Während kommerzielle Unternehmen die von den Internet of Things (IoT) gebotenen Möglichkeiten nutzen, ist die Digitalisierung auch für industrielle Unternehmen zur Notwendigkeit geworden und schafft somit eine Nachfrage nach dem Industrial Internet of Things (IIoT). In den letzten Jahren werden digitale Technologien tief in die industriellen Steuerungssysteme integriert. Die Netzwerke der industriellen Steuerungssysteme waren physisch isoliert und nahezu immun gegen Cyberangriffe. Allerdings hat sich die Komplexität von Cyberangriffen kürzlich weiterentwickelt, und nun müssen IT- und OT (CAM)-Spezialisten Lösungen integrieren, die das Niveau der industriellen Cybersicherheit erhöhen. Daher wird das Verständnis der Anforderungen an die industrielle Cybersicherheit Unternehmen dabei helfen, die Risiken von Cyberangriffen zu verringern.
Lesen Sie weiter, um mehr zu erfahren.
Es gibt zwei Standpunkte darüber, wie das Unternehmensnetzwerk organisiert sein sollte. In der Regel verstehen die OT-Ingenieure die Funktionsweise industrieller Protokolle ziemlich gut, jedoch fehlt ihnen das Wissen über Informationssicherheit. Im Gegensatz dazu besitzen die IT-Spezialisten die erforderliche Kompetenz, befassen sich jedoch nicht mit OT-Netzwerken, da sie nicht wissen, wie sie funktionieren.
Im Umgang mit dem Problem und der Erfüllung der Anforderungen der Nutzer hat MOXA begonnen, die Cybersecurity-Linie zu entwickeln, indem zusätzliche Funktionen aktiv integriert und neue Geräte veröffentlicht werden, die den industriellen Sicherheitsanforderungen entsprechen.
Unterschiede zwischen OT und IT
IT
OT
[Expertise]
— Kommunikation mit OT-Anbietern, wenig Kenntnisse in industrieller Sicherheit
— Kommunikation mit IT-Anbietern, Fachwissen in industrieller Sicherheit
[Position]
— ACS ist geschützt
— Industrielle Sicherheit liegt in der Verantwortung der IT-Abteilung
— Die IT-Abteilung kann die Arbeit von ACS stören, lassen Sie sie von unseren Systemen fern
— Windows und Linux sind die grundlegenden Betriebssysteme in ACS
— ACS bleibt unverändert
— PLC darf nicht berührt werden, da es beschädigt werden könnte
[Starke/
schwache Punkte]
- Großangelegte Systeme und Netzwerke
+ Industrielle Geräte
+ Industrielle Protokolle
+ Großangelegte Systeme und Netzwerke
- Industrielle Geräte
- Industrielle Protokolle
Alle Cybersecurity-Lösungen von MOXA können in drei große Gruppen unterteilt werden:
Gerätesicherheitslösungen
Um das Niveau der Gerätesicherheit zu erhöhen, hat MOXA eine Reihe von Funktionen veröffentlicht, die die Cybersicherheit auf der Grundlage der Anforderungen der internationalen IEC 62443-Norm erhöhen. Das vollständige Set an Sicherheitsfunktionen wurde in vielen Geräten implementiert, einschließlich industrieller Router, rackmontierte verwaltete Switches, rackmontierte unmanaged Switches, Switches der EDS-500E-Serie, ausgewählte NPort-Modelle von seriellen Schnittstellenservern und Protokoll-Gateways.
Verhinderung von Eindringlingen und Angriffen
Um Eindringlinge und Angriffe zu verhindern, ist es wichtig, über einen guten Zugangskontrollmechanismus zu verfügen, der Benutzer identifizieren, authentifizieren und autorisieren kann. Die Netzwerkgeräte von Moxa unterstützen Funktionen zur Verwaltung von Benutzerkonten, Passwort-Richtlinien und Authentifizierungsschnittstellen, die den technischen Sicherheitsanforderungen der IEC 62443-Norm entsprechen.
- Betreiber können diese Funktionen nutzen, um Benutzerkonten zu erstellen und Rollen zuzuweisen, Zugriffsrechte und Zugangskontrollrechte für Geräte innerhalb von Netzwerken zu gewähren.
- Authentifizierung mittels IEEE 802.1x, RADIUS, TACACS+ Protokollen und Unterstützung von MAB (MAC Address Bypass) für Geräte, die IEEE 802.1x nicht unterstützen.
- Portsicherheit wird durch die Funktion Static Lock oder deren aktualisierte Version MAC-address Sticky bereitgestellt, die das automatische Lernen der MAC-Adresse des verbundenen Geräts ohne manuelle Eingabe ermöglicht. ACL (Access Control List) sorgt für Netzwerksicherheit, indem der Zugriff auf Geräte kontrolliert wird.
- Schutz vor DoS-Angriffen ist möglich, indem unverschlüsselte und nicht verwendete Schnittstellen (zum Beispiel HTTP und Telnet) deaktiviert und die maximale Anzahl von Anmeldebenutzern begrenzt wird, um eine Überlastung des Geräts mit überflüssigen Anfragen zu verhindern.
Schutz vertraulicher Daten
Moxa-Geräte unterstützen die erweiterten Funktionen der HTTPS/SSH-Protokolle, die eine sichere Datenübertragung über unsichere Netzwerke ermöglichen. Um Daten vor Diebstahl oder Korruption zu schützen, bietet Moxa Funktionen wie die Verschlüsselung von SNMP-Passwörtern und die Verschlüsselung von Netzwerkkonfigurationen, die den höchsten Schutzgrad für Netzwerkgeräte gewährleisten.
NPort 6000 sichere Schnittstellenkonverter verwenden SSL für die sichere Datenübertragung in den Modi Secure TCP Server, Secure TCP Client, Secure Pair Connection und Secure Real COM. Die NPort-Treiber entsprechen den SSL-Standards und verhandeln automatisch den Verschlüsselungsschlüssel. Um Hackerangriffe zu verhindern, wechselt der NPort automatisch von DES/3DES zu AES-Verschlüsselung für hochgeschützte Datenübertragungen.
Verfolgung von Netzwerkereignissen
Der Schutz vor Cyberangriffen endet nicht nur mit den Geräteeinstellungen. Sie sollten ständig den Netzwerkstatus überwachen und Netzwerkereignisse auf potenzielle Bedrohungen überprüfen. Obwohl es ziemlich schwierig ist, einen Verstoß in Echtzeit zu erkennen, können Sicherheitsereignisprotokolle Ihnen dabei helfen, die Quelle des Problems zu finden. Informationen aus diesen Datenprotokollen können genutzt werden, um die Netzwerkaktivität zu verfolgen, potenzielle Bedrohungen zu analysieren oder Geräte zu identifizieren, die falsch konfiguriert sind und später verwendet werden können, um den Benutzerzugriff zu trennen, Benutzerkonten zu löschen oder das Gerät neu zu starten.
MOXA-Lösungen
Netzwerksicherheitslösungen
Netzwerke industrieller Steuerungssysteme waren früher vollständig von einem Firmennetzwerk und dem Internetnetzwerk isoliert. Trotz der Tatsache, dass immer mehr Geräte mit industriellen Netzwerken verbunden werden, verstehen die meisten OT-Betreiber die Notwendigkeit von Cybersicherheit nicht. Aufgrund der Anzahl von Cyberangriffen, die auf den äußerst wichtigen Industriesektor abzielen, ist klar, dass die Prozesssteuerungsnetzwerke einem hohen Angriffsrisiko ausgesetzt sind.
Netzwerksegmentierung für Zonen und Bereiche
Sichere Netzwerkarchitektur erfordert, dass das ACS-Netzwerk in geschützte und isolierte Zonen und Bereiche segmentiert wird. Die Kommunikation zwischen jeder Zone und jedem Bereich wird durch Firewalls gesichert, was zusätzlich die Möglichkeit verringert, dass ein Netzwerk zum Opfer von Cyberangriffen wird.
Sichere industrielle Netzwerkrouter der EDR-Serie bieten Schutz für Zonen und Bereiche mittels einer Firewall (Transparent Firewall), die Steuerungsnetzwerke und kritische Geräte wie PLC und RTU vor unbefugtem Zugriff schützt. Dank dieser Lösung ist eine Neukonfiguration der Netzwerkeinstellungen nicht erforderlich, was die Bereitstellung schneller und einfacher macht. Die EDR-810-Serie unterstützt die Turbo Ring-Redundanztechnologie, die die Netzwerksegmentierung flexibler und wirtschaftlich effizienter macht. Darüber hinaus können Ethernet-Switches von Moxa virtuelle Subnetze (VLAN) erstellen, um jeden Bereich in kleinere Netzwerke zu unterteilen, die den Datenverkehr von anderen VLANs isolieren.
Die Aufteilung eines Netzwerks in Subnetze erhöht das Sicherheitsniveau.
Kontrolle des zwischen Zonen übertragenen Verkehrs
Verkehr, der zwischen Zonen innerhalb industrieller Netzwerke fließt, muss gründlich untersucht werden, um die Sicherheit zu erhöhen. Es gibt mehrere Möglichkeiten, dies zu tun. Eine der Methoden ist der Datenaustausch über eine DMZ, wobei ein Datenserver zwischen dem sicheren ICS-Netzwerk und unsicheren Netzwerken ohne direkte Verbindung installiert wird. Die EDR-G903-Serie von Moxa kann durch die Anwendung von Firewall-Benutzerrichtlinien eine sichere Verkehrssteuerung gewährleisten. Die zweite Methode beinhaltet, dass EDR-Router eine tiefgehende Überprüfung von Modbus TCP-Paketen (PacketGuard-Technologie) durchführen, um Aktionen zu kontrollieren und die Verkehrssteuerung zu verbessern. Diese Methode vereinfacht Verwaltungsaufgaben und kann vor unerwünschtem Verkehr schützen, der von einem Netzwerk zum anderen fließt. Zusätzlich zur Firewall ist es möglich, eine Zugangskontrollliste zu verwenden, um eingehende Pakete am Switch nach der IP-Adresse zu filtern, wodurch Netzwerkadministratoren Netzwerke durch Kontrolle des Zugriffs auf Geräte oder Teile des Netzwerks sichern können.
Definieren Sie, welcher Verkehr zwischen den Netzwerkzonen passieren darf.
Sicherer Fernzugriff auf das Unternehmensnetzwerk
Heute stehen zwei Lösungen für sicheren Fernzugriff zur Verfügung. Für eine dauerhafte Verbindung werden standardmäßige VPN-Tunnel empfohlen. Die EDR-Serie von Moxa kann IPsec, L2TP über IPsec oder OpenVPN nutzen, um verschlüsselte IPsec-VPN-Tunnel oder OpenVPN-Clients zu konfigurieren. Diese Methoden schützen Daten vor Änderungen während der Übertragung und bieten sicheren Fernzugriff zwischen industriellen Netzwerken und entfernten Anwendungen. Alternativ, wenn der Fernzugriff nur auf Abruf für bestimmte Computer oder sensible Bereiche verfügbar sein muss, ist eine Management-Plattform für alle Fernverbindungen erforderlich.
Fernzugriff auf das Unternehmensnetzwerk.
MOXA-Lösungen
Komfortables sicheres Netzwerkmanagement
Die Geräte verfügen über Schutzfunktionen, aber wie kann sichergestellt werden, dass sie korrekt eingerichtet sind?
MXview Netzwerkmanagementsystem stellt eine integrierte Managementplattform dar, die Netzwerkgeräte verwalten und den Netzwerkzustand direkt über einen Webbrowser sowohl lokal als auch remote überwachen kann. Darüber hinaus hilft die Funktion Security View den Benutzern, den Sicherheitsstatus der Netzwerkgeräte zu visualisieren. Durch die Nutzung von Security View können Netzwerkadministratoren das Sicherheitsniveau eines Geräts einsehen und die Sicherheitsparameter wie den Status der Passwort-Richtlinie in Echtzeit für jedes Netzwerkgerät überprüfen. Benutzer können integrierte Profile anwenden, die den technischen Sicherheitsanforderungen der IEC 62443-Norm entsprechen. Security View bietet auch Sicherheitsexperten die Möglichkeit, Profile zu erstellen. Netzwerkadministratoren können leicht einen vollständigen Überblick über das Sicherheitsniveau des Netzwerks erhalten und schnell auf jede in ihren Netzwerken entdeckte Schwachstelle reagieren.
Sparen Sie Zeit bei der Sicherheitsverwaltung mit MXconfig
Es gibt mehrere Sicherheitseinstellungen für jedes Netzwerkgerät, die überprüft und aktiviert werden sollten, um den technischen Standardanforderungen der IEC 62443 zu entsprechen. Ohne solche Werkzeuge wie MXview und MXconfig müssen Netzwerkadministratoren Netzwerkgeräte manuell einzeln überprüfen, um die Parameter einzustellen, was viel Zeit erfordert und die Fehlerrate erhöht. Der MXconfig-Sicherheitsassistent reduziert die Einrichtungszeit erheblich, dank der gleichzeitigen Einstellung einer großen Anzahl von Geräten, und hilft bei der separaten Konfiguration jedes Geräts.
Anwendungsbeispiele
Mit über 30 Jahren Erfahrung im Bereich industrieller Netzwerke nutzt Moxa sein Know-how, um Kunden beim Aufbau sicherer Netzwerke zu unterstützen, indem Schutz für PLCs, SCADA-Systeme, Fabriknetzwerke und Fernzugriff angeboten wird. Laden Sie die Fallstudien herunter, um mehr zu erfahren.
Schutz von PLC und SCADA
Kunde: Dienstleistungsunternehmen im Öl- und Gassektor
Aufgabe
Hochkapazitäte Öl- und Gaspipelines erstrecken sich oft über tausende Kilometer. Die Pumpstationen entlang der Pipeline sind mit Analysegeräten und PLCs ausgestattet. Der Kunde fand es kompliziert, eine sichere und stabile Netzwerkverbindung zwischen den Stationen und dem entfernten SCADA-System aufrechtzuerhalten, da die PLCs und I/O-Geräte keine Sicherheitsfunktionen aufwiesen.
Schutz von Fabriknetzwerken
Kunde: Automobilzulieferwerk
Aufgabe
Der Leiter eines Automobilzulieferwerks plante, alle Produktionsprozesse zu digitalisieren. Die Feldgeräte arbeiten mit dem EtherNet/IP-Protokoll zur Steuerungsvereinheitlichung und Datenerfassung. Da in diesem Werk eine großangelegte Netzwerkinfrastruktur vorhanden ist, ist es für den Werkleiter sehr kompliziert, alle Geräte zu überwachen und die Netzwerktopologie zu visualisieren. Darüber hinaus müssen alle Netzwerke zur Durchführung der Digitalisierung von der Feldstelle bis zum ERP und in die Cloud miteinander verbunden werden. Es ist entscheidend, geeignete Cybersicherheitsmaßnahmen zu ergreifen, um den Digitalisierungsprozess ohne Beeinträchtigung der Produktionseffizienz zu ermöglichen.
Schutz des Fernzugriffs
Kunde: Hersteller von CNC-Maschinen
Aufgabe
Die maximale netzwerkfreie Zeit erhöht die Produktivität des Werks. Ein führender Hersteller von mechanischen Kraftpressen sollte einen schnellen und effizienteren Kundendienst bereitstellen, um die Maschinenleistung zu verbessern und effektive Fehlerbehebungen zu gewährleisten. Zunächst wandte der Hersteller die Windows-basierte Remote Desktop Control (RDC)-Technologie an, doch in diesem Fall traten Sicherheitsrisiken und zusätzliche Kosten auf. Darüber hinaus ist ein Windows-basierter Computer selbst Sicherheitsrisiken ausgesetzt, und die Möglichkeit von Angriffen steigt, wenn der Computer mit dem Internet verbunden wird.
Warum MOXA
Tiefgreifender Ansatz zur Sicherheit
Das Produktportfolio von Moxa basiert auf dem tiefgreifenden Verteidigungsprinzip, das sichere Geräte, sichere Netzwerkinfrastrukturen und Sicherheitsmanagement umfasst.
Kontinuierliche Verbesserung der Sicherheit
Moxa verfolgt einen proaktiven Ansatz, um unsere Produkte vor Schwachstellen zu schützen und unseren Kunden zu helfen, Sicherheitsrisiken besser zu managen.
Entwicklung von Sicherheitssystemen für IT und OT
Moxa hat eine Partnerschaftsvereinbarung mit Trend Micro abgeschlossen, um den wachsenden Sicherheitsanforderungen sowie den Sicherheitsanforderungen von IT-Personal gerecht zu werden.
