Loading
《AUTOMATION TODAY季刊》第82期 | 精選文章

根據NIST最佳實務在製造業中實施網路安全

在技術驅動的世界保護IT和OT系統的實用指南。
立即訂閱

分享:

LinkedInLinkedIn
XX
FacebookFacebook
PrintPrint
EmailEmail
Tailor-cybersecurity-to-OT-environments
第 82 期
  • 精選文章
  • 管理層觀點
    • 風險管理
    • 風險管理
    • 關鍵基礎建設
    • 關鍵基礎建設
    • 半導體產業
    • 半導體產業
    • Church & Dwight
    • Church & Dwight
  • 最新消息與新知

貴組織有多重視業務策略中的網路安全?

第9版《智慧製造現況報告》顯示,網路安全在企業成長障礙中排名第三,首次躋身前五。從此結果來看,企業明顯需要改善IT和OT系統的網路安全整合作業。製造商也已經將技術投資增加30%,以應對網路犯罪的風險,其中優先考慮的是提高人員技能並雇用熟練的員工。

此外,2024年Fortinet《營運技術和網路安全狀況報告》指出,有73%的OT專業人員的OT系統遭受某種形式的入侵。與前一年的49%相比明顯增長。所有跡象都表明,網路安全意識和行動的需求勢必會增加,以降低網路攻擊的風險。

 

透過NIST網路安全框架解決網路安全問題

為了因應這些挑戰,美國國家標準暨技術研究院(NIST)開發網路安全框架,針對管理網路安全風險提出結構化的方法。NIST於2014年首次推出該安全框架來支援關鍵基礎設施,今年發佈第2.0版,目標是擴大用例,適用於各組織。

NIST Cybersecurity Framework

Credit: N. Hanacek/NIST

NIST框架有六個部分——辨識、保護、偵測、治理、回應和復原。NIST表示,前四點都應該持續執行,剩下的兩點回應和恢復—則為預備方案,在網路安全事件發生時實施。

這些基本措施指引企業朝著正確的方向發展,並為他們解決網路安全威脅的任務提供一個起點。

隨著產業和威脅情勢快速發展,NIST框架導入一些實務方法,根據製造商的風險偏好簡化網路安全旅程。
Loading

以NIST框架建立網路安全第一的心態

重視網路安全的組織文化不會在一夜之間形成。然而,只要有正確的心態和指導,便能夠加以實現。以下是參考NIST框架的入門指南。

Open All
Close All
● 評估與規劃
Chevron DownChevron Down

盤點貴組織所擁有的資產和風險。對IT和OT資產進行完整盤點,包括資料、硬體、軟體、系統、設施、服務,甚至涉及的人員,以及供應商和來自外部之任何相關風險。然後評估並找出其中每一個潛在的網路安全風險和漏洞。

接下來進行落差分析。將貴組織目前的網路安全措施與NIST網路安全框架核心(CFC)進行比較,找出落差所在,並制定彌合這些落差需要採取的步驟。組織應設法改進政策、計畫、流程、程序和實務工作,同時牢記NIST CFC框架下的其他職能。

● 治理與政策
Chevron DownChevron Down

建立清晰的治理結構。明確定義角色和職責,包括建立網路安全治理團隊。將網路安全納入組織更全面的企業風險管理(ERM)策略時,治理至關重要,因為這是讓整個組織在制定和執行網路安全策略時保持一致的真相來源。

制定政策:透過治理討論,制定與NIST CSF一致的網路安全政策和程序,並確保能夠在整個組織中執行。有了明確的角色和責任,執行政策應該是一個無縫的過程。

● 技術與工具
Chevron DownChevron Down

在評估需求並制定適當的政策和程序後,即可部署適當的安全解決方案。實施外圍控制、網路型解決方案和端點保護。

整合為工業控制系統(ICS)和OT安全所建立的監控工具。這樣即可及時對威脅進行偵測和回應。

● 訓練與意識
Chevron DownChevron Down

每個組織最好的資產就是員工。定期舉辦網路安全訓練課程,讓員工了解最新的網路威脅,教授他們知識,讓他們知道漏洞發生時該如何應對。

網路安全是一個在黑暗中不斷發展的領域,因此必須持續宣傳網路安全的重要性。.

● 事件回應與復原
Chevron DownChevron Down

每個組織都應該安排一個安全營運中心(SOC)和網路安全事件回應小組(CSIRT),全天候做好準備以因應潛在的網路安全事件。

針對OT制定回應計畫。制定清晰的事件回應計畫和需要採取的行動。確保實施復原計畫以儘快恢復營運。

● 持續改善
Chevron DownChevron Down

必須定期稽核和評估合規性,以找出需改進的部分。不斷更新網路安全措施以超越新的威脅和技術也非常重要。

為製造商提供端到端的網路安全支援

新技術也讓網路安全風險不斷擴大,因此管理這些風險必須是一個持續的過程。無論組織位於網路安全之旅的哪一個階段,總會有改進的空間。

洛克威爾自動化可以幫助製造商與NIST CSF保持一致,並整合正確的專業知識、技術和工具來實現合規性。使用NIST框架保護OT網路還可以更快因應未來的法規,如歐盟資安韌性法與機械法(EU) 2023/1230。

洛克威爾自動化的工業網路安全服務:

  1. 全方位的策略
    針對企業IT和OT環境,我們為各類環境提供更安全、更有韌性的產品、服務和解決方案。
  2. 治理與結構
    網路安全風險是我們整體企業風險管理計畫的一部分,由資訊長(CIO)和資安長(CISO)等安全負責人主導,並由董事會監督。
  3. 深度防禦
    所有外圍控制、網路型控制和端點保護都是結合人類的專業和機器的智慧來進行管理,因此任何措施都需經過審查。
  4. 事件回應
    由全天候的SOC負責監控和偵測事件,資安事件應變小組則負責根據嚴重程度處理事件。該專業團隊將立即優先處理某些事件,並根據任何特定事件的性質、程度和影響與客戶密切合作。
  5. 員工訓練
    我們定期實施安全訓練和網路釣魚評估,確保員工不僅了解網路安全的最佳實務,而且能夠擔任組織的「人工防火牆」。

最終每個組織的安全都要看準備的程度。企業若遵守知名的合規標準,並與擁有適當專業的合作夥伴合作,即可始終擁有最佳解決方案,讓他們免受可能嚴重影響企業利潤的高昂網路攻擊,讓營運無後顧之憂。

改善組織的網路安全實務永遠不嫌太早或太晚!由此開始。

訂閱Rockwell Automation

訂閱Rockwell Automation,並直接於收件匣接收最新的新聞與資訊。

立即訂閱
為您推薦
Loading
  1. Chevron LeftChevron Left Rockwell Automation 首頁 Chevron RightChevron Right
  2. Chevron LeftChevron Left 公司 Chevron RightChevron Right
  3. Chevron LeftChevron Left 最新消息 Chevron RightChevron Right
  4. Chevron LeftChevron Left 根據NIST最佳實務在製造業中實施網路安全 Chevron RightChevron Right
請更新您的 cookie 設定以繼續.
此功能需要 cookie 來改善您的體驗。請更新您的設定以允許這些 cookie:
  • 社群媒體Cookie
  • 功能Cookie
  • 性能Cookie
  • 行銷Cookie
  • 全部Cookie
您可以隨時更新您的設定。想了解更多訊息,請參閱我們的 {0} 隱私政策
CloseClose