石油和天然气公司面临着当代一些最紧迫的网络安全基础设施挑战。”这个行业有两种类型的公司,”Stratus ,石油和天然气的全球领导Corie Allemand说,”那些被黑客攻击的公司,以及那些知道自己被黑客攻击的公司。”
从十年前臭名昭著的Stuxnet黑客攻击到最近的Colonial Pipeline漏洞,无数的例子验证了所有系统对网络攻击的脆弱性。应对无数网络安全基础设施的挑战是一项艰巨的任务–日益严格的监管要求使之更加复杂,在传统的工业自动化架构和传统的OT网络中很快就会变得无法管理。在最近与Xage Security举行的网络研讨会上,我们的专家解读了美国国土安全部对O&G网络安全基础设施的新指令,它们对运营商的现实影响,以及使数字化转型之旅看起来几乎太容易的高级边缘 Computing概念。
我们是如何走到这一步的–从Stuxnet蠕虫病毒中吸取的教训
10年前,Stuxnet是第一个对工业自动化系统的黑客攻击,让世界看到了黑客是如何访问和控制IA系统并在其中欺骗数据的,尽管OT网络和网络之间存在空隙。当时,这种空隙方法被认为是创造了可信的网络,只有从内部才会受到攻击,而不可能从外部的互联网上访问。不幸的是,这种假设是完全错误的。
根据Eric D. Knapp和Joel Thomas Langill在2015年出版的《工业网络安全》一书,”Stuxnet证明了许多关于工业网络威胁的假设是错误的,而且使用的恶意软件比以前看到的任何东西都要复杂。”六年后,随着石油和天然气公司进一步踏上他们的数字化旅程,这句话仍然适用。
Stuxnet病毒钻进了当时各地OT专业人员所依赖的所谓受保护网络。尽管黑客的意图是进入一个组织的环境并完成一个犯罪任务,他们完成了这个任务,但他们的创造震撼了世界,使各国的关键基础设施逐一变异并遭到破坏。”它传播到了全世界,”阿勒曼德在最近的网络研讨会上说,”病毒这个词非常非常准确。”
Stuxnet向业界证明,任何网络,无论与世界网络相距多远,都是不可信任的。这一认识改变了工业自动化的进程,加速了包括石油和天然气在内的许多行业的数字化进程。数字化转型之旅正在进行中,对于石油和天然气公司来说,正确的转型尤为关键,因为它既可以增加组织的风险状况,又可以加强他们的安全态势。
石油和天然气公司数字化的两面性
在工业自动化环境中引入更多的数字化,在几个方面是一个陷阱。虽然像边缘 Computing这样的新兴技术引入了新的工具和能力,改善了决策,保护了操作员和数据的安全,但它们也提出了紧迫的网络安全基础设施需求。”当我们将这些新技术应用于这些新系统时,我们必须确保安全是最重要的,”Allemand说。
考虑到这一点,O&G组织不应回避数字化转型。在最近的网络研讨会上,Stratus 专家Rudy de Anda反映 “为了提高竞争力,你必须连接和利用你的数据”。有无数的成功故事,在这些故事中,组织如果能正确地处理好这个问题,不仅能巩固他们的网络安全基础设施,还能释放出增加他们的市场份额和推进他们的业务目标的好处。来自Xage和Stratus 的专家揭示了石油和天然气公司如何能够收获数字化的承诺,同时确保监管的合规性,并且不撕毁和更换传统的硬件。
国土安全部管道网络安全基础设施指南内幕
据《华盛顿邮报》报道,今年7月,美国国土安全部发布了管道网络安全指令,”以防止重蹈殖民地管道关闭的覆辙,该事件引发了大规模燃料短缺和汽油恐慌性购买”。虽然这些要求满足了该行业对标准化网络安全手册的迫切需求,但它们也带来了繁重的挑战,使运营商和IT人员都感到畏惧。
Xage和Stratus 专家在网络研讨会上讨论的国土安全部要求中,仅有的几个要求包括。
- 一种零信任的方法,避免了对任何网络的隐性信任
- 用户凭证轮换和资产访问管理的缓解措施
- 更新和修补软件的协议
据Xage Security的销售和业务发展负责人Joe Blazeck称,”我们正在真正摆脱可信网络的概念,即组织在周边验证一次,我们正在转向一种安全方法,即组织不断地验证每个用户、每个设备、应用程序和交易。我们正在避免设备和网络中的隐性信任,我们正在转向这个新的最小特权原则。”
虽然这些指令看起来很明显,但在现场却让人头痛。一个典型的例子是软件更新,由于管道运行的地区范围太广,而且IT承包商小组往往互不相干,在这些广阔的地域内零散地给管道打补丁,因此经常造成计划外的停机。这些基于计算机的部署似乎是一项简单的任务,无论是平台还是软件,但当你想到遍布北美的平台,你就会明白这种更新的挑战有多大。围绕着软件补丁的主要挑战,以及资产管理控制和需要维护的个人证书的数量,只是今天负责保护关键基础设施的运营商的几个头痛问题。
Stratus 和Xage减轻了管道DX的痛苦,开启了改变游戏规则的可能性
有了正确的边缘 计算和网络安全解决方案供应商,实施零信任方法和其他必要的缓解策略是简单而容易的。根据Blazeck的说法,”零信任的基本原则是,在安全周界之外或之内运作的任何行为者、系统、网络或服务都不被信任。相反,这些组织在授予访问权之前会验证任何和所有连接到任何系统的请求。你几乎可以想象,零信任模式下的安全工具会假定设备和用户有恶意,而且它们几乎假定已经发生了漏洞”。这实际上意味着管理员必须回答这样一个问题:如何实施一套成功的规则来验证他们网络中的每一笔交易,这一挑战在依赖细化的一对一规则集的传统OT网络中很快就会变得无法管理。
这就是Xage和Stratus 的作用。Blazeck继续说:”我们通过为所有这些不同的部分建立身份来处理这个问题。我们为每个用户、设备和应用程序建立一个身份,并将其扩展到数据点。然后,我们通过分组和政策,而不是通过打开和关闭防火墙端口,来控制这些身份如何被允许相互作用。每个身份,无论是用户还是事物,都有自己的边界,每个身份都能根据中央Xage系统管理的策略与其他身份互动。这种以身份为中心的零信任方法使运营商能够与所有远程终端保持可信的连接”。这些只是Xage解决方案提供的几个功能。在像Xage这样的容错服务器上运行这种尖端的边缘 网络安全软件。 Stratus ztC 边缘也使企业能够在停电时安全地运行。
Xage和Stratus 解决方案的好处是,它们主要是基于软件的,可以置于传统硬件之上,实现诸如对没有安全感的旧PLC进行现场访问过滤的功能。”这几乎看起来有点容易,有点简单,”Allemand说,”但我们可以部署这个……做数字化承诺的所有事情。你有一个服务器在边缘 ,能够在边缘 ,执行这些繁重的任务–包括安全–当你把这个网络延伸出去以满足新的要求。”
采用安全的工业计算解决方案的关键性不能被低估。毕竟,如果企业要使用来自边缘 计算设备的数据来做出更好的商业决策,那么就必须确保这些数据的真实性、准确性和隐私性,事实证明,黑客在传统的IA架构中具有欺骗的倾向。
然而,当数字化转型之旅得到有效保障时,机会是无穷的。据Stratus 专家Rudy de Anda说:”我们发现的是,如果你部署这些技术,并有效地部署它们,这是一个获得带宽的机会,可以部署一些真正强大的连接和边缘 工具,利用你的数据,同时也加强你的安全态势,而不是削弱它。”
要了解更多信息,请在下面观看完整的网络研讨会《对国土安全部石油和天然气网络安全要求的可行见解》。