信息來(lái)源:安全牛
工業(yè)網(wǎng)絡(luò)攻擊是另一種形式的推進(jìn)地緣政治議程的“經(jīng)濟(jì)戰(zhàn)”。世界各國(guó)開(kāi)始意識(shí)到IT網(wǎng)絡(luò)攻擊是利益驅(qū)動(dòng)的新型犯罪,我們必須看清��,當(dāng)前全球工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施,已成強(qiáng)大對(duì)手發(fā)起的21世紀(jì)戰(zhàn)爭(zhēng)中的潛在目標(biāo)(無(wú)論是故意的還是連帶傷害波及的)。
風(fēng)暴正在形成,你準(zhǔn)備好了嗎��?
FBI/DHS發(fā)出的TA18-074A警報(bào)中描述的俄羅斯對(duì)美國(guó)能源設(shè)施的滲透��,國(guó)家支持的Triton和NotPetya攻擊��,還有其他類(lèi)似事件��,都是該戰(zhàn)爭(zhēng)正在持續(xù)發(fā)酵的證據(jù)��。上個(gè)月��,賽門(mén)鐵克報(bào)告了對(duì)美國(guó)衛(wèi)星運(yùn)營(yíng)商��、國(guó)防承包商和電信公司控制系統(tǒng)的復(fù)雜滲透��,據(jù)說(shuō)攻擊來(lái)自中國(guó)境內(nèi)的計(jì)算機(jī)��。報(bào)告中稱(chēng)��,這一系列攻擊是旨在竊聽(tīng)軍事和民用通信的協(xié)同間諜行動(dòng)��。獲得被侵入系統(tǒng)的控制權(quán)后��,黑客甚至能改變軌道運(yùn)行衛(wèi)星的位置��,終端數(shù)據(jù)傳輸��。
這不是危言聳聽(tīng)��,全球工業(yè)設(shè)備已成黑客目標(biāo)��,這些設(shè)備的安全長(zhǎng)期被忽視��,我們必須盡快行動(dòng)起來(lái)��,保護(hù)這些非常重要的關(guān)鍵基礎(chǔ)設(shè)施��。復(fù)雜系統(tǒng)的安全保護(hù)工作并不容易��,需要時(shí)間��、金錢(qián)的投入和來(lái)自高級(jí)管理層的承諾��。于是��,我們自身能做些什么來(lái)立即減小風(fēng)險(xiǎn)呢��?
千里之行始于足下
通往更好的態(tài)勢(shì)感知和風(fēng)險(xiǎn)縮減的道路��,從以下7步開(kāi)始:
1. 承認(rèn)現(xiàn)實(shí)
運(yùn)營(yíng)技術(shù)(OT)是公司企業(yè)運(yùn)營(yíng)的基礎(chǔ)��,這一點(diǎn)大家都清楚��,但還必須認(rèn)識(shí)到這些網(wǎng)絡(luò)對(duì)對(duì)手而言也具有戰(zhàn)略重要性——它們是公司運(yùn)營(yíng)的關(guān)鍵��,一旦出故障將造成大范圍的業(yè)務(wù)中斷��,因而是對(duì)手眼中極具吸引力的目標(biāo)��。認(rèn)識(shí)到這一點(diǎn)��,你就必須做出誠(chéng)實(shí)的評(píng)估��,看看自家ICS網(wǎng)絡(luò)的安全狀態(tài)與其作為目標(biāo)的價(jià)值是否相稱(chēng)��。幾十年來(lái)��,大多數(shù)企業(yè)的安全進(jìn)程和安全投入都是由保護(hù)IT系統(tǒng)所存數(shù)據(jù)來(lái)驅(qū)動(dòng)的��,相比之下OT環(huán)境受到了忽視。IT網(wǎng)絡(luò)安全解決方案不適用于OT網(wǎng)絡(luò)��,這些網(wǎng)絡(luò)很容易被公司安全團(tuán)隊(duì)無(wú)視��,也比想象中暴露的更多��。
2. 提出尖銳問(wèn)題
推動(dòng)公司安全態(tài)勢(shì)改變始于提出一些非常尖銳的問(wèn)題��,獲得一些可能讓人很不舒服的答案��。監(jiān)控并保護(hù)ICS網(wǎng)絡(luò)的責(zé)任在誰(shuí)身上��?安全團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)有協(xié)作嗎��?這些團(tuán)隊(duì)有沒(méi)有在一起討論ICS網(wǎng)絡(luò)安全策略��?對(duì)這些網(wǎng)絡(luò)做過(guò)風(fēng)險(xiǎn)評(píng)估��,了解自身安全漏洞都有哪些并合理定出優(yōu)先級(jí)了嗎��?公司領(lǐng)導(dǎo)層注意到風(fēng)險(xiǎn)暴露面了嗎��?
3. 標(biāo)出盲點(diǎn)
沒(méi)有證據(jù)并不等同于公司網(wǎng)絡(luò)中就沒(méi)有惡意黑客��。系統(tǒng)正常運(yùn)行并不意味著沒(méi)有潛在的安全問(wèn)題��。任何試圖滲透網(wǎng)絡(luò)的攻擊者都會(huì)想要讓你誤以為系統(tǒng)正常運(yùn)行��。關(guān)于OT環(huán)境��,誠(chéng)實(shí)面對(duì)自己已知(不是你覺(jué)得自己知道而是真的清除)和未知的東西��。發(fā)現(xiàn)自己的盲點(diǎn)所在并量化盲點(diǎn)的影響��。
4. 做好基礎(chǔ)
開(kāi)始提高公司的可見(jiàn)性并摸清OT環(huán)境的風(fēng)險(xiǎn)——即便無(wú)法在短期內(nèi)搞定一切��。審計(jì)自己的網(wǎng)絡(luò)分隔情況��。真正堅(jiān)實(shí)的網(wǎng)絡(luò)分隔是資產(chǎn)擁有者防護(hù)自身OT環(huán)境的最重要一步��。網(wǎng)絡(luò)分隔并不單單指IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)的隔離��,還指的是OT網(wǎng)絡(luò)環(huán)境當(dāng)中的隔離��。IT和OT網(wǎng)絡(luò)的隔離可以讓攻擊者更難以滲透進(jìn)OT網(wǎng)絡(luò)��,大幅減少I(mǎi)T網(wǎng)絡(luò)攻擊的“溢出”傷害��。OT網(wǎng)絡(luò)環(huán)境中的隔離則能讓攻擊者即便在OT網(wǎng)絡(luò)上建立了橋頭堡也難以橫向移動(dòng)染指更多系統(tǒng)��。
5. 讓OT網(wǎng)絡(luò)可見(jiàn)
讓很多公司企業(yè)難以有效保護(hù)自身OT環(huán)境的一大基礎(chǔ)問(wèn)題��,是缺乏對(duì)自身ICS網(wǎng)絡(luò)結(jié)構(gòu)的可見(jiàn)性。少數(shù)走在提供網(wǎng)絡(luò)可見(jiàn)性前沿的公司企業(yè)可以證明��,部署專(zhuān)用網(wǎng)絡(luò)監(jiān)控經(jīng)常能發(fā)現(xiàn)安全團(tuán)隊(duì)不知道的聯(lián)網(wǎng)終端��,這些終端本不應(yīng)接入特定網(wǎng)絡(luò)��,或者正以非預(yù)期的方式通信��。很明顯��,看不見(jiàn)就無(wú)法防護(hù)��。所以��,我們應(yīng)該采用能夠提供公司OT網(wǎng)絡(luò)所有層級(jí)可見(jiàn)性的技術(shù)��,下至串行/現(xiàn)場(chǎng)總線層級(jí)��,并在IT安全中心集成該可見(jiàn)性及OT專(zhuān)用的威脅檢測(cè)��。
6. 擴(kuò)展事件響應(yīng)和監(jiān)管
必須全面管理網(wǎng)絡(luò)風(fēng)險(xiǎn)��,這意味著要在OT和IT環(huán)境統(tǒng)一應(yīng)用嚴(yán)格的監(jiān)視��、管理和報(bào)告操作��。最重要的是要確保有專(zhuān)人負(fù)責(zé)OT系統(tǒng)的安全��。這個(gè)角色不是任何人都能充當(dāng)?shù)?�,得是受到運(yùn)營(yíng)團(tuán)隊(duì)尊重并能推動(dòng)事務(wù)進(jìn)展的人物��。網(wǎng)絡(luò)安全永遠(yuǎn)在路上��,沒(méi)有終點(diǎn)��,必須有強(qiáng)力領(lǐng)導(dǎo)把握正確的方向��。安全主管的報(bào)告對(duì)象應(yīng)該是誰(shuí)��?很多公司企業(yè)對(duì)此常常感到困惑��。但是報(bào)告結(jié)構(gòu)并沒(méi)有領(lǐng)導(dǎo)能力和推進(jìn)安全進(jìn)程的能力重要��。OT安全主管向CISO報(bào)告并通報(bào)運(yùn)營(yíng)主管��,或者反之��,都有成功案例��。
7. 教育高管和董事��,讓他們了解潛在安全事件的危害
這一步與第6步相關(guān),因?yàn)楣绢I(lǐng)導(dǎo)層��,董事和執(zhí)行官們��,負(fù)有管理公司風(fēng)險(xiǎn)的法律責(zé)任��。然而��,工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)可見(jiàn)性日漸增加的同時(shí)��,很多企業(yè)的領(lǐng)導(dǎo)層卻依然不知道自己一無(wú)所知��。安全人員自然了解技術(shù)風(fēng)險(xiǎn)��;通過(guò)讓領(lǐng)導(dǎo)層也看到該風(fēng)險(xiǎn)及其相關(guān)的業(yè)務(wù)影響��,自然能夠輔助驅(qū)動(dòng)改變這一現(xiàn)狀��?�?梢?jiàn)性驅(qū)動(dòng)理解��,理解驅(qū)動(dòng)緊迫性��,緊迫性驅(qū)動(dòng)行動(dòng)��。
沒(méi)有全盤(pán)了解上述問(wèn)題的答案也不要緊��。
丘吉爾曾經(jīng)說(shuō)過(guò):“完美是進(jìn)步的敵人��?�!蔽覀兛赡茈y以確定從哪里開(kāi)始評(píng)估工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)和安排緩解步驟��。從上面的步驟開(kāi)始��,可以帶來(lái)最佳的風(fēng)險(xiǎn)降低比��,讓你的公司走上安全正規(guī)��。不用等待完美解決方案��;就從這里開(kāi)始并不斷迭代��。最重要的事是��,現(xiàn)在就開(kāi)始
