最近發生的網絡安全事件表明，在威脅面前，過程控制行業在維護防御級別方面具有較低的容錯能力。例如，今年3月全球最大鋁供應商之一NorskHydro位于歐美的多個工廠運營遭受“大規模的網絡攻擊”，影響了該公司多個業務區的運營，導致其全球計算機網絡系統宕機。系統遭受的是一款相對新型的勒索惡意軟件LockerGoga的攻擊，它將目標計算機上的所有文件進行了加密，之后要求支付勒索金，和其它勒索病毒一樣的做法。

不幸的是，日常現實往往成為了執行安全任務的主要障礙，包括網絡安全人數的限制以及需要各種安全補丁的老式設備的限制。好消息是，風險管理軟件可以幫助實現安全監控的自動化，以檢查其服務器備份安裝是否正確或報告風險評分。

DCS系統升級

一家歐洲的大型煉油廠，通過將專有的分布式控制系統（DCS）技術過渡到使用MicrosoftWindows操作系統的現代DCS，實現了網絡安全功能的提升。企業信息技術（IT）和現場負責人意識到，需要做更多的事情來理解和解決潛在的網絡安全漏洞。跨平臺實現自動化和標準化的任何措施都需要相關的風險管理，并且企業在遷移的每個階段都需要考慮安全性。

第一個決定是盡可能減少手動工作流程。這包括檢查所有終端節點是否存在潛在的網絡漏洞，例如過時的補丁程序或缺少防病毒更新。過去為這項耗時的任務分配員工資源，可能會花費企業數十萬美元。新系統除了降低成本外，標準化和自動化終端節點檢查的能力還有助于消除人為失誤，提高安全檢查的頻率并允許通過一致的數據收集來衡量和改進關鍵指標。

該煉油廠擁有關鍵的基礎設施，并需要達到IEC62243SL3安全保證等級。因此企業需要提高網絡安全態勢意識，使系統日志（消息記錄協議）更容易轉發到安全信息和事件管理系統，并將風險管理與現有儀表板集成。

該企業與一家主要的全球工業網絡安全提供商合作，進行了網絡架構評估，以了解潛在的缺口并以安全、持續的方式支持網絡的發展。以5年的時間跨度進行規劃，使團隊可以考慮對架構的近期影響，例如需要增加無線連接或擴展設施。此外，基于安全信息和事件管理要求和儀表板訪問視圖，可以規劃體系結構以滿足合規性需求。

DCS自動化升級包括網絡安全系統評估，以識別安全遷移到新系統的關鍵要求。其中包括運營工程顧問和工業網絡安全專家的專業知識。專家們利用其它組織的見解，提供煉油團隊可以用以確定范圍、制定預算和執行優先風險降低工作的客觀數據。

自動化的風險管理可跨工業控制系統（ICS）網絡提供企業急需的風險可見性和執行能力。本文圖片來源：霍尼韋爾

風險管理軟件

為了提高可見性并改善網絡安全風險的管理，煉油廠選擇實施風險管理軟件。這包括跨網絡、終端節點和其它安全因素自動對關鍵風險指標進行24/7全天候監控。

煉油廠的自動化人員從試點階段就確定了關鍵的網絡安全漏洞，包括未使用的端口、備份不一致、過時的安全補丁等。風險管理軟件為工作人員提供了一種一致的方式，在現場測量、監視和管理網絡安全風險，而無需人工干預。軟件儀表板突出顯示可能出現的問題，以幫助員工保護數百個終端節點。它還提供有關修補程序、網絡安全性和備份狀態的更新。這使工作人員對潛在威脅的響應速度更快，從而提高了站點的安全性。

除了提高效率外，實施工作還帶來了人員和流程收益。例如，企業需要討論風險偏好，然后就確定的風險閾值達成共識。由于該軟件將相對于風險的算法評分刻畫為監視功能的一部分，因此簡化了對安全狀況的可視性。

ExperionPKS解決方案的儀表板突出顯示了可能存在的問題，以幫助員工保護數百個終端節點。

由于員工看到了需要采取的措施，因此他們的技能和效率得以提高，可以降低特定優先級事項的風險，還可以降低監視資產的優先級。甚至非安全人員也有能力遵循建議并影響風險評分。

從執行層面來說，自動化的網絡風險管理可在工業控制系統（ICS）網絡中提供企業急需的風險可見性和執行能力。在運營層面上，工程師可以在問題成為新聞之前找到并解決運營技術（OT）的合規性和性能問題。在網絡安全事件沒有真正影響到企業的底線之前，對風險管理進行自動化、標準化和改善的任何投資，對企業來說都將帶來明顯的商業意義。