信息來源:安全牛
工業(yè)網(wǎng)絡(luò)攻擊是另一種形式的推進(jìn)地緣政治議程的“經(jīng)濟(jì)戰(zhàn)”。世界各國開始意識到IT網(wǎng)絡(luò)攻擊是利益驅(qū)動的新型犯罪,我們必須看清��,當(dāng)前全球工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施,已成強(qiáng)大對手發(fā)起的21世紀(jì)戰(zhàn)爭中的潛在目標(biāo)(無論是故意的還是連帶傷害波及的)����。
風(fēng)暴正在形成�����,你準(zhǔn)備好了嗎�����?
FBI/DHS發(fā)出的TA18-074A警報中描述的俄羅斯對美國能源設(shè)施的滲透�����,國家支持的Triton和NotPetya攻擊����,還有其他類似事件,都是該戰(zhàn)爭正在持續(xù)發(fā)酵的證據(jù)���。上個月��,賽門鐵克報告了對美國衛(wèi)星運營商���、國防承包商和電信公司控制系統(tǒng)的復(fù)雜滲透�,據(jù)說攻擊來自中國境內(nèi)的計算機(jī)��。報告中稱����,這一系列攻擊是旨在竊聽軍事和民用通信的協(xié)同間諜行動�。獲得被侵入系統(tǒng)的控制權(quán)后,黑客甚至能改變軌道運行衛(wèi)星的位置�����,終端數(shù)據(jù)傳輸���。
這不是危言聳聽�,全球工業(yè)設(shè)備已成黑客目標(biāo)����,這些設(shè)備的安全長期被忽視,我們必須盡快行動起來�����,保護(hù)這些非常重要的關(guān)鍵基礎(chǔ)設(shè)施�����。復(fù)雜系統(tǒng)的安全保護(hù)工作并不容易,需要時間��、金錢的投入和來自高級管理層的承諾�。于是,我們自身能做些什么來立即減小風(fēng)險呢�����?
千里之行始于足下
通往更好的態(tài)勢感知和風(fēng)險縮減的道路�����,從以下7步開始:
1. 承認(rèn)現(xiàn)實
運營技術(shù)(OT)是公司企業(yè)運營的基礎(chǔ)����,這一點大家都清楚,但還必須認(rèn)識到這些網(wǎng)絡(luò)對對手而言也具有戰(zhàn)略重要性——它們是公司運營的關(guān)鍵���,一旦出故障將造成大范圍的業(yè)務(wù)中斷�����,因而是對手眼中極具吸引力的目標(biāo)���。認(rèn)識到這一點����,你就必須做出誠實的評估����,看看自家ICS網(wǎng)絡(luò)的安全狀態(tài)與其作為目標(biāo)的價值是否相稱����。幾十年來,大多數(shù)企業(yè)的安全進(jìn)程和安全投入都是由保護(hù)IT系統(tǒng)所存數(shù)據(jù)來驅(qū)動的�����,相比之下OT環(huán)境受到了忽視��。IT網(wǎng)絡(luò)安全解決方案不適用于OT網(wǎng)絡(luò)�����,這些網(wǎng)絡(luò)很容易被公司安全團(tuán)隊無視���,也比想象中暴露的更多��。
2. 提出尖銳問題
推動公司安全態(tài)勢改變始于提出一些非常尖銳的問題�����,獲得一些可能讓人很不舒服的答案�。監(jiān)控并保護(hù)ICS網(wǎng)絡(luò)的責(zé)任在誰身上?安全團(tuán)隊和運營團(tuán)隊有協(xié)作嗎����?這些團(tuán)隊有沒有在一起討論ICS網(wǎng)絡(luò)安全策略?對這些網(wǎng)絡(luò)做過風(fēng)險評估���,了解自身安全漏洞都有哪些并合理定出優(yōu)先級了嗎��?公司領(lǐng)導(dǎo)層注意到風(fēng)險暴露面了嗎�����?
3. 標(biāo)出盲點
沒有證據(jù)并不等同于公司網(wǎng)絡(luò)中就沒有惡意黑客��。系統(tǒng)正常運行并不意味著沒有潛在的安全問題�。任何試圖滲透網(wǎng)絡(luò)的攻擊者都會想要讓你誤以為系統(tǒng)正常運行�。關(guān)于OT環(huán)境,誠實面對自己已知(不是你覺得自己知道而是真的清除)和未知的東西。發(fā)現(xiàn)自己的盲點所在并量化盲點的影響���。
4. 做好基礎(chǔ)
開始提高公司的可見性并摸清OT環(huán)境的風(fēng)險——即便無法在短期內(nèi)搞定一切�����。審計自己的網(wǎng)絡(luò)分隔情況�。真正堅實的網(wǎng)絡(luò)分隔是資產(chǎn)擁有者防護(hù)自身OT環(huán)境的最重要一步�。網(wǎng)絡(luò)分隔并不單單指IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)的隔離,還指的是OT網(wǎng)絡(luò)環(huán)境當(dāng)中的隔離�����。IT和OT網(wǎng)絡(luò)的隔離可以讓攻擊者更難以滲透進(jìn)OT網(wǎng)絡(luò)��,大幅減少IT網(wǎng)絡(luò)攻擊的“溢出”傷害����。OT網(wǎng)絡(luò)環(huán)境中的隔離則能讓攻擊者即便在OT網(wǎng)絡(luò)上建立了橋頭堡也難以橫向移動染指更多系統(tǒng)�����。
5. 讓OT網(wǎng)絡(luò)可見
讓很多公司企業(yè)難以有效保護(hù)自身OT環(huán)境的一大基礎(chǔ)問題����,是缺乏對自身ICS網(wǎng)絡(luò)結(jié)構(gòu)的可見性�。少數(shù)走在提供網(wǎng)絡(luò)可見性前沿的公司企業(yè)可以證明���,部署專用網(wǎng)絡(luò)監(jiān)控經(jīng)常能發(fā)現(xiàn)安全團(tuán)隊不知道的聯(lián)網(wǎng)終端�,這些終端本不應(yīng)接入特定網(wǎng)絡(luò)��,或者正以非預(yù)期的方式通信����。很明顯,看不見就無法防護(hù)�����。所以����,我們應(yīng)該采用能夠提供公司OT網(wǎng)絡(luò)所有層級可見性的技術(shù),下至串行/現(xiàn)場總線層級��,并在IT安全中心集成該可見性及OT專用的威脅檢測�����。
6. 擴(kuò)展事件響應(yīng)和監(jiān)管
必須全面管理網(wǎng)絡(luò)風(fēng)險,這意味著要在OT和IT環(huán)境統(tǒng)一應(yīng)用嚴(yán)格的監(jiān)視��、管理和報告操作�。最重要的是要確保有專人負(fù)責(zé)OT系統(tǒng)的安全。這個角色不是任何人都能充當(dāng)?shù)?��,得是受到運營團(tuán)隊尊重并能推動事務(wù)進(jìn)展的人物�。網(wǎng)絡(luò)安全永遠(yuǎn)在路上����,沒有終點,必須有強(qiáng)力領(lǐng)導(dǎo)把握正確的方向����。安全主管的報告對象應(yīng)該是誰����?很多公司企業(yè)對此常常感到困惑。但是報告結(jié)構(gòu)并沒有領(lǐng)導(dǎo)能力和推進(jìn)安全進(jìn)程的能力重要�����。OT安全主管向CISO報告并通報運營主管����,或者反之���,都有成功案例。
7. 教育高管和董事�����,讓他們了解潛在安全事件的危害
這一步與第6步相關(guān)��,因為公司領(lǐng)導(dǎo)層����,董事和執(zhí)行官們,負(fù)有管理公司風(fēng)險的法律責(zé)任��。然而�����,工業(yè)網(wǎng)絡(luò)風(fēng)險可見性日漸增加的同時��,很多企業(yè)的領(lǐng)導(dǎo)層卻依然不知道自己一無所知���。安全人員自然了解技術(shù)風(fēng)險�����;通過讓領(lǐng)導(dǎo)層也看到該風(fēng)險及其相關(guān)的業(yè)務(wù)影響����,自然能夠輔助驅(qū)動改變這一現(xiàn)狀?���?梢娦则?qū)動理解,理解驅(qū)動緊迫性�,緊迫性驅(qū)動行動。
沒有全盤了解上述問題的答案也不要緊����。
丘吉爾曾經(jīng)說過:“完美是進(jìn)步的敵人?!蔽覀兛赡茈y以確定從哪里開始評估工業(yè)網(wǎng)絡(luò)風(fēng)險和安排緩解步驟。從上面的步驟開始�,可以帶來最佳的風(fēng)險降低比�����,讓你的公司走上安全正規(guī)���。不用等待完美解決方案�;就從這里開始并不斷迭代。最重要的事是��,現(xiàn)在就開始
