石油和天然气公司面临着现代时代一些最紧迫的网络安全基础设施挑战。Stratus石油与天然气全球负责人科里·阿勒曼德表示:“这个行业有两种类型的公司,既有被黑客入侵的公司,也有知道自己遭到黑客攻击的公司。”
从十年前臭名昭著的Stuxnet黑客攻击到最近的Colonial Pipeline漏洞,无数的例子都证实了所有系统都容易受到网络攻击。应对无数的网络安全基础设施挑战是一项艰巨的任务,而日益严格的监管要求又使这一挑战雪上加霜,这些要求在传统的工业自动化架构和传统 OT 网络中很快就会变得难以管理。在最近与Xage Security举行的网络研讨会中,我们的专家解读了国土安全部关于石油和天然气网络安全基础设施的新指令、它们对运营商的实际影响,以及使数字化转型之旅显得几乎过于轻松的高级边缘计算概念。
我们是如何到达这里的——从 Stuxnet 蠕虫中吸取的教训
10 年前,Stuxnet 是第一次黑客入侵工业自动化系统,这让全世界都大开眼界,即使 OT 网络和网络之间存在气隙,黑客如何访问和控制 IA 系统并伪造其中的数据。当时,人们认为这种气隙方法可以创建可信的网络,该网络只能从内部受到攻击,并且无法从外部的互联网访问。不幸的是,这个假设再错误不过了。
根据埃里克·纳普和乔尔·托马斯·兰吉尔在2015年出版的《工业网络安全》一书,“Stuxnet证明了许多假设 工业网络威胁 错了,而且使用的恶意软件比以前见过的任何恶意软件都要复杂得多。”六年后,随着石油和天然气公司进一步踏上数字化之旅,这一说法仍然是正确的。
Stuxnet 病毒进入了当时各地的 OT 专业人员所依赖的所谓受保护的网络。尽管黑客意图访问一个组织的环境并完成一项犯罪任务,但他们的创造震惊了世界,一个接一个地改变和摧毁了国家的关键基础设施。“它传播到世界各地,” 阿勒曼在最近的网络研讨会中指出,“言语病毒非常非常准确。”
Stuxnet向业界证明,任何网络,无论与万维网相距多远,都是不可信的。这一认识改变了工业自动化的进程,加速了包括石油和天然气在内的许多行业的数字化。数字化转型之旅仍在继续,对于石油和天然气公司的正确发展尤其重要,因为它既可以提高组织的风险状况,又可以加强其安全态势。
石油和天然气公司数字化的两面
从几个方面来说,将更多的数字化带入工业自动化环境是一个难题。尽管边缘计算等新兴技术引入了新的工具和功能来改善决策并保护运营商和数据的安全,但它们也提出了紧迫的网络安全基础设施需求。阿勒曼德说:“当我们将这些新技术应用到这些新系统中时,我们必须确保安全是重中之重。”
考虑到这一点,O&G 组织不应回避数字化转型。在最近的网络研讨会中,Stratus 专家鲁迪·德安达反映:“为了提高竞争力,你必须连接和利用数据。”在不计其数的成功案例中,正确处理这一点的组织不仅可以巩固其网络安全基础架构,还可以释放好处,从而增加其市场份额并进一步实现其业务目标。来自Xage和Stratus的专家揭示了石油和天然气公司如何能够兑现数字化的承诺,同时确保合规性,而无需拆除和更换传统硬件。
国土安全部管道网络安全基础设施指南内幕
7月,国土安全部发布了管道网络安全指令,“以防止管道重演 殖民地管道关闭 这引发了大规模的燃料短缺和汽油恐慌性购买,” 据《华盛顿邮报》报道。尽管这些要求满足了该行业对标准化网络安全手册的迫切需求,但它们也带来了沉重的挑战,使运营商和IT人员都望而却步。
Xage和Stratus专家在网络研讨会中讨论的国土安全部要求中仅有几项包括:
- 一种零信任方法,可避免对任何网络的隐性信任
- 用户凭证轮换和资产访问管理的缓解措施
- 用于更新和修补软件的协议
Xage Security销售和业务开发负责人Joe Blazeck表示:“我们实际上正在摆脱可信网络的概念,即组织在边界进行一次验证,而我们正在转向一种安全方法,即组织持续验证每位用户、每台设备、应用程序和交易。我们正在避免对设备和网络的隐含信任,我们正在转向这种新的最小权限原则。”
尽管这些指令看似显而易见,但它们却给该领域带来了麻烦。一个典型的例子是软件更新,这些更新通常会导致计划外停机,这是因为管道运营的区域非常广泛,而且 IT 承包商群体经常断开连接,在这些广阔的地域中零敲碎打地修补管道。无论对平台还是软件而言,这些基于计算机的部署似乎都是一项简单的任务,但是当你想到遍布北美的平台时,你就会明白这种更新所面临的挑战的广度。对于当今负责保护关键基础设施的运营商来说,软件补丁、资产管理控制以及需要维护的个人证书数量之多等主要挑战只是一些头疼的问题。
Stratus 和 Xage 缓解了流水线 DX 带来的痛苦,开启了改变游戏规则的可能性
有了合适的边缘计算和网络安全解决方案提供商,实施零信任方法和其他必要的缓解策略既简单又容易。根据Blazeck的说法,“零信任的基本原则是,在安全边界之外或内部运行的任何参与者、系统、网络或服务都不可信任。相反,这些组织在授予访问权限之前会验证所有连接到任何系统的请求。你几乎可以想象,零信任模型中的安全工具假设设备和用户有恶意意图,他们几乎假设漏洞已经发生。”实际上,这意味着管理员必须回答如何成功实施一套规则来验证其网络中的每笔交易的问题,在依赖精细的一对一规则集的传统 OT 网络中,这一挑战很快就会变得难以管理。
这就是 Xage 和 Stratus 的用武之地。Blazeck 继续说:“我们通过为所有这些不同的作品建立身份来解决这个问题。我们为每个用户、设备和应用程序建立一个身份,并将其扩展到数据点。然后,我们通过分组和策略,而不是打开和关闭防火墙端口,来控制允许这些身份如何相互交互。每个身份,无论是用户还是事物,都有自己的边界,并且每个身份都能够根据中央Xage系统中管理的策略与其他身份进行交互。这种以身份为中心的零信任方法使运营商能够与所有远程端点保持可信连接。”这些只是 Xage 解决方案提供的几项功能。在Stratus ztC Edge等容错服务器上运行这种尖端的网络安全软件还允许组织在中断期间安全地运营。
Xage和Stratus解决方案的优点在于,它们主要基于软件,可以置于传统硬件之上,从而在没有安全感的情况下为较旧的PLC提供现场访问筛选等功能。阿勒曼德说:“这看起来几乎有点容易,有点简单,但我们可以部署它... 做所有数字化承诺的事情。当你扩展网络以满足新要求时,你有一台服务器在边缘运行,能够在边缘执行这些繁重的任务,包括安全任务。”
采用安全的工业计算解决方案的关键性不容低估。毕竟,如果组织要使用来自边缘计算设备的数据来做出更好的业务决策,那么就必须确保这些数据的真实性、准确性和隐私性,事实证明,黑客倾向于在传统人工智能架构中欺骗这些数据。
但是,当数字化转型之旅得到有效保障时,机会是无穷无尽的。根据Stratus专家鲁迪·德安达的说法,“我们发现,如果你部署这些技术并高效地部署它们,那么就有机会获得带宽来部署其中一些非常强大的互联和边缘工具,这些工具可以利用你的数据,同时加强你的安全态势,而不是削弱你的安全态势。”
要了解更多信息,请观看下面的完整网络研讨会《国土安全部石油和天然气网络安全要求的可行见解》。
