原文标题:一种实现ISA/IEC 62443操作技术标准的零信任应用简化模型。本文译自https://lookbook.tenable.com网站“Simplifying Adoption of ISA/IEC 62443 Using theZero Trust Model for Operational Technology”白皮书。
一、简介
根据波耐蒙研究所(PonemonInstitute)的一项研究,在依赖操作技术(OT)和工业控制系统(ICS)的所有组织和公司中,有一半由于网络事故而遭受了操作技术(OT)和工业控制系统(ICS)的中断或影响,导致工厂或生产设备停机。不同行业OT系统中的网络事件如果导致中断或误用,可能意味着对物理、财务、环境和/或健康和安全的重大损害。
随着更多IT和OT系统的融合,网络事件影响生产运营的可能性也在增加。同样,工业物联网(IIoT)设备不断扩大的***面也为各种网络安全事件提供了额外的机会。然而,数量惊人的公司和组织继续忽视或大大低估了网络安全风险和随后的商业风险。无论是制造业、油气行业、电力行业、医疗保健行业,还是其他依赖OT系统的行业,越来越多的公司都应该三思而后行,考虑如何采用创新技术和设备,并利用安全方法来促进安全生产和作业。
为了改善安全操作和保护OT环境,组织需要采用为OT设计的网络安全框架,例如ISA/IEC62443系列标准(参见下图)。该系列标准提供了一个灵活的框架,以解决和减轻当前和未来的安全脆弱性在工业自动化和控制系统(IACSs)中导致的问题。ISA/IEC62443标准适用于所有关键行业部门和关键基础设施,是美国网络安全框架不可或缺的组成部分。虽然ISA/IEC62443标准长达1000多页,但所述的核心网络安全原则却非常简单,并在IT和OT环境中得到了验证,能够有效应对网络安全风险。
本文集中在ISA/IEC62443标准的部分,概述了工业控制系统中使用的组件的技术标准,包括嵌入式设备,网络资产和软件。与此同时,零信任模式已成为IT网络安全的主流。与OT中最小路由原则的概念类似,零信任模型是一种被广泛接受的网络安全方法,可以很容易地应用于OT环境,帮助其满足ISA/IEC62443的技术和架构要求。这两个框架在很多技术方面是一致的,只是上下文和术语有所不同。
图注:IEC 62443标准体系构成
此外,使用零信任五步法(它实现了最小路线原则)的另一项收益是将简化针对OT环境的IEC62443系列标准的实施,使组织能够使用迭代方法提高其关键OT系统的安全性。
二、基于零信任的ISA/IEC 62443五步简化实施方法
零信任是一种战略倡议,它通过从组织的网络架构中消除信任的概念来帮助防范网络***。根植于“从不信任,总是验证”的原则,零信任旨在通过使用网络分割、防止横向移动、提供第7层威胁防护和简化粒度访问控制等措施来保护现代网络空间的安全。传统的安全模型基于过时的假设,即组织内部网络的一切都应该受到信任,在这种破坏信任模型下,假定用户和设备身份不会受到损害。它进一步假定所有用户和设备的行为和操作都是负责任的,都是值得信任的。相比之下,零信任模型认识到盲目的、未经验证的信任是一个漏洞。
当零信任模型首次发布时,一些组织不愿意采用它,因为他们错误地认为其实现太困难、成本太高或破坏性太大。事实上,设计零信任环境甚至比构建传统的层次网络更简单。此外,没有必要打破和替换现有的网络结构来部署零信任。相反,随着时间的推移,公司可以使用迭代的方法从传统环境转移到零信任架构。当公司逐渐意识到这一点时,接受和采用零信任方法的组织数量开始增加,一项对IT安全领导的调查报告显示,在北美,已实施或计划在未来12到18个月内实施零信任的组织数量同比增长了275%。该研究还发现,60%的北美组织和40%的全球组织目前正在开展“零信任”项目。
创建零信任IT环境是一个相对简单的过程,可以通过迭代法每次保护一个资产,直到整个环境受到保护。这种实用五步实施方法(参见下图)对于使用零信任原则保护OT环境也很有价值。
图注:实现零信任环境的五个步骤
步骤1:确定防护面
在工业环境中,“防护面”包括与工业过程相关的所有连接设备。从工业过程开始,其数字化系统,包括I/O设备、可编程逻辑控制器(plc)等、以及以太网和IP基础设施设备,如路由器、交换机和普通IT设备。应将实际的防护对象考虑为物理设备(机器人、阀门或其他联网的物理资产)和为该设备供电、及控制或报告状态所需的任何网络设备。在这个过程中,需识别关键的数字资产和路径,记录数字资产与物理过程的对应关系。
OT安全的主要目标是尽最大可能保障公司的命脉。也就是说,你不可能用最完善的安全措施来保护所有东西。你必须决定什么是最重要和最关键的,什么对生产和安全影响最大。
步骤2:映射事务流
与IT系统不同,OT需要保护的最重要的东西是工业过程本身。正确设计零信任环境需要了解数据流及其与OT网络内流程的对应关系。需确保了解流程中涉及的所有组件以及它们与其他组件和流程的关系以及在第一步中确定的不同组件如何相互作用的。
一旦确定了对安全和操作至关重要的资产和流程,就必须理解和掌握维护和运营所需的网络和数据之间的依赖关系(关键数字资产)。这个流程包括所需的生产数据(相对于工业流程)和网络维护流程,这些流程使基于IP的通信成为可能。例如,如果域名系统(DNS)中断,域控制器不可用,将会发生什么情况?有了对系统设计中的风险点和故障点的充分理解,才能真正理解流程及流程间的相关性。
步骤3:构建一个零信任区域和网络
随着“防护面”的定义和流程的映射,零信任区域和通道架构应该变得更加明显。你现在应该了解数据过程和现实行动之间的物理关系,使你能够设计一个确定的网络架构,以保护其承载的生产过程及关键数字流程的运作。
了解需要保护的对象和原因,并了解如果这些服务遭到破坏将如何影响生产,你就可以围绕重要生产流程的数据流设计一个以生产为中心的网络保护流程。
步骤4:创建零信任策略
在设计了零信任架构之后,你需要创建支持其运作的零信任策略,可遵循所谓的“Kipling方法”来回答与网络和策略有关的“何人、内容、时间、地点、原因和方式”等问题。为了让一个资源与另一个资源进行通信,必须有一个特定的规则允许该流量通过。采用“Kipling方法”创建策略以支持细粒度的执行规则,以便在网络中只允许存在已知或合法的系统通信流量。这个过程大大减少了网络的受***面。
这个步骤也可理解为创建连接步骤1和步骤2的策略,并以工程模式将步骤3实现为策略和设计。
步骤5:监控和维护网络
为了确保前面的步骤按要求执行,需监视那些资产和流程(步骤1和步骤2)是什么,以及应该做什么。监视的结果将成为正常行为的基线,再建立预警机制对各类异常行为作出响应。检查和记录网络上的所有流量是零信任模型和ISA/IEC62443的基本组成部分。
入站工业数据应该被预处理为安全值(例如,可理解的PLC中的设定点),然后工业过程被以程序化方式理解后,其安全基础设施将阻塞或允许工业过程中的某些命令或命令值。
三、结论
正如本文所简要阐述的,工业安全的关键是生产过程。只要使“防护面”覆盖整个生产过程及其关键的数字资产,就可以利用零信任实现和增强交付IEC62443区域和架构。如需进一步了解网络资产的识别方法,确定关键数字资产,并应用零信任作为一种安全机制,以有效地满足IEC62443的技术要求。
山石网科从2017年起就致力于零信任领域的研究和实践,并将成果发表为《零信任安全模型在云计算环境中的应用研究》论文,与业界共享。
在2020云安全联盟大中华区大会上发布《2020中国零信任全景图》,山石网科入围7项细分领域,展现了在零信任领域完善的产品布局与强大的技术实力。去年,围绕“微隔离技术”和“云计算安全”两大话题,山石网科联合创始人兼首席技术官刘向明博士讲解了“零信任安全”领域的最新技术、行业态势、应用实践和发展趋势。
有关零信任的应用和任何问题,也欢迎联系山石网科:400-828-6655。
四、山石视点
近年来,工业互联网的迅猛发展促进了OT(操作技术)和IT(信息技术)的高效融合,但同时也打破了原有工控系统相对较为封闭的网络环境,导致其受***面扩大,从而带来了更多的信息安全风险。本文视角独特,观点新颖,将零信任模型应用于OT环境不仅扩展了零信任技术理念和架构的行业应用范围,也为落实ISA/IEC62443系列安全标准要求指明了一个具体实践方法,具有很高的参考价值。但同时,译者认为可能是限于篇幅等原因,本文也存在以下一些问题值得进一步研究和探讨:
1、文中所述“可以通过迭代法每次保护一个资产,直到整个环境受到保护”在实践中很可能会遇到实施周期长,效率较低的问题,如能将“每次迭代保护一个资产”改进为在实施前根据功能、类型或在OT环境中对组织的重要性等属性对重要资产先进行分类,然后再按照本文所述“五步法”每次迭代保护一类资产,或能大幅提高部署效率;
2、文中所述“步骤3: 构建一个零信任区域和网络”主要阐述的是“围绕重要生产流程的数据流设计一个以生产为中心的网络保护流程”,并未提及在OT环境中构建零信任网络架构的具体方法,而一个完整的零信任网络至少应包括零信任安全控制中心和零信任安全代理(网关)等关键组件,如能给出在OT环境部署零信任安全控制中心和安全代理(网关)的原则或具体方法,将进一步提高该步骤的可实施性;
3、文中所述“步骤4: 创建零信任策略”主要阐述的是“创建策略以支持细粒度的执行规则,以便在网络中只允许存在已知或合法的系统通信流量”,而并未提及动态鉴权与访问控制和持续安全信任评估等体现零信任理念精髓功能的实现方法,如能给出在OT环境中实现上述零信任关键安全功能的具体方法,将进一步提高该步骤的可操作性。