制造業(yè)和企業(yè)技術(shù)領(lǐng)域歷來是獨立運行的，不同的技能和不同類型的技術(shù)在這兩個領(lǐng)域之間形成了天然的障礙。由于擔(dān)心運營中斷，人們采取了“護(hù)城河”的方式來保護(hù)生產(chǎn)工廠，并且不愿對支持操作工具的技術(shù)進(jìn)行更改。IT和制造業(yè)內(nèi)部的功能孤島經(jīng)常導(dǎo)致制造工程和IT團(tuán)隊之間的關(guān)系緊張。

 

在過去幾年，這一切都發(fā)生了變化。工業(yè)4.0、互聯(lián)網(wǎng)連接、物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)設(shè)備的引入改變了游戲規(guī)則。制造環(huán)境與IT環(huán)境的聯(lián)系越來越緊密，技術(shù)領(lǐng)域之間密不可分，相互依存。好消息是，消除障礙使企業(yè)能夠更有效地運營，并更有效地降低風(fēng)險。

 

當(dāng)制造企業(yè)考慮使他們的技術(shù)投資現(xiàn)代化時，他們應(yīng)該問自己以下制造產(chǎn)業(yè)的有關(guān)問題:

 

 

每個人都知道無法管理看不見的東西，在當(dāng)今世界，如果不能管理它，就不能保護(hù)它。

 

在傳統(tǒng)制造業(yè)中，資產(chǎn)庫存流程涉及人工步驟，嚴(yán)重依賴電子表格。隨著越來越多的新資產(chǎn)類型被引入到工廠環(huán)境中，許多資產(chǎn)類型無法使用這些傳統(tǒng)掃描方法捕獲。在最糟糕的情況下，運營人員只會在需要掃描時關(guān)掉設(shè)備，然后在掃描后重新啟動。多年來，過時和不完整的信息被接受，因為更重要的是關(guān)注保持運營的事情。

 

 

在更高層次上，制造業(yè)有兩種不同類型的技術(shù)。工業(yè)控制系統(tǒng)是分層的，由普渡模型和ISA/IEC62443IACS網(wǎng)絡(luò)安全標(biāo)準(zhǔn)定義。從資產(chǎn)管理的角度來看，設(shè)備類型和管理它們的專業(yè)知識之間存在主要區(qū)別。

 

在堆棧的下層是通常在工廠或工業(yè)運營中執(zhí)行高容量、重復(fù)工作的設(shè)備。像傳感器和執(zhí)行器這樣的東西必須以很高的效率運行，并且不能容忍停機(jī)時間。從技術(shù)角度來看，這些設(shè)備通常運行在實時操作系統(tǒng)(RTOS)上，這是由工業(yè)控制系統(tǒng)(ICS)供應(yīng)商構(gòu)建和管理的專有系統(tǒng)。近年來，OT安全供應(yīng)商已經(jīng)出現(xiàn)，專門評估和幫助管理這類設(shè)備的風(fēng)險。在工業(yè)4.0時代，人們也看到了互聯(lián)網(wǎng)連接(IOT/IIOT)設(shè)備進(jìn)入工業(yè)環(huán)境，擴(kuò)大了管理的復(fù)雜性和攻擊面。

 

堆棧的上半部分是通常用于控制低層設(shè)備、提供總體管理功能以及與公司域中的系統(tǒng)通信的設(shè)備。這些類型的設(shè)備通常運行在Windows和Linux等標(biāo)準(zhǔn)操作系統(tǒng)上，需要與企業(yè)環(huán)境中的系統(tǒng)相同類型的管理和控制。還有一層技術(shù)，有時稱為“網(wǎng)關(guān)設(shè)備”，用于管理從較低層到較高層的協(xié)議轉(zhuǎn)換。網(wǎng)關(guān)設(shè)備通常運行在標(biāo)準(zhǔn)操作系統(tǒng)的簡化嵌入式版本上。所有這些類似IT的設(shè)備，以及它們與企業(yè)環(huán)境的連接，都是最常見的網(wǎng)絡(luò)攻擊載體和安全隱患。事實上，制造業(yè)多年來首次超過金融服務(wù)業(yè)，成為受到網(wǎng)絡(luò)攻擊最嚴(yán)重的行業(yè)。

 

為了確保他們端到端管理和保護(hù)他們的制造環(huán)境，制造工程、IT和安全團(tuán)隊正在協(xié)作形成統(tǒng)一的安全運營中心(SOC)和流程，將這些不同類型的技術(shù)的最佳管理數(shù)據(jù)源推入共享CMDB、SIEM和工作流平臺。

 

 

大多數(shù)IT和安全從業(yè)者都認(rèn)為，防止網(wǎng)絡(luò)威脅的首要方法是給電腦打補(bǔ)丁。

 

確保保持盡可能高水平的安全技術(shù)還將增加正常運行時間，減少維護(hù)和修復(fù)問題的工作量，例如減少故障通知單，這樣企業(yè)的幫助臺團(tuán)隊就可以專注于更有價值的工作。同樣的規(guī)則也適用于制造業(yè)：前面提到的類IT設(shè)備或“托管資產(chǎn)”都需要與企業(yè)環(huán)境中的資產(chǎn)類似的級別和類型的補(bǔ)丁，企業(yè)應(yīng)該努力將補(bǔ)丁實踐擴(kuò)展到制造業(yè)領(lǐng)域，最好是從管理其IT資產(chǎn)的同一個平臺擴(kuò)展。

 

歷史表明，IT實踐不能輕易地擴(kuò)展到制造業(yè)。過時的操作系統(tǒng)、狹窄的更改窗口、精簡的硬件規(guī)格和網(wǎng)絡(luò)分段都是制造環(huán)境中打補(bǔ)丁的傳統(tǒng)挑戰(zhàn)。然而，隨著最近技術(shù)的進(jìn)步和協(xié)作的增加，制造技術(shù)團(tuán)隊越來越能夠在不影響生產(chǎn)的情況下提高可操作性和降低風(fēng)險。

 

關(guān)于漏洞管理的注意事項：識別和確定漏洞優(yōu)先級的過程可以幫助企業(yè)將打補(bǔ)丁集中在風(fēng)險最大的領(lǐng)域。如果企業(yè)可以從用于識別漏洞和確定漏洞優(yōu)先級的同一平臺驅(qū)動修補(bǔ)程序，則可以消除移交，獲得更好的結(jié)果，并在操作中實現(xiàn)顯著的生產(chǎn)力提高。

 

至于較低層次，或“未管理”資產(chǎn)，人們看到越來越多的網(wǎng)絡(luò)攻擊和威脅。有一些企業(yè)專門識別和分析該領(lǐng)域的漏洞，最佳實踐包括將來自這些供應(yīng)商的系統(tǒng)和IT系統(tǒng)的數(shù)據(jù)聚合到統(tǒng)一的CMDB、SIEM和工作流平臺中。

 

 

鑒于最近勒索軟件攻擊的激增，有很多企業(yè)提供最佳實踐、解決方案和服務(wù)。

 

首先，企業(yè)必須有一個適當(dāng)?shù)氖录憫?yīng)計劃，該計劃必須包括制造。讓企業(yè)的董事會成員和其他主要高管知道他們的角色是很重要的。還應(yīng)該就誰負(fù)有最終責(zé)任達(dá)成一致，并且應(yīng)該為盡可能多的場景確定行動。例如，如果受到網(wǎng)絡(luò)攻擊，會支付贖金嗎?是否可以從備份中恢復(fù)，如果可以，需要多長時間?如果企業(yè)已經(jīng)考慮過許多可能的網(wǎng)絡(luò)攻擊的影響，會恢復(fù)得更快。測試運行和桌面練習(xí)是確保所有涉眾都意識到影響并做好準(zhǔn)備的好方法。

 

從系統(tǒng)能力的角度來看，在事件發(fā)生期間，了解事件的狀態(tài)總是至關(guān)重要的。在一個分秒計算的工作環(huán)境中，對環(huán)境中正在發(fā)生的事情的實時可見性是非常寶貴的。唯一的真相來源就是合作伙伴，在關(guān)鍵時刻從同一個平臺采取行動和控制資產(chǎn)的能力也是一個很大的優(yōu)勢。準(zhǔn)備最充分的企業(yè)提前知道他們在哪里最容易受到影響，在這個資源有限的世界里，可以通過優(yōu)先分配資源來補(bǔ)救，從而最大限度地減少影響。

 

然后是云計算，整個制造業(yè)都在采用云計算，按照技術(shù)的發(fā)展速度，可以肯定的是，企業(yè)將繼續(xù)從云計算環(huán)境的規(guī)模和效率中尋求好處。無論企業(yè)處于云計算之旅的哪個階段，在事件響應(yīng)計劃中包含基于云的場景都是一個好主意。

 

 

企業(yè)不愿意在工廠給機(jī)器打補(bǔ)丁，這會妨礙運營效率和生產(chǎn)產(chǎn)量的提高嗎?

 

傳統(tǒng)的制造團(tuán)隊長期以來都不愿意接觸正在運行的任何東西。工廠正常運行時間驅(qū)動產(chǎn)量，僅次于安全，產(chǎn)量是工廠經(jīng)理的主要KPI。不頻繁和短暫的維護(hù)窗口是正常的，“如果沒有壞掉……”的心態(tài)在許多地方仍然普遍存在。

 

然而，在當(dāng)今世界，情況恰恰相反。工業(yè)環(huán)境中充滿了工作以管理從事體力勞動的資產(chǎn)的機(jī)器。其中一些需要相對較少的人際互動，而且看不見就會想不到。工廠員工使用的工作站和筆記本電腦往往比在企業(yè)環(huán)境中受到的關(guān)注要少。除了這些過時的、管理不足的資產(chǎn)所帶來的風(fēng)險之外，還會對運營效率產(chǎn)生影響。考慮一下機(jī)器所花費的資源數(shù)量，以及當(dāng)其中一臺機(jī)器最終宕機(jī)或被黑客攻擊時的影響。在這一基礎(chǔ)上增加企業(yè)所使用的資源，以確保符合法規(guī)要求。除了工業(yè)控制環(huán)境的傳統(tǒng)合規(guī)框架(例如ISA62443)之外，還有許多關(guān)于影響制造業(yè)的聯(lián)網(wǎng)產(chǎn)品的最新監(jiān)管要求(例如汽車行業(yè)的UNECER155/156)。

 

考慮一下這在規(guī)模上意味著什么，多個工廠或工業(yè)運營獨立運行，每個工廠都有自己的一組資源管理自己的過時資產(chǎn)。

 

現(xiàn)在是改變管理制造技術(shù)方式的時候了。在傳統(tǒng)模式中，工廠是獨立管理的:它們在世界不同的地方、不同的環(huán)境、不同的IT基礎(chǔ)設(shè)施中運行。通過收購增加到這些業(yè)務(wù)中，這種模式本質(zhì)上是低效的。

 

隨著當(dāng)今技術(shù)的發(fā)展，以及在工廠環(huán)境中采用良好的方式，企業(yè)可以提高運營的標(biāo)準(zhǔn)化和集中化。除了改善風(fēng)險狀況外，這還將對生產(chǎn)產(chǎn)生積極影響。

 

分離和獨立制造技術(shù)的傳統(tǒng)效率低下，使制造商容易受到網(wǎng)絡(luò)攻擊。過時的技術(shù)正在受到審查，隨著制造工程師的離職或退休，沒有良好的端到端解決方案來管理和保護(hù)企業(yè)的資產(chǎn)。

 

這些挑戰(zhàn)的解決方案始于能見度。首先統(tǒng)一企業(yè)的IT和OT環(huán)境，并從始終了解企業(yè)擁有什么、它在哪里以及它處于什么狀態(tài)中獲得信心。從那里，從一個平臺控制資產(chǎn)的能力將幫助企業(yè)消除移交和人工流程。

 

對制造技術(shù)采取端到端觀點并采用集成平臺方法的企業(yè)管理最有效，環(huán)境受到最好的保護(hù)。來自IT和OT環(huán)境的最高質(zhì)量和最及時的數(shù)據(jù)正在為它們的SIEM、CMDB和工作流平臺提供信息。他們有統(tǒng)一的SOC，合規(guī)性在很大程度上是自動化的。最后，以效率為最終目標(biāo)的企業(yè)將在未來幾年獲得競爭優(yōu)勢。

 

 

國內(nèi)主流的to B IT門戶，同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。