制造商通常是最容易遭受勒索软件攻击、身份和数据盗窃的对象。由于客户订单和交货的不确定性,他们难以承受生产线的中断。因此,网络攻击者知道,如果他们能够破坏制造商的运营,就可以迫使制造商支付高额赎金。
Pella公司实现零信任的方法为寻求实现网络安全现代化的制造商提供了务实、有用的路线图,该公司是一家行业领先的住宅和商业门窗制造商,自从1925年成立以来一直在持续运营。
行业媒体最近采访了Pella公司的网络安全和合规性高级经理John Baldwin,他描述了Pella公司采用零信任战略的进展,从改善5200个端点和800个服务器的企业范围的安全性开始,并微调其治理框架。Pella公司使用CrowdStrike Falcon完整管理的检测和响应和Falcon身份威胁保护来实现端点安全,以降低基于身份的网络攻击风险,该系统保护着Pella公司的1万名员工、18个制造地点和众多展厅。
Baldwin表示,“该公司实现零信任的方法包括心态,以及一系列重叠的控制。CrowdStrike公司不会是零信任部署的唯一参与者,但他们当然是其中的关键部分。必须从端点可见性和保护那里开始,然后将治理框架构建到下一层,将其嵌入到标识中,确保所有敏捷DevOps都成为敏捷DevSecOps。”
制造业的生死取决于可用性
制造商是网络攻击者的主要目标,因为他们的业务对时间最敏感,而且他们的IT基础设施通常最不安全。Baldwin说,“像大多数制制造商一样,我们对业务中断非常敏感,所以这是我们特别关注的一个领域。我们希望确保随着订单的流入,产品能尽快流出,这样我们就能满足客户的需求,这是一个挑战。我们已经看到制造业和美国中西部地区的许多其他公司力求避免网络攻击,这是因为制造商或服务提供商对勒索软件攻击等事情非常敏感。”
IBM公司在发布的《2023年X-Force威胁情报指数》调查报告中指出,制造业仍然是受到网络攻击最多的行业,而且受到的网络攻击日益增长。该报告发现,在2022年,28%的网络攻击事件中部署了后门。在X-Force修复的事件中,有23%是勒索软件攻击。在32%的案例中,数据勒索是对制造业企业的主要影响。数据盗窃是第二常见的事件,占网络安全事件的19%,其次是数据泄露,占16%。
Pella公司的Baldwin表示,制造业的威胁格局已经从机会主义勒索软件攻击转变为有组织的犯罪分子的攻击。他说:“问题不在于他们会不会进行网络攻击,而在于什么时候攻击,以及Pella公司能做些什么。否则,Pella公司的业务可能会中断几天的时间,这样的代价非常高昂,更不用说对我们的客户和业务合作伙伴造成的延误和信誉损失。”
在遭受网络攻击之后,制造商的系统平均会瘫痪5天,这些公司中有一半报告称,他们会在三天内对中断做出反应,只有15%的企业表示将会在一天或更短时间内做出回应。
BlastWave公司的首席执行官TomSego最近在接受行业媒体采访时表示:“制造业的生死取决于可用性。IT行业以三到五年的技术更新周期为中心,OT行业则是30年。大多数人机界面和其他系统运行的是Windows或SCADA系统的版本,这些系统不再受支持,无法打补丁,这是黑客破坏制造业务的理想阵地。”
Pella公司的零信任实用主义观点
从规划和实施以扎实治理为基础的零信任框架中吸取的经验和教训,是Pella公司在网络安全方面不断取得成就的基础。该公司正在展示零信任如何为保持IT、网络安全和治理、风险和合规同步提供所需的安全护栏。最重要的是,Pella公司正在使用基于零信任的自动化工作流保护每个身份和网络威胁面,从而释放了该公司多个团队的宝贵时间。Baldwin说,“我认为零信任是有效的,没有人需要花很多时间来验证它,因为它是自动的。从我的角度来看,零信任方法的主要吸引力在于,如果可以实现标准化,那么就能实现自动化。这样就可以让事情变得更有效率,降低成本,最重要的是,更容易审计。”
他继续说,“在以前,我们有很多人工流程,取得了很好的结果,但花费了很多时间进行验证。从大局来看,这并没有什么价值。现在可以让我的团队和其他技术资源专注于项目运营,而不仅仅是确保能够正常工作,我想大多数人在这方面都和我一样,这样更有回报。”
在身份和访问管理方面加倍努力
Baldwin说,“身份贯穿于零信任基础设施和零信任运营中,因为我需要知道谁在做什么。并提出‘这种行为正常吗?’的问题,所以,身份的可见性是关键。”
他说,“下一件需要做的事情是获得特权帐户访问凭据和帐户安全。特权帐户管理是其中的一部分,但可以这么说,身份可能在层次结构中更高。锁定身份并具有这种可见性,特别是使用CrowdStrike Falcon身份保护,这是我们最大的胜利之一。如果不太了解环境中都有哪些人员,那么就很难诊断问题。”
他总结说:“将确保帐户安全并提高知名度这两者结合在一起将改变游戏规则。”
全力以赴,尽早以最低权限访问
Baldwin说:“Pella公司长期以来一直实行一种我们称之为‘最低特权’的方法。这使我们能够隔离那些积累了一些额外特权并引起更多问题的领域。我们开始收回那些特权,这些问题也随之消失。所以这非常有帮助。另一件让我非常高兴的事情是,它让我们更好地了解哪些领域的设备在哪里退出。”
在任何零信任路线图中尽早建立端点可见性和控制是构建支持先进技术(包括网络和身份细分)的坚实基础。Pella公司意识到做好这件事有多重要,决定委托给由CrowkdStrke及其Falcon Complete Service运营的全天候安全运营中心。
他说,“我们对此非常满意。我是身份保护服务的早期使用者之一。当我们从CrowdStrike购买它时,它的名称为Preempt。这真是太棒了。因为我们可以看到和理解什么是基于身份的正常行为。如果一个用户在日常的基础上登录这三个相同的设备,那么不用特别关注;但如果用户突然开始试图登录到活动目录域控制器,我们需要知道这一点,也许可以阻止。”
了解零信任成功是什么样子
Pella公司实现零信任的方法集中在实用的见解上,它可以用来预测并在任何类型的网络攻击开始之前消除它。很多制造商都表示,随着他们的制造业务转向支持更多的回流和近岸生产,他们需要获得帮助以应用不断增加的端点和身份验证。他们还表示,基于边界的网络安全系统已被证明难以满足安全方面的需求。
Pella公司正在通过采取“身份优先”的方法来克服这些挑战,实现零信任。该公司已经将陈旧和过度特权的帐户减少了75%,显著地降低了企业的攻击面。它还将事件解决时间从几天缩短到30分钟,并减少了雇佣6名员工来运营全天候安全运营中心的需求,因为CrowdStrike公司正在为他们进行管理。
Pella公司的建议:将零信任视为TSA对基于身份的访问的预检查
Baldwin表示,他最喜欢用寓言来解释零信任。他最喜欢的一句话是:“当人们问我,‘零信任是什么意思的时候,我说,‘每次你进入机场,你就会体验到零信任。’你必须事先提供身份信息。他们必须了解你的目的地,你乘坐什么航班,并且不能携带不符合规定的物品,然后要通过安全检查。如果行为不端,那么他们就会介入。”
他接着说,“所以当人们说,‘哦,这就是零信任’时,我就会想,‘是的,我正在努力打造这种机场安检一样的体验,也许会有更好的氛围和更好的用户体验’。最后,如果能够遵循所有这些规则,那么在开发、测试、质量保证、部署、生产等这些环节中让人们使用它应该没有问题。我们会说,如果你是安全从业者,在你的领域很出色,也许你可以报名参加TSA的预检,你可以获得快速通行证。”
Pella公司的零信任愿景是为全球每个系统用户提供预检,并且不降低生产速度,而是以保持生产和履行客户订单所需的规模和速度提供基于身份的安全。