特性网络安全网络安全周
问答:关于网络安全，制造商需要知道什么

作为冷战结束时英国情报机构的一名前成员，戴维·马森目睹了网络攻击威胁从模拟领域转移到数字领域，在那里，他目睹了网络攻击威胁的激增，尤其是在制造业领域。

现在，Masson在Darktrace担任加拿大地区经理，这是一家人工智能（AI）软件供应商，负责检测工业网络、云和工业控制系统上出现的网络威胁。他最近和我的朋友谈过制造自动化关于加拿大制造商在网络安全方面需要注意什么，以及如何降低运营中的风险。

制造业自动化:根据您的经验，加拿大制造商对网络安全风险的认识程度如何?

大卫·马森：它是越来越好。这是好消息。许多加拿大制造商都很清楚NIST网络安全框架等协议，这些协议来自美国。他们明白保护OT系统和IT系统的重要性。

但在很长一段时间里，人们并没有真正关注他们的网络安全系统。人们过于关注IT，而很少关注OT系统可能受到的损害。影响加时赛系统的因素已经改变了——主要是因为旧的神话认为我们的加时赛系统与互联网是空气隔离的。他们没有连接，所以他们没有受到威胁。

但它们受到了威胁，因为您仍然可能对工业控制系统(ICS)进行远程访问攻击。即使你连不上互联网，也有人可以试试。对加拿大制造业来说，工业物联网(Industrial Internet of Things)现在变得非常重要。我们ICS系统上的所有plc和传感器都连接到互联网上，这为ICS打开了一个全新的威胁局面。

网络安全是IT系统中一个日益重要的问题。我想指出的是，就在去年，我们的政府在年度报告中告诉所有人，这是一个问题——不仅仅是像我这样的供应商，或者像你这样的人在说这个问题。

MA:你说意识正在改善。制造商的普遍看法是什么?在网络安全方面，他们还需要帮助吗?

糖尿病:他们仍然需要帮助。他们所寻找的最大的东西是他们OT网络的可见性。It网络也面临同样的问题——如果你不知道自己拥有什么，你将如何保护它？由于将OT系统连接到internet的迅速扩展，[进入OT系统]的方式迅速增加。

所以它是可见性。我的工业控制系统里有什么?在哪里?它在做什么?它是怎么做到的?这样做对吗?是为了别人而不是我们吗?能见度一直是一个关键问题，并试图控制OT空间中的威胁景观。

MA:你能举出具体的例子说明制造商需要担心OT风险吗?

糖尿病:一个经典的例子是大约五年前在一家钢铁制造厂，那里有大型炼钢厂。这些坏人能够进入工厂的OT侧，他们关闭了冶炼厂一会儿。这些事情永远不会发生；他们无法冷静下来。但这正是肇事者所做的——他们让它冷却了一小会儿，这基本上就是那个冶炼厂的结束，那个工厂的结束。

另一个有趣的例子是在一家制作蛋糕和饼干的舰队制造商。他们的一些工业互联网连接的东西是用于包装和切片饼干以及混合蛋糕混合物的PLC。这基本上就是那些PLC应该做的事情——那就是，别的什么都没有。然而，坏人设法进入OT网络上的PLC，因为虽然[网络]不应该连接到互联网，但它确实是。这是不寻常的，因为通常坏人首先进入IT网络然后进入OT网络。而这正好相反。

很快变得相当明显的是，搅拌机对制作蛋糕混合物感到“厌倦”，并开始与外部世界的朋友交流——这不是它的本意，这对坏人来说是个好消息。其中一台切片机开始横向移动，寻找要发送的信息，然后发送到网络。这在OT网络中是不应该发生的。

MA:那汽车制造商呢?他们有什么特殊的风险吗?

糖尿病:汽车制造商生产的汽车如果不受控制，其速度会造成很多损害。制造商将越来越担心第三方供应链被黑客攻击，无论是出于it目的——让你的知识产权被盗，你的计划，你的预算——还是因为人们想要了解制造过程。你能想象如果有人掌握了冬季轮胎的化学配方会发生什么吗?稍微调整一下，突然间一大堆冬季轮胎在几周内就碎了。

对于汽车工业来说，最重要的是他们必须生产安全的产品。所以很多人担心IT和OT网络不会受到网络威胁的影响。我们已经有了自动驾驶汽车，而那些在这一领域工作的人将再次越来越担心控制汽车的网络将是安全的。

MA:网络安全威胁总是恶意攻击吗?

糖尿病:一个非恶意的网络安全威胁是你发现了一个没有人知道存在的漏洞，幸运的是有人在坏人之前发现了它。例如，控制网络上出现了一种新设备，它使用工业通信协议发送大量我们称之为“广播通信请求”的请求。ICS系统都运行在这些几乎独立的、定制的协议上。在回应其中一个请求时，该设备就会透露其确切的制造商和型号，以及存储的IP地址。我们投资了一个绕过设备的IP地址，追踪到一个活跃的人机界面中通常未使用的通信。这里没有可疑的情况，但是它变成了一个明显的漏洞，因为您不想泄露这类信息，特别是在ICS系统上。

马：那么制造商可以做些什么来降低他们的风险呢？

糖尿病:我的观点是，还有相当长的路要走。这不仅仅是数量上的问题，而是复杂程度上的问题。这些攻击不会变得不那么复杂;他们会变得更加复杂。它们移动的速度不是人类的速度——机器的速度比你我想象的要快。基本上，人类已经不堪重负了。

制造商需要开始允许机器为他们做很多这类繁重的工作——在非常、非常早的时候识别威胁，并让机器让人类知道发生了什么。然后，这些机器实际上可以在早期阶段阻止这些威胁。

你可以做到这一点的方法之一是[使用人工智能]从根本上了解你的网络的一切。所以说到OT，你需要知道所有的事情哪里它是,怎样它是。如果您了解OT网络中设备的使用模式，您将在早期阶段看到这种使用模式的变化。如果你能做到这一点，你就不会被黑客攻击，因为你会看到攻击的每一个阶段，或者发生一些不寻常的事情。

现在，这是人工智能——很明显当你谈到制造业时，人们首先想到的是机器将取代人类。事实并非如此。人工智能实际上是用机器来支持那些工作过度、压力过大的网络人。它们是非常稀缺的资源。这些人很难找到，即使你能招募到更多的人，你也会与更多的人谈论(你的威胁)问题。使用人工智能支持这些员工，让他们能够自由地专注于他们真正需要在OT网络上做的事情，而不是整天跑来跑去打鼹鼠。

MA:很多制造商都在使用老化的基础设施，这又如何解释呢?你是否能够将AI平台与之配对，或者他们是否需要升级其他设备?

糖尿病:你说得对，很多设备都很旧，它们使用的系统是很久以前设计的，根本不是为了安全而设计的。他们甚至从未想过这件事；他们甚至做梦也没想到他们会这么做。我刚才描述的那种人工智能模式的生活方式——不管系统有多旧或多先进，也不管它是否得到修补。如果你使用人工智能，你可以完全被动地去做——基本上，你可以关闭网络，获得你需要分析的所有原始网络流量，而不需要实际接触OT网络。这就是我们在Darktrace所做的。这对于ICS系统来说是一件好事，因为没有人希望你以任何方式触摸或干扰它。

还记得我说过搅拌机有了自己的思维吗?搅拌机有一种相当平淡的生活模式——意思是当它脱离这种生活模式时，很明显它做到了——有了人工智能，你就可以执行生活的模式。你可以强制搅拌器搅拌，让它保持它的生命模式直到那微秒的变化。通过这样做，你可以孤立事件——你停止了已经在那里的威胁，它不能做任何事情，而你不能阻止其他任何事情。搅拌机不停地搅拌，饼干不停地从钢卷上滚出来，会计不停地核算。它只是在不影响其他东西的情况下停止改变。你可以用人工智能做到这一点。对于ICS系统来说，这是非常有用的东西。

为了清晰起见，本文对采访内容进行了浓缩和编辑。