虽然在中心安保上破费了数百万美元,但网络攻打者针对制作企业和加工厂的攻打依然到达了创纪录的水平。经过将“零信赖”作为2023年的优先事项,制作商可以增加IT和OT(运营技术)缺口,以最大限制地增加攻打。
IBM的《2022年X-Force要挟情报报告》显示,在2021年前9个月,攻打者对连网的SCADA网络设备和传感器的侦查参与了2204%。估量到2023年,OT网络攻打形成的世界经济损失将到达500亿美元。到2026年,超越一半的网络攻打将针对零信赖控制无法笼罩或无法缓解的畛域。
往年早些时刻,美国网络安保和基础设备安保局(CISA)正告称,初级继续要挟(APT)立功团伙的指标是许多最盛行的工业控制系统(ICS)和SCADA设备。由于新的端点技术(包括物联网、工业物联网和用于提供实时数据的遥感设备)的极速增长,制作商的破绽正变得越来越广为人知。
ICS传感器的设计不是为了包全数据,而是为了简化数据捕捉环节。这是在当今制作业中成功零信赖网络架构(ZTNA)框架和战略的应战之一。
制作业是要挟增长最快的畛域
在IBMX-Force要挟治理平台修复的一切攻打中,有23%源自制作业。依据该公司的剖析,这使得制作业成为受攻打最重大的行业,并在2021年终次取代金融服务业,位列要挟榜首。IT和OT间的缺口关于网络攻打极具吸引力,61%的入侵和暴露事情出当初基于OT的制作商身上。超越三分之二(36%)的针对制作商的攻打是经过敲诈软件动员的。
令人担心的是,针对制作商和ICS设备的攻打潮流正在以十分快的速度增长。例如,卡巴斯基ICSCERT发现,仅在2022年上半年,世界三分之一的ICS计算机就阻拦过至少一次性恶意对象。在同一期间,ICS-CERT颁布了560个经常出现破绽和暴露(CVE),其中303个是在往年上半年引入的。关键制作业是受影响最间接的行业,报告了109个CVE。
教训一次性网络攻打后,制作商的系统平均会瘫痪五天。其中,50%在三天内照应终止,仅有15%在一天或更短期间内照应。BlastWave联结开创人兼首席口头官TomSego示意,“制作业的生死取决于可用性。IT大略是三到五年的技术降级周期,而OT的降级周期更像是30年。大少数人机界面(HMI)和其余系统运转的都是Windows或SCADA系统版本,这些系统不再受允许,无法打补丁,是黑客瘫痪制作业务的完美选项。”
为什么在制作业中很难成功零信赖
制作商正在迅速参与端点,暴露要挟面,并不时裁减“经常使用不受包全的第三方设备的”协作同伴生态系统。基于边界的网络安保系统已被证明不够有效和灵敏,无法跟上极速开展的要挟格式。再加上在ICS上成功ZTNA极具应战性,由于ICS的设计更多的是为了效率、监控和报告,而非安保,所以疑问也就显而易见了。
在系统之间性能具有物理间隙的ICS(一种称为airgapping的技术)不再有效。理想证明,敲诈软件攻打者可以应用USB驱动器的气隙,将系统之间暴露的物理间隙变成攻打载体。超越三分之一(37%)针对ICS的恶意软件攻打是经过USB设备启动的。敲诈软件攻打者正在复制软件供应链攻打的技术,用经常出现的非法文件名从新标志可口头文件。一旦进入ICS,攻打者就可以经过网络横向移动,失掉特权访问凭证,窃取数据并试图取得对设备的控制权限。
另一个应战是,许多传统传感器和端点——从可编程逻辑控制器(PLC)到基本的静止和温度传感器——都依赖于宽泛的协定,以致于许多传统设备无法调配IP地址。ICS所依赖的传感器更多地设计用于低提前的继续实时数据传输,而不是用于允许加密和安保。不出所料,86%的制作商对其ICS系统及其允许的消费流程简直没有可见性。
制作业的首席消息安保官(CISO)示意,他们的传统中心安保网络通常对web运行程序、阅读器会话和第三方配件缺乏足够的包全,并且没有远程访问战略选项。放开的端口、性能失误的防火墙和不受治理的无线衔接浸透在这些网络中。再加上缺乏对联邦身份和特权访问凭证的控制,很清楚,在遗留制作环境中成功零信赖是如许艰难。
这些危险负债就是制作业必定在2023年将实施“ZTNA框架”和采取“零信赖安保”态势作为高度优先事项的要素所在。
制作业的CISO应该从何入手
形成这种现状的局部要素在于,制作行业竞争强烈使得安保疑问不时落后于其余优先事项。在2023年,这种状况必定扭转,安保必定成为业务的推进者。
BlastWave公司的CISO TomSego示意,“接受零信赖的公司将取得竞争长处,并成功远程才干,从而提高世界供应链的效率。那些拒绝与时俱进,心存幸运的公司将会无法防止地堕入网络攻打,从而形成一场本可以防止的生活危机。一小步的预防抵得上一大步的检测和弥补。”
随着制作商提高运营速度,他们须要经常使用零信赖来包全web运行程序。微分段(Microsegmentation)须要逾越将整个消费设备定义为单个可信区域的狭窄概念。最关键的是,ZTNA框架须要基于思考多云性能的牢靠业务案例。
以下畛域是一个适用的ZTNA框架的中心,制作商可以依据其共同的业务和操作需求启动调整。
正确成功零信赖须要从公司范围内的每个阅读器会话开局
由于劳能源、政治和老本的不确定性,制作商有时须要急于将消费转移回国际。Web运行程序和阅读器会话是成功这一指标的关键。远程阅读器隔离(Remotebrowser isolation,RBI)是必定的,由于这些回迁转移出现得十分快。指标是经常使用零信赖来包全每个web运行程序和阅读器会话免受入侵和破坏。
制作商正在评价和驳回RBI,由于它不会迫使他们对技术堆栈启动彻底审核。RBI对阅读采取零信赖安保方法。上游的RBI提供商包括Broadcom、Forcepoint、Ericom、Iboss、Lookout、NetSkope、PaloAlto Networks和Zscaler。
RBI还被用于包全Office 365和Salesforce等运行程序及其蕴含的数据不受潜在恶意非托管设备(如承包商或协作同伴经常使用的设备)的影响。
Ericom是该畛域的指导者,其在包全每个端点免受初级web要挟的同时,坚持本机阅读器性能和用户体验的方法证明了这一点。Ericom的处置方案关于面临消费回迁的艰难应战的制作商来说是理想的,由于它甚至可以包全Zoom和MicrosoftTeams等虚构会议环境中的用户和数据。
多要素身份验证(MFA)是入场筹码,是完整ZTNA框架的一局部
CISO示意,MFA是入场筹码,企业可以应用它为未来的估算建设强有力的允许。在最近一次性题为《展望未来:JohnKindervag对2023年零信赖的展望》的文章中,零信赖发明者JohnKindervag在评论MFA时称,“咱们太过依赖MFA了,咱们过去称它是‘双要素身份认证(2FA)’,如今数字2换成字母M后,它仿佛突然变得离奇而诱人了,但它实质都是一样的。而且,确实,它是一个弱小的工具,有助于咱们失掉胜利。但与此同时,假设咱们只依赖这一点,那将是一个疑问。”
MFA的部署速度须要与其作为ZTNA总体框架的一局部的有效性相平衡。Forrester初级剖析师AndrewHewitt示意,包全端点的最佳终点是“一直围绕着口头多要素身份验证。这关于确保企业数据的安保大有协助。”
为什么制作商也须要微分段
微宰割的目的是隔离和孤立特定的网络段,以增加攻打面数量和限制横向移动。它是NIST SP 800-27零信赖框架定义的零信赖的中心要素之一。
制作商正在经常使用微分段来包全他们最具价值的资产和网络局部。他们还经常使用微分段使承包商、第三方服务和供应链供应商能够访问他们的网络。在ZTNA驳回方面最先进的制作商最终将经常使用微分段来取代传统的软件定义网络(SDN)架构。
该畛域的关键供应商包括Akamai、Airgap Networks、AquaSecurity、Cisco、ColorTokens、Illumio、Palo AltoNetworks、TrueFort、vArmour、VMware和Zscaler。
端点在ZTNA框架中无法或缺
端点是在制作业中成功ZTNA框架最具应战性的畛域,也是最关键的畛域。端点是制作业务每笔买卖的管道,它们经常不受包全。基于云的端点包全平台(EPP)是谋求ZTNA框架和战略的制作商的理想选用,由于它们可以更快地部署,并且可以依据制作业务的共同需求成功共性化定制。
自修复端点(Self-healingendpoint)在制作业中至关关键,由于IT人员经常会面临人手无余的状况。依据定义,自修复端点将封锁自身,从新审核一切操作系统和运行程序版本,包括补丁降级,并将自身重置为优化的安保性能。一切这些优惠都在没有人为干预的状况下启动。AbsoluteSoftware、Akamai、CrowdStrike、Ivanti、McAfee、Microsoft365、Qualys、SentinelOne、Tanium、趋向科技和Webroot都提供自修复端点服务。
Forrester的报告《端点治理的未来》为自修复端点的未来提供了有用的指点和愿景。其作者AndrewHewitt写道,要想最有效地自我修复,它须要在多个层面上启动,从运行程序开局,而后是操作系统,最后是固件。Forrester的报告指出,嵌入在固件中的自修复将被证明是最关键的,由于它将确保在端点上运转的一切软件,甚至是在操作系统级别上启动自我修复的代理,都可以有效地运转而不会终止。
Hewitt引见称,“固件级别的自修复在许多方面都有协助。首先,它确保固件中的任何损坏都能自行修复。其次,它还确保在设备上运转的代理能够修复。例如,假定在端点上运转一个端点安保代理,该代理以某种模式解体或损坏。在这种状况下,固件级别的自修复可以协助其极速修复并从新反常运转。”
每个身份(无论是人还是机器)都是一道新的安保防线
将每个机器和人的身份视为新的安保边界,是创立基于零信赖的弱小安保态势的中心。包全身份与制作商经过MFA取得的早期胜利一样值得注重。
CISO示意,随着他们在企业中采取更强有力的零信赖态势,他们也在寻求坚固这种态势的技术堆栈。他们中的许多人谋求的指标是找到一个以身份和访问治理(IAM)为中心的基于云的网络安保平台。理想证明,这是一个很好的选择,由于CIO正告称,尽早取得IAM有助于极速增强安保态势。
提供集成平台的上游网络安保提供商包括Akamai、Fortinet、Ericom、Ivanti和Palo Alto Networks。
从久远思考在制作业中成功零信赖
在制作业中成功零信赖并非欲速不达的事情。它的重点在于继续增强整个企业的安保态势。制作商的运营越扩散,就越须要经常使用API的初级集成和技艺。
关于被攻打者盯上的制作商来说,曾经没有期间可以糜费了。IT和OT系统中的缺口和放开端口很容易被扫描制作商网络的攻打者识别进去。关于许多制作商来说,远程访问服务基本没有安保措施。所以,想要包全消费中心、专用事业和它们所依赖的基础设备,还有很多上班要做。
成功ZTNA框架并不须要破费很多钱,也不须要一组完整的上班人员。Gartner的《2022年零信赖网络接入市场指南》提供了很有价值的参考,可以协助定义任何ZTNA框架。
随着每个身份都有一个新的安保边界,制作商必定在2023年优先思考零信赖网络架构。