随着人们对气候变化的担忧与日俱增,很难想象石油和天然气行业给世界带来了什么。碳氢化合物燃料已经并将继续对环境和大气产生负面影响,这是一种合理的紧迫感。即便如此,一份诚实的会计报告显示,如果没有它们,现代世界将会贫穷得多。
我们燃烧天然气为房屋供暖,并为发电厂提供电力。我们加工原油以制造为我们的汽车,公共汽车,火车,飞机和轮船提供动力的燃料,并且它还用作润滑剂的原料,可使各种类型的发动机和机械保持平稳运转。我们把它们用作石化原料和其他改变了我们生活方式的物质–塑料、人造纤维、化肥、洗涤剂等等。
而且就目前而言,我们仍然依赖着它们。可再生能源技术还没有达到能够取代化石燃料的程度。因此,石油和天然气公司仍然要寻找、生产、运输、加工和销售他们的资源,而支持他们的服务公司仍然要执行钻井、收集地震数据和供应设备等任务。
此外,参与这些活动的公司正寻求盈利。不可避免的是,如果他们希望盈利,他们就会想方设法在满足监管要求的同时削减开支和提高效率。
效率和利润的提高是要成本的
技术可以帮助实现这一目标–而且已经多次做到了这一点。机械化、自动化和计算机化都使钻井和其他核心活动更容易、更快、更安全、更省力,而21世纪的新数字技术也有望做到这一点。工业物联网(IIoT)设备已经在帮助公司发展和保持对其运营环境的清晰和全面的了解。它们还将收集和产生大量的数据,可以用人工智能(AI)解决方案和其他工具进行分析,这样公司就可以从过去的经验中学习更多的东西,从地下储层中提取尽可能多的数据,防止事故并减少停机时间。
但这些创新也使石油和天然气运营商及其服务提供商更加脆弱。有线IIoT设备不仅仅是有用数据的来源。它们也是意图破坏运营或破坏企业机密的网络犯罪分子的潜在进入点–而且它们与其他脆弱的系统相连,包括用于支持这些公司的运营技术(OT)和信息技术(IT)网络。
重要行业不能忽视其脆弱性
这些漏洞不应该被忽视,因为这个行业的上游、中游和下游部分的网络安全漏洞有可能造成严重破坏。在宏观层面上,值得注意的是,网络安全和基础设施安全局(CISA)已将石油和天然气行业列入其16种关键基础设施的名单中,”其资产、系统和网络,无论是物理的还是虚拟的,都被认为对一个国家非常重要,其丧失能力或破坏将对安全、国家经济安全、国家公共卫生或安全,或其任何组合产生削弱作用”。
但在微观层面上也存在危险。对一家运营几口油井的上游小公司发动的网络攻击,可能不会像对向多个市的发电厂和市政公用事业公司供应大量天然气的管道运营商发动的网络攻击那样产生同样的影响,但它可以对该公司产生立竿见影的具体影响。它可能会产生物理后果,比如扰乱生产-如果它发生得足够频繁或规模足够大,它也可能在财务上造成毁灭性的影响。
那么,石油和天然气运营商应对这些风险的最佳方式是什么呢?
认识到该行业的独特风险是解决方案的一部分
开始可能是需要承认该行业面临的一些特殊脆弱性。我们在这里来看看其中的两个。
首先,许多利用IIoT显示器等创新技术的石油和天然气运营商正试图将他们的新解决方案与久经考验的机械、工业控制系统(ICS)和OT网络相集成。换句话说,他们使用的是老化的设备,这些设备已经在操作层面上证明了其价值,但可能与最新的数字标准不兼容(或不友好)。如果是这样的话,他们就会让自己面临更多的网络安全威胁。
还有一个事实是,石油和天然气公司经常在不断变化的条件下运营,而且也会受到快速变化的影响。埃森哲子公司革命性安全的评估和测试服务经理兼首席顾问Jon Taylor去年7月指出,对于执行钻井或最大限度提高地下储油层产量等复杂任务的公司来说,网络攻击并不总是容易发现的,因为涉及的变量太多,数据流波动的可能性也很大。
更高的可见性=更低的脆弱性
可见性可以减轻这些漏洞的影响。
如上所述,一家石油和天然气公司可能会同时使用不同来源、不同年龄、不同兼容性、不同协议和不同复杂程度的多个系统。例如,它可能会承载不安全、不可靠或不可用的传统交换机SPAN端口。如果是这样的话,它可能很难跟踪连接到其网络的所有东西-每台机器、每台设备、每一个传感器。因此,它需要一种网络安全解决方案,能够为它提供整个系统每个组件的可视化表示。否则,它将无法正确监控其系统。(记住,你无法保护你看不到的东西)
还有就是钻井或从地下油田生产等任务所固有的复杂性和可变性。可见性在这里也有帮助,因为它使运营商能够密切关注任何可能是违规或问题的事–并确定这些违规和问题是否是网络上的入侵或恶意活动的结果。在技术上,它消除了潜在的盲点,并允许安全工具通过部署网络TAP(测试接入点)、air-gapped虚拟TAP和数据二极管以及更广泛的安全和基础设施战略来分析数据包的可见性。
但在可见性Fabric架构中实施最佳实践并不是唯一的必要条件。石油和天然气公司还需要网络安全解决方案,以实现对威胁检测和异常情况(如设备故障)的实时、持续监控。他们需要能让他们练习、预测和预防安全漏洞的解决方案。他们需要能够检测、管理和优先处理其IT和OT网络的设备和固件的漏洞的解决方案(包括报告常见漏洞和暴露,或CVEs)。
更重要的是,他们需要能让他们实施网络安全基本最佳实践的解决方案。根据美国石油协会(API)的说法,实现这一目标的最佳途径是石油和天然气运营商 “将他们的信息技术(IT)和工业控制系统(ICS)网络安全计划定位在领先的框架和一流的标准上,特别是美国国家标准与技术研究所(NIST)网络安全框架和ISA/IEC 62443工业自动化和控制系统(IACS)安全系列标准。”
如果你已经准备好为你的石油和天然气公司提供更高层次的可视性,并且不知道从哪里开始,请联系我们。