安全的影响基础设施现代化
![](http://www.yyueer.com/sites/default/files/images/articles/Security%20Implications%20of%20Infrastructure%20Modernization%20.png)
石油和天然气设施面临越来越大的压力来提高产量和减少开采和炼油成本,网站和系统的现代化是不可避免的。
采用新技术在石油和天然气设施dual-edged剑。
一方面,有明显的好处,实现工业物联网(IIoT)设备来提高效率和降低运营成本。
另一方面,有固有风险与系统升级有关。
例子:哥伦比亚气体事件在2018年波士顿大都会,在安多弗产生了一系列爆炸,北安多弗和劳伦斯,马萨诸塞州。这一事件导致多达70多起大火,一人死亡,数十名受伤,30000人疏散,100多结构的破坏或损坏。大约9000的客户是没有权力。
《纽约时报》报道,一个系统升级造成仪表:离线监测的压力水平。不受控制的在通风引发了爆炸。
而人为错误可能导致事件就像哥伦比亚气体,类似事件也很容易成为恐怖分子的工作。
石油和天然气的高管们敏锐地意识到,曾经被孤立的操作技术(OT)网络控精炼、混合和分配石油越来越多地连接到“外部世界”通过工业物联网(IIoT)。
此外,现代化不可避免地涉及到某种程度的数字转换,使设施比以往更多的安全威胁。
攻击等BlackEnergy,Industroyer,VPNFilter和Wannacry只是一些恶意软件活动的影响关键的基础设施。演员们在某些情况下被流氓派系,包括国家,侵入工业网络和破坏造成的。
然而,来自内部的威胁也无处不在,非常重要。内部人士“天国的钥匙”或至少知道如何找到他们。
IIoT威胁
物联网(物联网)和IIoT显示巨大的承诺为提高石油和天然气业务。
越来越多的公司正在投资成本节约和生产率提高网络化智能设备的好处,它可以通过互联网彼此沟通和协调。
IIoT下行吗?很少有供应商和客户充分考虑安全风险相关的技术。
引入新的接入点到你公司的网络,加上当前缺乏对物联网设备的安全标准,可以为冲压通过创建孔周边防御。
然而,计划或(最坏的情况)计划外IIoT设备引入您的企业网络创造了一系列内部和外部的机会威胁演员,包括:
- 恐怖分子单独行动,独立于一个组织或团体,或有人煽动组织或团体。
- 国家资助的对手代表政府的活动可以跨计算机和物理攻击。
- 外部网络攻击造成的黑客群体促进政治议程或社会原因。
- 内部攻击是由恶意的内部人员,如不满的员工或第三方承包商支付给漏出的信息和/或您的组织造成损害。
- 无意的错误由于人为错误造成损害和/或停机时间,因为不正确的工业过程或设备的变化。
另一个变化——帐户妥协——就像一个内幕攻击,因为它发生在外部攻击者劫持一个授权用户的帐户(员工、厂商、集成商等)。这些通常是通过使用社交工程技术等网络钓鱼电子邮件和或“IT部门的电话请求用户的ID和密码。
三大工业网络安全风险
下面是三个最大的工业组织今天面临安全风险:
- 默认密码。IIoT制造商可以预配置设备默认密码,这是一个节省时间的员工。然而,这种利益也是一个主要的安全缺陷。当成千上万的设备共享相同的默认密码,攻击者可以很容易地妥协疏忽或故意决定不改变他们的组织。
- 缺失的补丁。许多IIoT设备不能修补或供应商不发行为已知的漏洞补丁,所以组织缺失的补丁是另一个大问题。
- 太多的设备管理。大部分组织都有无尽的IIoT超过传统的设备列表不包括报警系统、摄像机、恒温器、自动售货机等。甚至一个明显无害的设备可以构成威胁。例如,您不应该连接一个物联网咖啡壶或OT网络,因为这台机器没有安全特性。
不管IIoT设备类型,攻击者可以使用其中任一或全部作为垫脚石妥协你的IT和网络。
例如,许多IIoT设备接触互联网端口,攻击者可以用它来绕过防火墙。一旦进入你的网络,黑客可以做广泛的破坏,基础设施和它们之间的横向移动。认为数据泄露、病毒、ransomware,破坏和数据漏出。
三个关键防御措施
保护炼油、石化和分销网络从局内人和局外人的威胁涉及以下三个最佳实践:
- 资产管理。识别和地图所有设备在OT环境中保持一个最新的存货人——甚至那些不积极通过网络进行通信。一些软件可以在每个设备收集的信息,包括固件版本,PLC底板配置和序列号。
- 风险和脆弱性评估。有许多潜在的攻击向量来保护,所以最好是关注你最大的来源风险和漏洞。这涉及到使用自动化流程,以确定和解决新的漏洞。漏洞管理系统可以生成周期性报告每个资产风险水平的工业控制系统(ICS)网络。当系统发现新的漏洞(或在披露新漏洞时)你应该有一个机制来识别设备的影响,纠正威胁和验证当你的团队成功地应用修复。
- 设备和配置管理。ICS环境监视和管理的变化,确保设备和系统配置是安全的,证据确凿的。这需要维护一个持续更新的版本号列表的所有已安装的软件和固件,你应该定期比较针对一组已知的漏洞。
同时,常规OT网络扫描可以检测到未知设备和意想不到的变化。
最好的解决方案的问题通知,每当一个新漏洞出现。他们还把网络监控与设备查询提供深入的漏洞评估。例如,他们提供当前设备固件版本信息和相关的cf,开放端口列表和计算准确、最新的风险。
你也应该执行安全策略来控制哪些设备可以执行某些(特权)的行为,例如代码或固件下载到工业控制器。此外,政策应该要求某些设备不能访问互联网。
统一和不安全
有更多的压力,增加产量,减少开采和炼油成本,网站和系统现代化是不可避免的。同时,有必要延长的生命成熟的网站保持供应水平,因为开发新能源,以及提取、运输、炼油基础设施——更昂贵和复杂的选择。
因此,监测控制系统和过程意外变化——他们是否恶意攻击或人为错误的结果——是防止中心关闭。这是一个重要的有益的实施不安全程序的副产品。
除了这些市场压力,石油和天然气部门还必须符合严格的环保法规和标准,涵盖生产、提取和分销流程。在这里,开云app安全 、设备和活动可以帮助检测和防止问题才导致环境事件。
战斗的一个方法更广泛的攻击表面由现代化计划,以减轻威胁生产和环境控制系统构成的网络事件和人为错误收敛和不安全组。虽然挑战,这样的合作可以减轻这些风险和漏洞跨越了这两个基础设施,同时促进安全最佳实践的实现。
了解更多
下载白皮书,思想的差距:一个路线图/不对齐,更多的了解如何解决扩大网络攻击表面在工业网络。
相关文章
- SCADA