德国弗劳恩霍夫应用研究促进协会北京代表处
趋势报告 | 互联生产体系下的网络数据安全(下)

趋势报告 | 互联生产体系下的网络数据安全(下)


研究设计

弗劳恩霍夫生产技术研究所IPT开发了 "生产安全性检查标准体系(PSRC)",以确定企业当前的安全水平。PSRC是一个对制造企业网络安全状况进行独立衡量的模型,并能帮助他们评估和改进网络安全规划。PSRC重点关注与信息技术(IT)资产、操作技术(OT)资产及其运行环境相关的网络安全实施与管理。PSRC模型将在后文以表格形式展现。
PSRC支持生产企业实现以下目标:
1.评估和加强生产中的网络安全措施
2.确定公司和生产中的风险因素
3.确定网络安全方面行动与投资的优先级 
PSRC的开发方式使得它适用于不同行业、结构和规模的制造公司[35]。该工具主要基于网络安全能力成熟度模型(C2M2)和通用网络安全标准的组合,如ISO 27001、IEC 62443、“美国国家标准和技术研究院网络安全框架(NIST CSF)”和“德国联邦信息技术安全局信息技术基本保护(BSI IT-Grundschutz)“。在信息技术和操作技术领域,现有安全规范和标准的应用对于保障整体安全方法至关重要[36][37][38]。因而PSRC由九个领域组成,反映了在整体安全方法中必须要考虑的主题。这些都显示在图5中[35]。

样本和调查方法

样本的选择基于联邦统计局的《经济活动分类2008版》(WZ 2008)。经济分支"C制造 "对本研究尤其重要。为获取这些公司的相关信息,我们在商业信息服务商Nexis的帮助下,使用了Creditreform数据库。制造业中雇员人数不低于20人且有电子邮箱的公司被选为样本。
从给定的公司库中,来自不同工业部门的28家公司最终参加了详细研究。它们在各个工业部门的分布情况见图6。在第一步中,这些公司使用PSRC评估其安全状况。自我评估所需的时间被设定为每个公司至少三小时。根据已完成的结果,在第二步中对选定的公司进行了电话采访,每次30至60分钟。访谈的目的是为了对所获结果加以确认,并用质性分析的方法找出安全状况不佳的可能原因。

评估方法

为了能够更好地将之前所定义的领域相互比较,每个领域的评估方法都是相同的:评估总是从整体开始,以对细节的考察结束。为了能够在适当的抽象水平上展示所描述的网络安全实施步骤--它们构成了PSRC的基础,它们在表格中被划分为独立、清晰的基础模块 (Baustein)。每一个模块都与一个尽可能细化的问题有关,这些模块名称相同,但它们在不同领域(Domäne)有不同的内容。例如,在资产变更和配置管理(ACKM)领域,公司实施 "ACKM-1.1a:公司中有操作技术和生产技术的重要资产清单"的情况可以分为四个等级:无,部分实施,基本实施,完全实施[35]。所有参与评估的大中小企业的在某个领域的实践情况都是以对各个部分的单独评估为基础的,总体评估情况以图表形式呈现。具体来说,这意味着每个公司每个领域实施情况有一个确定的平均值,Boxplot图中就呈现了这些值,除此之外Boxplot还显示了中位数(它基本不受异常值影响)和之前计算的单个值的平均值。Boxplot图表的优点在于能够清晰地展现不同部分的划分和结果范围。
在下一步中,还以Boxplot图的形式对该领域内的方法目标和管理目标进行了详细观察。方法目标和管理目标是单个网络安全程序中更高层次目标的分类(如 "ACKM-1.1b:存在与生产有关的信息资产清单 "等)。参照插图7中摘录的ACKM领域。
最后,在详细的分析中,我们用网状图比较了大中小企业的网络安全实际实施状况和目标实施状况。为此,我们为所有中小企业和大公司的每个部分确定了实际执行的平均数,并与建议的目标执行状况进行了比较,由此能够记录每个部分的优化需求。

 

研究结果

参与调查的大中小企业在所有领域的网络安全实施状况如图8所示。
平均而言,接受调查的大公司的网络安全实施水平要高于中小企业。这在中位数上体现得尤其明显(大公司:0.98;中小企业:0.66)。这些数据显示,在参与调查的中小企业中,人们的网络安全意识总体上没有大公司强。这两张图表都显示出较大的差距,即大企业和中小企业在网络安全实践的实施方面存在着很大的差异。

以资产、变更和配置管理领域为例进行详细分析

资产、变更和配置管理领域(ACKM)描述了IT和OT资产的管理、配置和变更。这里的资产指一个企业的所有资产,包括生产中所有的硬件和软件[35]。在这一领域我们得出了如图9所示的结果:与风险管理领域相比,ACKM领域的实施状况更好——无论是中小企业(平均数:1.13;中位数:0.98)还是大企业(平均数:1.47;中位数:1.55)都是如此。
这可能是因为无论IT安全状况如何,企业一般都普遍会进行资产管理,在大企业中更是如此。
图书行业的一家企业在2018年5月引入欧盟数据通用保护条例(DSGVO)时不仅升级了其信息技术网络,还主动改进了操作系统网络中的资产记录以提高安全水平。但研究中的大企业都认为在生产领域这样的非关键领域进行立法干预会带来很多问题。
在图10的详细分析中,参与企业基本上只有一个对生产重要的IT和OT资产清单。其他补充该清单的支持性附加信息,比如不同资产之间的物理和逻辑联系图,在中小企业中没有得到落实,而在大企业中只得到部分落实,这也反应在平均值上。比如在联系图方面,一个企业的例子就说明了,随着企业发展,其记录状况不随之改善,就无法清楚地追踪这些联系。
尤其是ACKM领域活动的制度化,即这些活动在前三个方法目标中如何确立下来,只有一半以下的中小企业实现了这一点。从网状图上看(图11),参与的中小企业和大企业都没有能够完全达到建议的实施水平。大型企业在大多数部分中的表现都优于中小企业。库存资产的基本配置部分可用(中小企业:1.75)和基本可用(大企业:2.25),以确保相同的资产有相同的配置(参见基础模块ACKM- 2.1a)。在生产设施上进行基本配置时,IT保护目标只是一部分考虑内容。
第三方公司的生产设施对企业来说就像一种黑匣子。这意味着公司必须相信制造商预先配置和预装的东西,然而生产设备的制造商往往没有对调整参数进行充分记录。如果对生产设施进行参数修改,公司会定期记录这些修改,但并不对其进行保护目标(保密性、完整性和可用性)测试。(参照ACKM-3.1a-3.3g基础模块)。这主要是为了避免生产停顿。修改参数后不进行测试的另一个原因是,生产中对设备的选择是根据最佳原则(Best-of-Breed)进行的。这意味着根据应用领域不同会制定单独的解决方案,并将其融入现有的基础设施,因此设备是非常异质化的,设备制造商也不可能开发出各种各样的测试环境("沙盒Sandbox")。除此之外参与评估的一位来自机械制造企业的专家认为,只关注设备的可用性是不可取的。
所有参与的公司都知道应当对IT和OT网络及其资产进行分割和隔离,但却没有将这一点普遍实施,尤其是中小企业。在许多情况下,他们还没有看到这方面的必要性,因为他们的生产没有直接连接到互联网,因此不需要单独分隔。在自动化金字塔的两个方向上建立垂直的、跨级别的通道,同时分离生产系统,尤其是对中小企业构成了挑战。
 

IT安全其他领域的结果总结

大公司,特别是上市公司都有一个整体的风险管理系统,记录也很齐全。但在风险管理中一般受到重视的是办公室网络安全,人们对于生产中的网络攻击风险虽然也有一定了解,但极少真正对其加以考虑。研究中的中小企业情况与此类似,安全措施的实施状况甚至更不好。无论是大企业还是中小企业,在从整体上了解网络攻击威胁状况方面都存在困难。一位受访者说道:“可以说你可以从任何地方开始(网络攻击)”。人们不愿在一开始就在这方面进行投资。对于网络攻击风险的处理本质上一般是被动的而不是主动防范。
中小企业和大企业在身份和访问管理领域的实施水平比其他领域都要高。在该领域已经有比较成熟的服务,比如Windows Active Directory(AD),以及SAP这样的标准软件。这些软件能够帮助企业管理逻辑的和物理的身份和访问情况,囊括从创建到停用的整个生命周期。与ACKM领域和资产管理领域类似,访问和身份管理流程在公司中已经得以确立。少部分企业还在访问分配方面运用了“需知原则”(Need-to-Know-Principle)。一家大企业展示了在德国或欧洲以外地区生产基地的访问权限分配方面的问题,IT管理员表示特别是在亚洲和阿拉伯地区,访问状况管理不善带来的安全风险经常被错误估计,他认为欧洲、美国和印度在对安全的理解上处于相同水平。
另一个挑战是安全性与IT网络基础设施的用户体验之间的矛盾。具体来说比如对USB的使用加以监管,一方面如果在企业中全面禁止使用USB,那么用户体验会急剧下降,另一方面如果对USB使用不加任何限制,那么安全性则会显著降低。
威胁和漏洞管理领域与风险管理领域结果相似:大公司有一个结构化的方法来消除威胁和漏洞,而中小企业在这方面的活动则更多是自发的。然而资产更新周期的加快使中小企业和大企业在威胁和漏洞管理方面都力不能及。在不同的组件上,处理漏洞的方式存在巨大差异:Windows组件一般可以主动更新补丁,但企业实际上不会为PLC控制器打补丁,即便有些大企业会测试PLC控制器,打补丁的时候也要求助于设备生产商,确切的补丁效果也是难以预测的,因为正如我们此前所说,在ACKM领域难以直接对设备和系统进行多次测试。
在形势认知领域,公司必须评估他们的记录和监测活动。尽管很多公司有记录和监测,但并不是在一个全面的、目标导向的框架内进行的。企业没有单独进行生产方面的记录,而是将其放在整个公司的IT和OT网络中。
大公司尤其会使用信息和事件管理系统,以支持其监管工作。中小企业由于资源较少而选择其他途径,也就是部分地将日志和监测活动外包给服务商,他们会定期评估所记录的信息。拥有大量数据的大公司使用普通的日志文档分析工具,但在难以确定发出警告和警报的阈值,这些警告和警报本应保护企业免受网络攻击。定义网络中的正常行为、区分真假警报的工作很大程度上必须人工完成。许多生产设备的制造商并没有向使用设备的公司明确传达他们必须、应该或可以监测的内容。
网络安全方面的信息交流和沟通总体来说是不足的:这一领域的实施情况在所有领域中排名倒数第二,因此也有巨大的改善空间。研究中的大多数企业,无论规模大小,都只信任自己的资源,独立进行内部的信息交换,而没有活跃的信息交换网络。
对网络事件和事故的反应,以及生产连续性方面的措施也是不足的。参与研究的企业担忧自己难以识别出高度发达的攻击手段,能够阻碍事故发生的前瞻性思维的培养十分缓慢。在业务连续性管理的帮助下,大企业越来越多地采取了确保连续生产的预防措施。尽管大企业的客户越来越多地对网络安全有所要求,但网络安全相关的活动依然居于次要地位。虽然名义上存在一些紧急预案,但一般都不会受到重视并进行测试。在网络攻击或网络安全事件发生时,企业更倾向于在内部进行公开的沟通,比如用电子邮件在企业内部讨论对CEO的欺诈攻击。IT经理鼓励员工报告可疑事件,企业也努力创造一种“不责备文化”,以消除员工对可能出现后果的恐惧。
研究中,无论是大企业还是中小企业,在整个供应链有关的网络安全方面都做得不好。采购新设备时,规格中很少会列出安全方面的要求,IT部门也很少参与采购过程;交付之后,谁应该负责设备的安全状况,设备生产者和使用者都很少有清晰的规定。除此之外设备使用者都相信制造商所承诺的,即设备是安全的,所以也不会对设备进行验收测试或者安全检查。研究中大企业在这一领域的安全措施状况是最不好的。
在“人类作为风险因素”这一领域,尽管企业落实的程度也比较低,但它们大多会对员工进行相关的网络安全培训,然而这种培训往往缺乏连贯性:只是指出内网中的恶意软件,很少对员工进行积极的、频繁的培训。许多员工都有一种虚假的安全感,认为IT部门会保障他们不受风险侵扰。特别是研究中的大企业,在新员工入职时都有关于信息技术的书面说明且必须由员工签字,然而在这种说明中一般只会略微提到安全问题。在引进新的技术安全措施时也不能忽视组织培训,这也是一个特殊的挑战,否则员工很有可能难以理解这些新措施意义何在,由此难以接受甚至规避它们。
图12总结了其余领域的量化结果。
 

展望

研究表明,生产安全性检查标准体系(PSRC)可以详细记录制造业企业的安全水平,能够通过识别其弱点,促进安全水平的提高。在评估中,可以说无论是大企业还是中小企业的网络安全实施状况都没有达到要求,一些企业已经在处理这方面的问题了,所有部门都应该行动起来,改善安全状况。
生产安全性检查标准体系(PSRC)受到受访者一致的积极评价。这些公司特别喜欢对不同领域的划分,这样他们就能清楚地知道今后应该特别注意哪些安全领域。一家中小企业希望利用PSRC告诉管理层,需要采取哪些措施来巩固公司的网络安全。然而由于系统所进行的安全检查非常详细,中小企业又没有自己的IT部门,所以有很多问题是他们自己难以理解的。因而PSRC在面对中小企业这一目标群体时应缩小范围、降低复杂程度。另一种可能性是根据不同的行业部门及其具体要求来调整PSRC,选取以自我评估形式提取数据一般是合适的。
在未来,公司可以使用一次性记录的实际实施状态作为进一步实施网络安全实践的基准参考。安全性检查能够记录网络安全状况的最新情况和进展,因而也可以作为一个辅助工具定期查阅,企业就能随时知道自己当前的安全水平并识别出存在的漏洞。
尤其是传统的自动化金字塔向自动化网络、网络物理系统转变,新技术带来了进一步的挑战。例如新的通信技术标准5G,数据率高,延迟低,具有重要意义,也能为关键基础设施领域的现场设备提供新的可能性。在这种情况下网络安全变得尤为重要,到那时PSRC继续提供支持的范围也将清晰显现。总的来说,在数字化不断推进、网络安全越来越重要的今天,PSRC已经能够为企业IT和OT环境的安全作出重要贡献。