為什么制造業必須在2023年將零信任作為首要任務

盡管在外圍安全上花費了數百萬美元，但網絡攻擊者針對制造企業和加工廠的攻擊仍然達到了創紀錄的水平。通過將“零信任”作為2023年的優先事項，制造商可以縮小IT和OT(運營技術)缺口，以最大限度地減少攻擊。

IBM的《2022年X-Force威脅情報報告》顯示，在2021年前9個月，攻擊者對連網的SCADA網絡設備和傳感器的偵察增加了2204%。預計到2023年，OT網絡攻擊造成的全球經濟損失將達到500億美元。到2026年，超過一半的網絡攻擊將針對零信任控制無法覆蓋或無法緩解的領域。

今年早些時候，美國網絡安全和基礎設施安全局(CISA)警告稱，高級持續威脅(APT)犯罪團伙的目標是許多最流行的工業控制系統(ICS)和SCADA設備。由于新的端點技術(包括物聯網、工業物聯網和用于提供實時數據的遙感設備)的快速增長，制造商的漏洞正變得越來越廣為人知。

ICS傳感器的設計不是為了保護數據，而是為了簡化數據捕獲過程。這是在當今制造業中實現零信任網絡架構(ZTNA)框架和策略的挑戰之一。

制造業是威脅增長最快的領域

在IBM X-Force威脅管理平臺修復的所有攻擊中，有23%源自制造業。根據該公司的分析，這使得制造業成為受攻擊最嚴重的行業，并在2021年首次取代金融服務業，位列威脅榜首。IT和OT間的缺口對于網絡攻擊極具吸引力，61%的入侵和泄露事件發生在基于OT的制造商身上。超過三分之二(36%)的針對制造商的攻擊是通過勒索軟件發起的。

令人擔憂的是，針對制造商和ICS設備的攻擊潮流正在以非常快的速度增長。例如，卡巴斯基ICS CERT發現，僅在2022年上半年，全球三分之一的ICS計算機就攔截過至少一次惡意對象。在同一時期，ICS-CERT發布了560個常見漏洞和暴露(CVE)，其中303個是在今年上半年引入的。關鍵制造業是受影響最直接的行業，報告了109個CVE。

經歷一次網絡攻擊后，制造商的系統平均會癱瘓五天。其中，50%在三天內響應中斷，僅有15%在一天或更短時間內響應。BlastWave聯合創始人兼首席執行官Tom Sego表示，“制造業的生死取決于可用性。IT大概是三到五年的技術更新周期，而OT的更新周期更像是30年。大多數人機界面(HMI)和其他系統運行的都是Windows或SCADA系統版本，這些系統不再受支持，無法打補丁，是黑客癱瘓制造業務的完美選項。”

為什么在制造業中很難實現零信任

制造商正在迅速增加端點，暴露威脅面，并不斷擴展“使用不受保護的第三方設備的”合作伙伴生態系統。基于邊界的網絡安全系統已被證實不夠有效和靈活，無法跟上快速發展的威脅格局。再加上在ICS上實現ZTNA極具挑戰性，因為ICS的設計更多的是為了效率、監控和報告，而非安全，所以問題也就顯而易見了。

在系統之間配置具有物理間隙的ICS(一種稱為air gapping的技術)不再有效。事實證明，勒索軟件攻擊者可以利用USB驅動器的氣隙，將系統之間暴露的物理間隙變成攻擊載體。超過三分之一(37%)針對ICS的惡意軟件攻擊是通過USB設備進行的。勒索軟件攻擊者正在復制軟件供應鏈攻擊的技術，用常見的合法文件名重新標記可執行文件。一旦進入ICS，攻擊者就可以通過網絡橫向移動，獲取特權訪問憑證，竊取數據并試圖獲得對設施的控制權限。

另一個挑戰是，許多傳統傳感器和端點——從可編程邏輯控制器(PLC)到基本的運動和溫度傳感器——都依賴于廣泛的協議，以至于許多傳統設備無法分配IP地址。ICS所依賴的傳感器更多地設計用于低延遲的持續實時數據傳輸，而不是用于支持加密和安全。不出所料，86%的制造商對其ICS系統及其支持的生產流程幾乎沒有可見性。

制造業的首席信息安全官(CISO)表示，他們的傳統外圍安全網絡通常對web應用程序、瀏覽器會話和第三方硬件缺乏足夠的保護，并且沒有遠程訪問策略選項。開放的端口、配置錯誤的防火墻和不受管理的無線連接滲透在這些網絡中。再加上缺乏對聯邦身份和特權訪問憑證的控制，很明顯，在遺留制造環境中實現零信任是多么困難。

這些風險負債就是制造業必須在2023年將實施“ZTNA框架”和采取“零信任安全”態勢作為高度優先事項的原因所在。

制造業的CISO應該從何入手

造成這種現狀的部分原因在于，制造行業競爭激烈使得安全問題一直落后于其他優先事項。在2023年，這種情況必須改變，安全必須成為業務的推動者。

BlastWave公司的CISO Tom Sego表示，“接受零信任的公司將獲得競爭優勢，并實現遠程能力，從而提高全球供應鏈的效率。那些拒絕與時俱進，心存僥幸的公司將會不可避免地陷入網絡攻擊，從而造成一場本可以避免的生存危機。一小步的預防抵得上一大步的檢測和補救。”

隨著制造商提高運營速度，他們需要使用零信任來保護web應用程序。微分段(Microsegmentation)需要超越將整個生產設施定義為單個可信區域的狹隘概念。最重要的是，ZTNA框架需要基于考慮多云配置的可靠業務案例。

以下領域是一個實用的ZTNA框架的核心，制造商可以根據其獨特的業務和操作需求進行調整。

正確實現零信任需要從公司范圍內的每個瀏覽器會話開始

由于勞動力、政治和成本的不確定性，制造商有時需要急于將生產轉移回國內。Web應用程序和瀏覽器會話是實現這一目標的關鍵。遠程瀏覽器隔離(Remote browser isolation，RBI)是必須的，因為這些回遷轉移發生得非常快。目標是使用零信任來保護每個web應用程序和瀏覽器會話免受入侵和破壞。

制造商正在評估和采用RBI，因為它不會迫使他們對技術堆棧進行徹底檢查。RBI對瀏覽采取零信任安全方法。領先的RBI提供商包括Broadcom、Forcepoint、Ericom、Iboss、Lookout、NetSkope、Palo Alto Networks和Zscaler。

RBI還被用于保護Office 365和Salesforce等應用程序及其包含的數據不受潛在惡意非托管設備(如承包商或合作伙伴使用的設備)的影響。

Ericom是該領域的領導者，其在保護每個端點免受高級web威脅的同時，保持本機瀏覽器性能和用戶體驗的方法證明了這一點。Ericom的解決方案對于面臨生產回遷的艱巨挑戰的制造商來說是理想的，因為它甚至可以保護Zoom和Microsoft Teams等虛擬會議環境中的用戶和數據。

多因素身份驗證(MFA)是入場籌碼，是完整ZTNA框架的一部分

CISO表示，MFA是入場籌碼，企業可以利用它為未來的預算建立強有力的支持。在最近一次題為《展望未來：John Kindervag對2023年零信任的展望》的文章中，零信任創造者John Kindervag在評論MFA時稱，“我們太過依賴MFA了，我們過去稱它是‘雙因素身份認證(2FA)’，現在數字2換成字母M后，它似乎突然變得新奇而迷人了，但它本質都是一樣的。而且，確實，它是一個強大的工具，有助于我們獲取勝利。但與此同時，如果我們只依賴這一點，那將是一個問題。”

MFA的部署速度需要與其作為ZTNA總體框架的一部分的有效性相平衡。Forrester高級分析師Andrew Hewitt表示，保護端點的最佳起點是“始終圍繞著執行多因素身份驗證。這對于確保企業數據的安全大有幫助。”

為什么制造商也需要微分段

微分割的目的是隔離和孤立特定的網絡段，以減少攻擊面數量和限制橫向移動。它是NIST SP 800-27零信任框架定義的零信任的核心要素之一。

制造商正在使用微分段來保護他們最具價值的資產和網絡部分。他們還使用微分段使承包商、第三方服務和供應鏈供應商能夠訪問他們的網絡。在ZTNA采用方面最先進的制造商最終將使用微分段來取代傳統的軟件定義網絡(SDN)架構。

該領域的主要供應商包括Akamai、Airgap Networks、Aqua Security、Cisco、ColorTokens、Illumio、Palo Alto Networks、TrueFort、vArmour、VMware和Zscaler。

端點在ZTNA框架中不可或缺

端點是在制造業中實現ZTNA框架最具挑戰性的領域，也是最重要的領域。端點是制造業務每筆交易的管道，它們經常不受保護。基于云的端點保護平臺(EPP)是追求ZTNA框架和策略的制造商的理想選擇，因為它們可以更快地部署，并且可以根據制造業務的獨特需求實現個性化定制。

自修復端點(Self-healing endpoint)在制造業中至關重要，因為IT人員經常會面臨人手不足的情況。根據定義，自修復端點將關閉自身，重新檢查所有操作系統和應用程序版本，包括補丁更新，并將自身重置為優化的安全配置。所有這些活動都在沒有人為干預的情況下進行。Absolute Software、Akamai、CrowdStrike、Ivanti、McAfee、Microsoft 365、Qualys、SentinelOne、Tanium、趨勢科技和Webroot都提供自修復端點服務。

Forrester的報告《端點管理的未來》為自修復端點的未來提供了有用的指導和愿景。其作者Andrew Hewitt寫道，要想最有效地自我修復，它需要在多個層面上進行，從應用程序開始，然后是操作系統，最后是固件。Forrester的報告指出，嵌入在固件中的自修復將被證明是最重要的，因為它將確保在端點上運行的所有軟件，甚至是在操作系統級別上進行自我修復的代理，都可以有效地運行而不會中斷。

Hewitt介紹稱，“固件級別的自修復在許多方面都有幫助。首先，它確保固件中的任何損壞都能自行修復。其次，它還確保在設備上運行的代理能夠修復。例如，假設在端點上運行一個端點安全代理，該代理以某種方式崩潰或損壞。在這種情況下，固件級別的自修復可以幫助其快速修復并重新正常運行。”

每個身份(無論是人還是機器)都是一道新的安全防線

將每個機器和人的身份視為新的安全邊界，是創建基于零信任的強大安全態勢的核心。保護身份與制造商通過MFA獲得的早期勝利一樣值得重視。

CISO表示，隨著他們在企業中采取更強有力的零信任態勢，他們也在尋求鞏固這種態勢的技術堆棧。他們中的許多人追求的目標是找到一個以身份和訪問管理(IAM)為核心的基于云的網絡安全平臺。事實證明，這是一個很好的決定，因為CIO警告稱，盡早獲得IAM有助于快速加強安全態勢。

提供集成平臺的領先網絡安全提供商包括Akamai、Fortinet、Ericom、Ivanti和Palo Alto Networks。

從長遠考慮在制造業中實現零信任

在制造業中實現零信任并非一蹴而就的事情。它的重點在于持續加強整個企業的安全態勢。制造商的運營越分散，就越需要使用API的高級集成和技能。

對于被攻擊者盯上的制造商來說，已經沒有時間可以浪費了。IT和OT系統中的缺口和開放端口很容易被掃描制造商網絡的攻擊者識別出來。對于許多制造商來說，遠程訪問服務根本沒有安全措施。所以，想要保護生產中心、公用事業和它們所依賴的基礎設施，還有很多工作要做。

實現ZTNA框架并不需要花費很多錢，也不需要一組完整的工作人員。Gartner的《2022年零信任網絡接入市場指南》提供了很有價值的參考，可以幫助定義任何ZTNA框架。

隨著每個身份都有一個新的安全邊界，制造商必須在2023年優先考慮零信任網絡架構。