大多数工业控制系统(ICS)都是几十年前设计和部署的。因而,它们缺乏IT网络中基本的资产发现和管理功能。
制造工业从传统上就一直挣扎于维护准确的资产清单。自动化营销软件公司TechValidate为工程和地理空间软件供应商鹰图公司做了一次针对185位制造工业从业者的调查,发现61%的业主经营人对自己找到支持应急响应所需信息的能力缺乏完全自信。超过半数的受访者20-80%的时间都耗费在查找和验证工厂信息上,包括进行工程验收。
随着网络威胁日益严重,很多制造工业公司希望能捍卫自身ICS网络。然而,缺了对资产的全面掌握,风险评估和有效防御应用都是不可能的。
为什么ICS网络缺乏资产管理
不同于高度进化的IT网络世界,工业网络常依赖于人工过程、注释和电子表格,没有自动化发现解决方案和非常高级的资产管理实践。很多工厂存储了一堆各种杂乱工程信息系统的设备信息,难以获得自身资产的完整视图。随着自身操作人员的离职,跟踪这些资产的改变就变得更加困难了。
ICS网络中实现资产管理需要什么
ICS网络资产管理通常在3个主要方面存在缺陷:发现、维护准确的当前资产清单,以及跟踪资产变化。
自动化资产发现是保护这些网络安全的关键。发现刚部署的新资产,或者退役的旧资产,可提供保护ICS网络所需的可见性,有助于安排安全工作优先级。因为网络部署往往伴随着对原始设计的有记录更改,依赖原始蓝图是不靠谱的。
典型的ICS网络包含各家厂商出品的控制器(PLC(可编程逻辑控制器)、RTU(远程终端单元)、DCS(分布式控制系统)),比如通用电气、罗克韦尔自动化、西门子和施耐德电气。每种技术都尤其独特的要求和难点。若不清楚范围内都部署了哪种资产,就难以规划维护项目和设计有效防护。一份包含制造商、当前固件版本、最新补丁和当前配置的,全面完整的资产清单,可以为这些设备带来更好的持续管理,在需要重置设备时也能提供支持备份和恢复。
同时,清单管理通常采用人工过程来跟踪变更,这往往是不准确且易出错的。由于这些网络随时间流逝不断改变,确保完整准确资产清单的唯一办法,就是实现自动化的持续发现过程。由此,网络上新增资产可被及时发现,也有助于跟踪和确认资产是否恰当部署或退役。
结论
自动化资产发现和管理是确保操作连续性、可靠性和安全性的第一步。缺了这一步,就不可能知道存在哪些设备,在什么时候设备做了哪些变更,以及怎样将设备重置回“已知安全”状态。规划维护项目、部署防御机制和进行有效事件响应与缓解工作,同样需要自动化资产发现的有力支持。
