英国国家网络安全中心 (NCSC) 周一发布了安全指南,帮助使用运营技术 (OT) 的组织确定是否应将其监控和数据采集 (SCADA) 系统迁移到云端。
出于安全原因,SCADA 系统传统上与互联网甚至本地企业网络隔离,但云可以提供许多好处,许多组织正在考虑云。
NCSC 发布的指南旨在帮助 OT 组织识别云托管 SCADA 的优势和挑战,并使他们能够在迁移到云之前做出基于风险的决策。
NCSC 认为,“云迁移必须考虑到每个组织独特的风险状况和特定的技术要求”,并强调 OT 组织,尤其是关键基础设施实体,面临着复杂网络攻击的更大风险。
正在考虑实施云 SCADA 的组织应首先决定是否需要完全迁移、仅使用云作为备用或恢复解决方案,还是混合部署。
该机构指出,云提供了更高的灵活性、对网络攻击和其他破坏性事件的弹性、改进的远程访问以及集中的身份和秘密管理。
然而,这些好处也可能带来安全风险。例如,与云相关的软件定义网络(SDN)组件提供了更大的灵活性,需要监控未经授权的更改。云可能提供更大的弹性,但组织还需要考虑到云也可能遭受中断。如果管理不当,远程访问还会显着增加攻击面。
在决定是否准备好将 SCADA 产品迁移到云端时,组织需要确定他们是否拥有支持这一转变的技能、人员和政策。缺乏必要技能的组织可能会寻求托管服务提供商的帮助,但 NCSC 指出,这些类型的公司通常在云方面拥有丰富的经验,但在特定的 SCADA 系统方面可能缺乏经验。
最后,组织应评估其技术是否适合云迁移。这包括云软件的适用性、现有的旧硬件、延迟影响以及敏感 SCADA 数据的保护。
该政府安全机构还指出 SCADA 和一般 IT 有很多共同点,并敦促组织也审查和应用其一般云安全指南。
“运营停机现在是许多网络攻击背后的驱动力。网络犯罪分子知道,通过针对 SCADA 系统,他们可能会导致能源和制造业等关键基础设施部门的运营停机,从而可能导致大规模的社会混乱。”Illumio 关键基础设施总监 Trevor Dearing 表示。
“NCSC 已经认识到 SCADA 系统连接到云时对运营弹性带来的风险,这是件好事。许多 SCADA 系统最初在多年前设计时并未考虑到安全性,因此从未打算连接到云。这当然意味着它们很容易受到攻击并导致运营停机。
“在将 SCADA 系统迁移到云端方面,我们完全赞同 NCSC 的‘组织准备就绪’信息。组织应该研究零信任方法,这是提高网络弹性的最有效方法之一。采用“永不信任,始终验证”的方法可以帮助组织在入口点遏制攻击并限制 SCADA 系统的横向移动,”Dearing 补充道。
发表评论
您还未登录,请先登录。
登录