制造业网络安全执行指南

从生产车间到云端，全面保障运营安全 目录 01执行摘要 04CHECK POINT如何提供帮助 ●一个平台，全面守护●面向生产车间的工业级安全●面向整个IT和SaaS生态系统的全面安全●面向供应链的端到端安全●广泛的威胁情报和研究链 02影响网络安全的制造业趋势 ●OT-IT融合●智能工厂●AI驱动的自动化●持续扩张的供应链 05客户案例 03制造商如何才能保持安全 ●Laterlite●Motortech●Terex ●对运营的三个主要层面提供统一保护●量身定制的生产车间安全●为整个IT和SaaS环境提供统一的预防性保护●守护供应链各环节安全 06结语 执行摘要 制造业正迈入超级互联的变革时代。IT-OT融合、AI驱动的自动化、智能工厂及持续扩张的供应链正在推动实现前所未有的效率、生产力与增长。 但每建立一条新连接就会新增一个漏洞风险。攻击面正在迅速扩大，网络攻击数量激增，防护不当的话甚至会危及正常运行时间，扰乱正常运营，并使组织面临严重的财务与竞争风险。 本指南概述制造业的领先企业如何提前阻止威胁、防止生产中断和所需的基本网络安全战略，以及CheckPoint如何提供全面、预防优先、由AI驱动的保护，每时每刻守护每台机器和设备、每条连接及企业其它资产的安全。 制造业网络安全风险趋势 制造业正在快速发展，从手动流程和孤立的系统演进到由AI、自动化和实时数据所驱动的超级互联工厂。 这种转变将速度、精度和效率提升到了全新的水平，但也引入了新的风险。机器、系统、用户和供应商之间的每条连接，都为网络攻击提供了一条潜在途径。在停机损失以百万计的环境中，即使是短暂的中断也可能产生深远的影响。 工厂更智能意味着生产速度更快，但同时也意味着暴露面更大。随着数字系统的扩张，攻击者找到了新的入侵方式。以下四大转变正在重新定义制造业的网络风险。 OT-IT融合1. 智能工厂2. 当今的工厂采用数字生态系统的运行模式，机器、传感器、云平台和用户都在实时交换数据。这加快了生产速度并提高了精度，但也破坏了传统的安全模式。攻击者现在拥有无数可乘之机，包括从配置错误的传感器到暴露的API。 曾经在离线状态下保持安全的运营系统，如今与IT网络紧密集成，以实现自动化、分析与集中控制。但这种集成也为威胁提供了新的入侵途径。突破IT防线的攻击者可横向侵入生产车间，而且通常很难被发现。 安全团队不能再单纯地依赖边界防护。防护范围必须延伸至每个发生数据流动与决策制定的系统、传感器及连接。 安全团队需要制定横跨IT与OT且不影响正常运行时间或安全性的整合安全战略。 网络安全是执行智能制造的两大首要挑战之一。 曾与外部威胁隔绝的OT系统，现在通过IT网络暴露于网络风险之中。 OPSWATAcademy Gartner 持续扩张的供应链4. AI驱动的自动化3. 制造业供应链如今跨越各大洲、平台及第三方合作伙伴。每一次集成，无论是与物流系统、软件供应商还是远程维护提供商集成，都会引入潜在的漏洞。任一薄弱环节皆可能成为入侵所有位置的突破口。 AI越来越多地嵌入到工业系统中，以优化工作流程，预测故障并驱动自主决策。但在更深入访问运营数据的同时，更高的风险也伴随而来。AI模型或其管控的系统被恶意操纵，可能导致生产错误、停机或不安全状况。 安全团队必须以审查内部系统的同等标准对待第三方访问。每次供应商登录、远程会话或平台集成都可能成为暴露点。 安全团队必须确保对由AI驱动的自动化（包括其训练、访问与部署方式），增强可见性和控制力度。 核心结论 这些转变已重新定义攻击者入侵制造商的方式，以及其造成损害的速度。随着生产和运营的互联程度不断提高，安全风险也随之增加。以下数据清晰地表明： 网络攻击数量激增 勒索软件的首要目标 成本增长125% 自2023年以来，针对制造业的网络攻击增加了90%。 由于停机、赎金支付和生产损失，数据泄露成本每年增长125%。 制造业是2024年遭受勒索软件攻击最严重的行业。 （Check Point研究院，DLS数据） （Check Point研究院，DLS数据） WEF 制造商如何才能保持安全 在当今的制造业环境中，部分保护等于没有保护。网络攻击可以在数秒内横向跨越生产车间、IT系统、SaaS和供应链。 为了抢先遏制威胁，制造商需要制定统一的安全战略，确保全面守护生产和运营各层面的安全，且不会降低运营效率，该战略从生产车间开始，贯穿企业整个IT环境，并一直延伸至全球供应链。 以下最佳实践展示了如何在不影响运营的情况下，全面守护各层面安全。 1.对运营的三个主要层面提供统一保护 大多数攻击者不会只攻击一点，而会在不同环境间流窜。因此，制造商需要能够在整个运营过程中无缝实施的保护方案：从生产车间到云端，再到第三方集成。 安全机制的设计应具有可扩展性和互联性，能够适应OT、IT和供应链团队的需求，并且都遵循统一的战略。这需要： 防范已知攻击和零日攻击包括网络钓鱼、恶意软件、DNS等 统一的安全架构 全面覆盖 跨OT、IT、云端和合作伙伴环境 网络、云端、工作空间和运营 集中化的可见性和策略执行跨所有系统、用户和环境 从单一界面管理访问 无缝集成 跨员工、远程团队、供应商和设备 跨全技术栈协调策略和连接工具 若未提供相应保护： CISO要点： 传统系统继续暴露，智能设备成为攻击入口，威胁在机器间跳跃扩散，这样导致的结果是生产中断后团队才作出响应。 网络安全防护的实施不能干扰正常运行时间，但也不容丝毫延误。在工厂车间，保护必须精准、有的放矢且不影响生产运营。 2.守护生产车间安全且不拖慢生产 生产车间网络安全挑战非常独特，虚拟网络风险与实体设备及资产的影响会在这里交汇。从过时的传统机械到超级互联的工业物联网系统，当今的制造业将最脆弱的资产与最高的停机成本结合在一起。这使OT成为主要攻击目标，也是最难保护的层面之一。有效的保护需要设计优先的解决方案，例如： 协议感知预防 零信任分段 工业级防火墙与加固型网关 检测并拦截针对ICS、OT、SCADA系统的威胁 阻止威胁在OT资产与融合IT-OT系统之间横向扩散 在标准和恶劣的工业环境中都能可靠运行 实时威胁防护不会拖慢生产或危及安全 洞悉传统系统，这些系统在设计时未考虑网络安全 若未提供相应保护： CISO要点： 传统系统继续暴露，智能设备成为攻击入口，威胁在机器间跳跃扩散，这样导致的结果是生产中断后团队才作出响应。 网络安全防护的实施不能干扰正常运行时间，但也不容丝毫延误。在工厂车间，保护必须精准、有的放矢且不影响生产运营。 3.为整个IT和SaaS环境提供统一的预防性保护 受到攻击的不仅是网络，还有工作流程、用户习惯和日常工具：电子邮件、浏览器、云应用程序和SaaS平台。这些环境是动态分散的，日益成为网络罪犯易攻破的目标入口。为了降低风险，制造商需要采取预防优先的方法，对跨设备、位置和数字系统的每一次用户交互施加保护。这需要： 工作空间保护 云安全 网络保护 适用于电子邮件和协作工具、终端（EPP、EDR、XDR）、浏览器、移动设备和安全访问（ZTNA、SD-WAN）。 阻止多云环境中的威胁，优先应对跨应用程序、网络和工作负载的风险。 利用防火墙提供全方位安全保护，包括远程访问VPN、SASE、SD-WAN，以及防范物联网、DDoS和零日威胁。 若未提供相应保护： CISO要点： 网络钓鱼邮件会导致威胁横向扩散。泄露的凭据导致SaaS应用程序被解锁，远程用户将脱离您的安全防护范围。 用户和数据现在跨数十种工具和位置运行。保护必须如影随形，且不拖慢其速度。 4.守护供应链各环节安全 现代供应链是一个由供应商、合作伙伴、平台和互联设备组成的网络——其中许多环节都不受您的直接控制。但是，当其中任何一个环节受到入侵时，您的运营也会受到牵连。无论是第三方软件、不受管控的物联网还是影子访问，攻击者都是在利用最薄弱的环节来攻击最关键的系统。 基于风险的身份验证与行为分析持续验证访问并检测异常 零信任访问控制 网络分段与监测 检测并拦截来自供应链连接的恶意流量 面向第三方用户、系统和服务提供商 自动化威胁防护与遏制 涵盖所有外部连接和共享平台 全面洞悉连接物联网和OT的资产实时执行风险评分和策略 若未提供相应保护： CISO要点： 被入侵的合作伙伴将成为攻击入口，原有供应商账户仍然保持开放状态，而不受管控的工具则会在您的防御体系中留下隐形缺口。 虽然无法直接控制合作伙伴的行为，但可以控制其影响。正因如此，供应链访问需保持与核心系统相同的控制级别、可见性、验证机制及执行标准。 Check Point如何守护制造业各层面安全 本指南所述实践为守护现代制造业环境安全提供了战略蓝图。但仅有战略远远不够。制造商需要具备适当规模、专业性与架构的安全合作伙伴，以无缝实施这些实践，同时又不能拖慢运营。 CheckPoint通过单一平台赋能制造商，为整个运营流程（从车间到企业IT、SaaS以及扩张的供应链）提供完整、统一、预防优先的保护。 各层面均配备必要的核心安全功能，提供最强防护、阻断攻击扩散并确保运营连续性。 Check Point如何守护制造业各层面安全-图示 1.一个平台，全面守护 CheckPoint Infinity是一个由AI驱动的预防优先的统一安全管理平台，为整个制造运营流程提供全面的保护。其具备业界唯一完全整合的网络安全架构，可保护网络、云端、工作空间及工业环境，提前阻断攻击，预防生产中断。 成果：执行统一策略、共享威胁情报、更快作出有效响应，而且复杂性没有增加。 2.面向生产车间的工业级安全 CheckPoint保护复杂的生产环境，包括从传统机械设备到超级互联的工业物联网系统以及融合运营流程，通过坚不可摧的防火墙、工业级威胁防护和托管响应，保持运营安全且持续运行。 工业防火墙 物联网安全 服务 包含标准和加固型防火墙，配备针对OT、ICS和SCADA系统的IPS、微分段和威胁防护功能。包括协议感知防护、托管网关、虚拟修补和入侵防护，旨在提前阻断威胁，避免运营中断。 专家主导的风险评估、托管安全、事件响应和OT培训——旨在加强内部能力，发现隐形缺口，并帮助持续保持运营弹性。 为工业物联网设备、传感器和传统资产提供实时保护，拦截物联网漏洞利用，并保护工业环境中通常未打补丁的高风险资产。 3.面向整个IT和SaaS生态系统的全面安全 凭借业界最完整、统一、由AI驱动的安全措施，Check Point可以保护整个IT和SaaS环境（从本地网络到远程用户），涵盖工作空间、数据中心和云应用程序。 主要保护措施包括： 下一代防火墙(NGFW)为企业网络提供零日保护、分段和高级威胁防护 AI驱动的云安全适用于多云和混合环境- 跨工作负载、网络和应用程序确定风险优先级并预防威胁 工作空间安全对SASE、终端、浏览器、电子邮件、应用程序和远程访问实施零信任网络访问(ZTNA)并应用安全Web网关(SWG) IT安全服务包括风险评估、托管保护、合规性支持和事件响应 MDR/MPR和XDR/XPR执行24/7 IT威胁检测、响应和修复 4.面向供应链的端到端安全 CheckPoint通过零信任控制、实时风险可见性和自动化威胁防护，保护整个供应链中的每个集成点，包括从第三方访问点到云端接口和非托管设备。 主要保护措施包括： 集中化的可见性和策略执行跨所有系统、用户和环境 统一的安全架构 防范已知攻击和零日攻击包括网络钓鱼、恶意软件、DNS等 从单一界面管理访问跨员工、远程团队、供应商和设备 跨OT、IT、云端和合作伙伴环境 5.广泛的威胁情报和研究成果 每层保护的强度取决于其背后的情报。CheckPoint的ThreatCloud AI提供实时、AI驱动的威胁