product CERT部门来说，目标是提高透明度并帮助客户在漏洞处理方面做出明智的决策。

西门子Product CERT每周二都会发布安全公告，每年解决数百个漏洞，该公司表示，这证明了该公司对安全的重视，而不是表明其产品比其他供应商的产品更容易受到攻击。

西门子Product CERT表示：“西门子发现、处理并向集成商和客户披露的安全问题数量与主要 IT 供应商相当，并且超过大多数OT供应商。”

Product CERT一直与其他产品团队合作，利用自动化扩展漏洞处理流程，同时满足新标准和客户的需求。

具体来说，西门子的建议采用机器可读的 CSAF 格式，以支持自动化流程。

西门子Product CERT团队表示：“关注系统安全的客户现在可以清楚地知道，如果不进行修补和升级，他们的安装中很快就会出现大量漏洞。记录系统状态非常重要。管理层现在可以权衡更新成本并做出决定。如果没有适当的漏洞透明度，负责系统的人员在这方面就会视而不见。”

然而，最终是否部署安全补丁仍取决于客户，而且许多工业组织仍然犹豫不决，因为更新可能会造成干扰。

首先，西门子Product CERT指出，评估漏洞对供应链的影响和暴露程度可能是一项成本高昂的任务，而且通常需要手动完成。“业界尚未找到更有效的方法来实现这一目标，”它表示。

西门子 ProductCERT 解释道：“即使投入预算来提高人们对当前安全状况和软件安全补丁状态的认识，应用已确定的补丁仍具有挑战性，因为系统的可用性可能会受到影响。制造商之间补丁类型的多样性也意味着将不兼容性引入之前正常运行的系统的风险。除此之外，还有人担心某些配置可能会受到影响，因为供应商无法确保所有可能的场景都得到维护，尤其是针对旧系统。”

它补充道：“我们还需要考虑最重要的犹豫似乎与财务和业务需求有关。维护和更新基础设施被视为成本因素，而不是维持业务的内在必要性，而且没有任何激励或强制要求任何维护窗口进行修补。”

罗克韦尔自动化解决了 ICS/OT 安全的另一个方面：说服客户认真对待安全并对其进行投资。

首先，说服客户为 OT 网络安全分配资金，根据罗克韦尔的 Newton 的说法，这实际上是一场关于风险的对话。

“事件的成本取决于对生产的潜在影响。这是可以量化的。在我担任 OT 网络安全顾问的这些年里，这些都是基于定性假设的对话，并用于做出实时设计决策。然而，客户变得越来越老练，正在转向更定量、数据驱动的风险分析理由，”Newton 解释道。

罗克韦尔自动化网络安全服务部高级销售主管 Travis Tidwell 举了一个来自一线的例子。

“最近，在一家领先的消费品制造商，我们在工厂进行了风险评估，采访了工厂层面的利益相关者，与 CISO 制定了战略，审查了工厂网络架构，并将这项工作细化以确定其最高风险项目，”Tidwell 说。“由于制定了业务案例，团队能够根据这些努力制定和批准预算和安全计划。”

更大的问题是说服客户更换旧的和不安全的设备，并让他们摆脱“只要还能用就不需要更换”的心态，这种心态在许多工业组织中普遍存在。

“这仍然是一个风险话题，但在某些方面更具挑战性，”牛顿说。“在大多数情况下，升级控制系统并不简单。控制系统系列与其版本支持和功能紧密相关，通常需要升级整个系统，而不仅仅是单个设备。”

Tidwell 补充道：“此外，设备现代化项目通常属于工厂经理的预算，可能需要工厂经理和 CISO 合作为项目提供资金。实施安全控制的成本很可能低于现代化项目。因此，在制定大型现代化项目计划时，可能需要实施安全控制。”

这可以说服各组织部署网络安全产品，并向他们保证它们不会对工业流程造成破坏。

“从历史上看，这种方法一直避免实施可能影响生产或导致工厂停工的安全控制措施。这就是 Claroty 和 Dragos 等入侵检测系统 (IDS) 如此受欢迎的原因。另一种流行的方法是分段，但我们必须始终教育大家，分段本身并不是安全控制措施，而是实施安全控制措施的推动因素，”Newton 说道。

“然而，过去几年中，一些客户已经逐渐掌握了更具预防性的控制措施，例如端点检测和响应 (EDR) 和下一代防火墙功能，这些功能能够阻止潜在的恶意活动，”他补充道。