经过Ken Modeste，互联技术主管，UL商业和工业业务部门

2018年3月，国土安全部（华盛顿特区，华盛顿州，DHS.GOV）和联邦调查局（联邦调查局，华盛顿，fbi.gov）发布了一项联合技术警报（TA），介绍俄罗斯政府针对美国政府实体的行动以及能源，核，商业，水，航空和关键制造部门的组织。国土安全部和联邦调查局（DHS）和联邦调查局（FBI）看到了针对小型商业实用性网络的网络攻击者，他们在该网络上进行了恶意软件，进行了长矛网络钓鱼，并获得了远程访问到能源领域的访问。获得访问后，俄罗斯网络参与者进行了网络侦察，横向移动，并收集了与工业控制系统（ICS）有关的信息。

2015年，国土安全部确定了针对关键制造业的网络攻击，包括汽车制造商，航空设备制造商以及金属，机械和电气设备的生产商。美国国家制造科学中心（NCMS），密歇根州安阿伯（NCMS）（ncms.org），指出，在2016年，制造业领域的网络攻击从美国的所有此类活动中的33％增加到39％，费用在100万美元至1000万美元之间。

在制造业中，这些攻击通过试图窃取IP（知识产权），制造过程和过程组件的竞争对手而增长。如果目的是破坏操作，他们的目标攻击也可能对安全设施运营构成风险。随着工厂与软件系统的联系，工业互联网（IIOT）以及提高自动化和解决生产率的其他手段，它们最终为对手创造了更大的机会来妥协这些系统。10bet在线娱乐

传统上，制造系统是为了关注安全和生产的。但是，随着连接性的更大和新攻击表面的创造（对手可以用来妥协系统的植物的弱点），对当今和明天的工业运营，安全性变得越来越重要。

随着设施的规模和复杂性的增加，组织现在正在将运营技术（OT）网络与业务IT网络集成。这要求OT和IT人员紧密工作以解决安全问题。拥有可以穿越这些领域的能力的员工也变得越来越具有挑战性。

根据Herjavec小组报告的信息，洛杉矶（herjavecgroup.com），到2019年，全球短缺的网络安全专业人员将有200万个网络安全专业人员。到2021年，这一短缺将增加到350万。导致的竞争和持续的竞争将为较小的游泳池获取人才，这将为制造商带来其他问题。

攻击的性质

某些类型的网络攻击，例如联合DHS/FBI报告中列出的网络攻击，可以是网络钓鱼电子邮件（来自受损害的合法帐户），该电子邮件针对组织中的关键人物，使用高级恶意软件，使用浇水孔域，凭证收集，开放源，开放源和网络侦察，并对ICS基础架构进行攻击。所有这些攻击都可能导致IP或商业秘密的损失，从而为遭受攻击的组织提供黑客和/或财务和声誉损害的市场优势。

该过程通常涉及对特定目标的预谋攻击，而不是从随机攻击或侦察中出现的目标。然后，攻击者使用公开可用的信息来访问该设施的网络，并搜索有关操作中网络设计和控制系统功能的数据。

在一种情况下，网络攻击者使用了该设施的在线照片。下载图像后，被发现是一张高分辨率照片，其中包含在后台控制系统设备模型和状态信息。

一旦网络犯罪分子理解网络布局，他们就可以通过网络钓鱼来针对员工凭证（向具有损坏链接的恶意软件发送电子邮件，当访问时，这些链接允许将攻击代码插入受害者的系统上）。反过来，该动作可以用来枢转定位公司内部的其他关键系统。

设施需要考虑为这些可能性做准备的计划。提取敏感数据的攻击者可能会损害组织与新流程区分开的计划。

停机时间或制造过程中的危害也很容易成为公众。真正的关注。

对制造业的最大威胁之一在于确保负责推动组织生产的IC。典型的IC可以在升级之前拥有15至30年的生命。

诸如此类的系统在更新最新的补丁和软件方面面临固有的挑战。从历史上看，制造商通过拒绝与外部企业系统或互联网的连通性“空气”。提高生产率和自动化的较新的物联网解决方案倾向于消除这些气隙。10bet在线娱乐但是，现代ICS组件越来越多地连接到互联网，企业和/或第三方系统。

有了这些类型的挑战以及使用旧设备的使用，设施部署新技术的计划不应推迟出于安全风险，而应相应地前进。

组织准备

需要明确的是，组织需要解决网络安全作为其系统福祉的重要组成部分，并将其重点放在管理和执行决策，劳动力计划和教育以及未来的投资预算上。24hbet 10bet需要将网络安全视为围绕自动化，机器人技术和连接的植物地板不断变化的能力的推动者。10bet在线娱乐因此，组织需要保护其制造业务免受犯罪组织，民族国家行为者和黑客的侵害。

为了防止公司秘密丧失或生产力中断，组织需要制定基于其网络安全目标和相关风险的计划，并指定如何应对这些风险。首先培训负责任的员工，以保护其生产最重要的组织。EP

UL的帽子保护制造商资产

2016年，UL（承销商实验室商业和工业业务部门，伊利诺伊州诺斯布鲁克，ul.com）启动其网络安全保证计划（UL CAP），以帮助制造商，系统集成商，最终用户和运营商。

它旨在与关注网络安全风险的制造业的利益相关者合作。该程序基于三个主要要素：

•确保制造商的供应链

•教育制造商及其合同团队劳动力24hbet 10bet

•评估设施。

UL提供测试，评估以及最终通过根据全球确保工厂自动化的最佳实践提供标准来为最终用户供应链提供认证。10bet在线娱乐UL 2900系列标准提供了有关如何测试，评估和认证可以在工厂中使用的产品，设备，组件和系统的指导。该标准旨在评估这些产品，并根据最佳实践指南在整个过程中“破解”它们。

该标准还旨在研究供应商的最佳实践，并评估和证明这些供应商。使用独立，值得信赖的第三方测试和认证产品和验证流程的结合可以为制造商提供明确的项目设计标准，以征求设计供应商。

这些标准可用于审查产品和系统的网络健康。UL还可以测试，评估和认证其他相关标准，例如IEC 62443工业自动化标准系列。10bet在线娱乐

UL开发了一项教育计划，以培训员工的一些最佳实践。这些教育计划指出了最佳实践，例如UL 2900，IEC 62443，NIST网络安全框架，能源部（DOE）和国家标准技术研究所（NIST）（NIST）的采购语言指南以及其他行业最佳实践。

UL可以与组织合作，根据审查设施的操作程序，采访员工以及测试实际的工业控制系统实施安全设计缺陷和弱点，以进行现场实施评估。组织可以使用网站评估来确定其网络安全准备情况，并针对行业中其他组织作为最佳实践采用的措施。

有关更多信息，请访问ul.com/cybersecurity或与公司联系ulcyber@ul.com。