为什么制造业必须在2023年将零信任作为首要任务

尽管在外围安全上花费了数百万美元
，为什务但网络攻击者针对制造企业和加工厂的制造作攻击仍然达到了创纪录的水平。通过将“零信任”作为2023年的业必优先事项
，制造商可以缩小IT和OT(运营技术)缺口 ，须年信任以最大限度地减少攻击。将零

IBM的首任《2022年X-Force威胁情报报告》显示，在2021年前9个月，为什务攻击者对连网的制造作SCADA网络设备和传感器的侦察增加了2204%。预计到2023年
，业必OT网络攻击造成的须年信任全球经济损失将达到500亿美元 。香港云服务器到2026年，将零超过一半的首任网络攻击将针对零信任控制无法覆盖或无法缓解的领域。

今年早些时候 ，为什务美国网络安全和基础设施安全局(CISA)警告称 ，制造作高级持续威胁(APT)犯罪团伙的业必目标是许多最流行的工业控制系统(ICS)和SCADA设备。由于新的端点技术(包括物联网、工业物联网和用于提供实时数据的遥感设备)的快速增长，制造商的高防服务器漏洞正变得越来越广为人知。

ICS传感器的设计不是为了保护数据，而是为了简化数据捕获过程。这是在当今制造业中实现零信任网络架构(ZTNA)框架和策略的挑战之一 。

制造业是威胁增长最快的领域

在IBM X-Force威胁管理平台修复的所有攻击中，有23%源自制造业。根据该公司的分析，模板下载这使得制造业成为受攻击最严重的行业
，并在2021年首次取代金融服务业 ，位列威胁榜首。IT和OT间的缺口对于网络攻击极具吸引力 ，61%的入侵和泄露事件发生在基于OT的制造商身上。超过三分之二(36%)的针对制造商的攻击是通过勒索软件发起的。

令人担忧的是源码库，针对制造商和ICS设备的攻击潮流正在以非常快的速度增长 。例如
，卡巴斯基ICS CERT发现，仅在2022年上半年
，全球三分之一的ICS计算机就拦截过至少一次恶意对象 。在同一时期，ICS-CERT发布了560个常见漏洞和暴露(CVE) ，其中303个是在今年上半年引入的
。关键制造业是受影响最直接的服务器租用行业 ，报告了109个CVE。

经历一次网络攻击后，制造商的系统平均会瘫痪五天。其中，50%在三天内响应中断 ，仅有15%在一天或更短时间内响应 。BlastWave联合创始人兼首席执行官Tom Sego表示
，“制造业的生死取决于可用性。IT大概是三到五年的技术更新周期 ，而OT的更新周期更像是免费模板30年
。大多数人机界面(HMI)和其他系统运行的都是Windows或SCADA系统版本，这些系统不再受支持 ，无法打补丁，是黑客瘫痪制造业务的完美选项
。”

为什么在制造业中很难实现零信任

制造商正在迅速增加端点，暴露威胁面，并不断扩展“使用不受保护的第三方设备的”合作伙伴生态系统。基于边界的网络安全系统已被证实不够有效和灵活 ，无法跟上快速发展的威胁格局。再加上在ICS上实现ZTNA极具挑战性，因为ICS的设计更多的是为了效率、监控和报告
，而非安全，所以问题也就显而易见了。

在系统之间配置具有物理间隙的ICS(一种称为air gapping的技术)不再有效。事实证明，勒索软件攻击者可以利用USB驱动器的气隙 ，将系统之间暴露的物理间隙变成攻击载体。超过三分之一(37%)针对ICS的恶意软件攻击是通过USB设备进行的。勒索软件攻击者正在复制软件供应链攻击的技术
，用常见的合法文件名重新标记可执行文件。一旦进入ICS，攻击者就可以通过网络横向移动，获取特权访问凭证，窃取数据并试图获得对设施的控制权限。

另一个挑战是 ，许多传统传感器和端点——从可编程逻辑控制器(PLC)到基本的运动和温度传感器——都依赖于广泛的协议
，以至于许多传统设备无法分配IP地址。ICS所依赖的传感器更多地设计用于低延迟的持续实时数据传输
，而不是用于支持加密和安全。不出所料 ，86%的制造商对其ICS系统及其支持的生产流程几乎没有可见性 。

制造业的首席信息安全官(CISO)表示，他们的传统外围安全网络通常对web应用程序、浏览器会话和第三方硬件缺乏足够的保护 ，并且没有远程访问策略选项。开放的端口、配置错误的防火墙和不受管理的无线连接渗透在这些网络中。再加上缺乏对联邦身份和特权访问凭证的控制，很明显 ，在遗留制造环境中实现零信任是多么困难。

这些风险负债就是制造业必须在2023年将实施“ZTNA框架”和采取“零信任安全”态势作为高度优先事项的原因所在。

制造业的CISO应该从何入手

造成这种现状的部分原因在于，制造行业竞争激烈使得安全问题一直落后于其他优先事项。在2023年，这种情况必须改变，安全必须成为业务的推动者。

BlastWave公司的CISO Tom Sego表示，“接受零信任的公司将获得竞争优势 ，并实现远程能力
，从而提高全球供应链的效率。那些拒绝与时俱进，心存侥幸的公司将会不可避免地陷入网络攻击，从而造成一场本可以避免的生存危机 。一小步的预防抵得上一大步的检测和补救 。”

随着制造商提高运营速度，他们需要使用零信任来保护web应用程序 。微分段(Microsegmentation)需要超越将整个生产设施定义为单个可信区域的狭隘概念 。最重要的是 ，ZTNA框架需要基于考虑多云配置的可靠业务案例。

以下领域是一个实用的ZTNA框架的核心 ，制造商可以根据其独特的业务和操作需求进行调整。

正确实现零信任需要从公司范围内的每个浏览器会话开始

由于劳动力、政治和成本的不确定性 ，制造商有时需要急于将生产转移回国内。Web应用程序和浏览器会话是实现这一目标的关键。远程浏览器隔离(Remote browser isolation ，RBI)是必须的，因为这些回迁转移发生得非常快
。目标是使用零信任来保护每个web应用程序和浏览器会话免受入侵和破坏。

制造商正在评估和采用RBI，因为它不会迫使他们对技术堆栈进行彻底检查 。RBI对浏览采取零信任安全方法 。领先的RBI提供商包括Broadcom、Forcepoint、Ericom 、Iboss 、Lookout 、NetSkope
、Palo Alto Networks和Zscaler  。

RBI还被用于保护Office 365和Salesforce等应用程序及其包含的数据不受潜在恶意非托管设备(如承包商或合作伙伴使用的设备)的影响 。

Ericom是该领域的领导者
，其在保护每个端点免受高级web威胁的同时，保持本机浏览器性能和用户体验的方法证明了这一点。Ericom的解决方案对于面临生产回迁的艰巨挑战的制造商来说是理想的 ，因为它甚至可以保护Zoom和Microsoft Teams等虚拟会议环境中的用户和数据。

多因素身份验证(MFA)是入场筹码，是完整ZTNA框架的一部分

CISO表示，MFA是入场筹码 ，企业可以利用它为未来的预算建立强有力的支持
。在最近一次题为《展望未来：John Kindervag对2023年零信任的展望》的文章中，零信任创造者John Kindervag在评论MFA时称，“我们太过依赖MFA了 ，我们过去称它是‘双因素身份认证(2FA)’，现在数字2换成字母M后 ，它似乎突然变得新奇而迷人了，但它本质都是一样的。而且，确实，它是一个强大的工具，有助于我们获取胜利。但与此同时 ，如果我们只依赖这一点 ，那将是一个问题 。”

MFA的部署速度需要与其作为ZTNA总体框架的一部分的有效性相平衡。Forrester高级分析师Andrew Hewitt表示，保护端点的最佳起点是“始终围绕着执行多因素身份验证 。这对于确保企业数据的安全大有帮助。”

为什么制造商也需要微分段

微分割的目的是隔离和孤立特定的网络段，以减少攻击面数量和限制横向移动。它是NIST SP 800-27零信任框架定义的零信任的核心要素之一 。

制造商正在使用微分段来保护他们最具价值的资产和网络部分 。他们还使用微分段使承包商
、第三方服务和供应链供应商能够访问他们的网络 。在ZTNA采用方面最先进的制造商最终将使用微分段来取代传统的软件定义网络(SDN)架构。

该领域的主要供应商包括Akamai、Airgap Networks、Aqua Security
、Cisco 、ColorTokens 、Illumio、Palo Alto Networks
、TrueFort
、vArmour 、VMware和Zscaler。

端点在ZTNA框架中不可或缺

端点是在制造业中实现ZTNA框架最具挑战性的领域 ，也是最重要的领域 。端点是制造业务每笔交易的管道，它们经常不受保护。基于云的端点保护平台(EPP)是追求ZTNA框架和策略的制造商的理想选择，因为它们可以更快地部署，并且可以根据制造业务的独特需求实现个性化定制 。

自修复端点(Self-healing endpoint)在制造业中至关重要 ，因为IT人员经常会面临人手不足的情况。根据定义
，自修复端点将关闭自身 ，重新检查所有操作系统和应用程序版本
，包括补丁更新，并将自身重置为优化的安全配置。所有这些活动都在没有人为干预的情况下进行
。Absolute Software 、Akamai 、CrowdStrike 
、Ivanti、McAfee
、Microsoft 365
、Qualys、SentinelOne 、Tanium 、趋势科技和Webroot都提供自修复端点服务
。

Forrester的报告《端点管理的未来》为自修复端点的未来提供了有用的指导和愿景 。其作者Andrew Hewitt写道 ，要想最有效地自我修复 ，它需要在多个层面上进行 ，从应用程序开始，然后是操作系统，最后是固件 。Forrester的报告指出，嵌入在固件中的自修复将被证明是最重要的，因为它将确保在端点上运行的所有软件 ，甚至是在操作系统级别上进行自我修复的代理 
，都可以有效地运行而不会中断 。

Hewitt介绍称，“固件级别的自修复在许多方面都有帮助 。首先
，它确保固件中的任何损坏都能自行修复 。其次，它还确保在设备上运行的代理能够修复。例如
，假设在端点上运行一个端点安全代理 ，该代理以某种方式崩溃或损坏。在这种情况下，固件级别的自修复可以帮助其快速修复并重新正常运行。”

每个身份(无论是人还是机器)都是一道新的安全防线

将每个机器和人的身份视为新的安全边界 ，是创建基于零信任的强大安全态势的核心
。保护身份与制造商通过MFA获得的早期胜利一样值得重视
。

CISO表示，随着他们在企业中采取更强有力的零信任态势 ，他们也在寻求巩固这种态势的技术堆栈 。他们中的许多人追求的目标是找到一个以身份和访问管理(IAM)为核心的基于云的网络安全平台。事实证明，这是一个很好的决定 ，因为CIO警告称 ，尽早获得IAM有助于快速加强安全态势。

提供集成平台的领先网络安全提供商包括Akamai
、Fortinet、Ericom 、Ivanti和Palo Alto Networks。

从长远考虑在制造业中实现零信任

在制造业中实现零信任并非一蹴而就的事情 。它的重点在于持续加强整个企业的安全态势。制造商的运营越分散，就越需要使用API的高级集成和技能。

对于被攻击者盯上的制造商来说，已经没有时间可以浪费了 。IT和OT系统中的缺口和开放端口很容易被扫描制造商网络的攻击者识别出来。对于许多制造商来说，远程访问服务根本没有安全措施。所以，想要保护生产中心、公用事业和它们所依赖的基础设施 ，还有很多工作要做 。

实现ZTNA框架并不需要花费很多钱 ，也不需要一组完整的工作人员 。Gartner的《2022年零信任网络接入市场指南》提供了很有价值的参考
，可以帮助定义任何ZTNA框架。

随着每个身份都有一个新的安全边界 ，制造商必须在2023年优先考虑零信任网络架构。