工业网络攻击是另一种形式的推进地缘政治议程的“经济战” 。世界各国开始意识到IT网络攻击是利益驱动的新型犯罪,我们必须看清,当前全球工业和关键基础设施,已成强大对手发起的21世纪战争中的潜在目标(无论是故意的还是连带伤害波及的)。
风暴正在形成,你准备好了吗?
FBI/DHS发出的TA18-074A警报中描述的 俄罗斯对美国能源设施的渗透 ,国家支持的 Triton 和 NotPetya攻击 ,还有其他类似事件,都是该战争正在持续发酵的证据。上个月,赛门铁克报告了对美国卫星运营商、国防承包商和电信公司控制系统的复杂渗透,据说攻击来自中国境内的计算机。报告中称,这一系列攻击是旨在窃听军事和民用通信的协同间谍行动。获得被侵入系统的控制权后, 黑客甚至能改变轨道运行卫星的位置,终端数据传输。
这不是危言耸听, 全球工业设备已成黑客目标, 这些设备的安全长期被忽视,我们必须尽快行动起来,保护这些非常重要的关键基础设施。复杂系统的安全保护工作并不容易,需要时间、金钱的投入和来自高级管理层的承诺。于是,我们自身能做些什么来立即减小风险呢?
千里之行始于足下
通往更好的态势感知和风险缩减的道路,从以下7步开始:
1. 承认现实
运营技术(OT)是公司企业运营的基础 ,这一点大家都清楚,但还必须认识到这些网络对对手而言也具有战略重要性――它们是公司运营的关键,一旦出故障将造成大范围的业务中断,因而是对手眼中极具吸引力的目标。认识到这一点,你就必须做出诚实的评估,看看自家 ICS网络 的安全状态与其作为目标的价值是否相称。几十年来,大多数企业的安全进程和安全投入都是由保护IT系统所存数据来驱动的,相比之下OT环境受到了忽视。IT网络安全解决方案不适用于OT网络,这些网络很容易被公司安全团队无视,也比想象中暴露的更多。
2. 提出尖锐问题
推动公司安全态势改变始于提出一些非常尖锐的问题,获得一些可能让人很不舒服的答案。监控并保护ICS网络的责任在谁身上?安全团队和运营团队有协作吗?这些团队有没有在一起讨论ICS网络安全策略?对这些网络做过风险评估,了解自身安全漏洞都有哪些并合理定出优先级了吗?公司领导层注意到风险暴露面了吗?
3. 标出盲点
没有证据并不等同于公司网络中就没有恶意黑客。系统正常运行并不意味着没有潜在的安全问题。任何试图渗透网络的攻击者都会想要让你误以为系统正常运行。关于OT环境,诚实面对自己已知(不是你觉得自己知道而是真的清除)和未知的东西。发现自己的盲点所在并量化盲点的影响。
4. 做好基础
开始提高公司的可见性并摸清OT环境的风险――即便无法在短期内搞定一切。审计自己的网络分隔情况。真正坚实的网络分隔是资产拥有者防护自身OT环境的最重要一步。网络分隔并不单单指IT网络和OT网络的隔离,还指的是OT网络环境当中的隔离。IT和OT网络的隔离可以让攻击者更难以渗透进OT网络,大幅减少IT网络攻击的“溢出”伤害。OT网络环境中的隔离则能让攻击者即便在OT网络上建立了桥头堡也难以横向移动染指更多系统。
5. 让OT网络可见
让很多公司企业难以有效保护自身OT环境的一大基础问题,是缺乏对自身ICS网络结构的可见性。少数走在提供网络可见性前沿的公司企业可以证明,部署专用网络监控经常能发现安全团队不知道的联网终端,这些终端本不应接入特定网络,或者正以非预期的方式通信。很明显,看不见就无法防护。所以,我们应该采用能够提供公司OT网络所有层级可见性的技术,下至串行/现场总线层级,并在IT安全中心集成该可见性及OT专用的威胁检测。
6. 扩展事件响应和监管
必须全面管理网络风险,这意味着要在 OT和IT环境统一应用严格的监视、管理和报告操作 。最重要的是要确保有专人负责OT系统的安全。这个角色不是任何人都能充当的,得是受到运营团队尊重并能推动事务进展的人物。网络安全永远在路上,没有终点,必须有强力领导把握正确的方向。安全主管的报告对象应该是谁?很多公司企业对此常常感到困惑。但是报告结构并没有领导能力和推进安全进程的能力重要。OT安全主管向CISO报告并通报运营主管,或者反之,都有成功案例。
7. 教育高管和董事,让他们了解潜在安全事件的危害
这一步与第6步相关,因为公司领导层,董事和执行官们,负有管理公司风险的法律责任。然而,工业网络风险可见性日渐增加的同时,很多企业的领导层却依然不知道自己一无所知。安全人员自然了解技术风险;通过让领导层也看到该风险及其相关的业务影响,自然能够辅助驱动改变这一现状。可见性驱动理解,理解驱动紧迫性,紧迫性驱动行动。
没有全盘了解上述问题的答案也不要紧。
丘吉尔曾经说过:“完美是进步的敌人。”我们可能难以确定从哪里开始评估工业网络风险和安排缓解步骤。从上面的步骤开始,可以带来最佳的风险降低比,让你的公司走上安全正规。不用等待完美解决方案;就从这里开始并不断迭代。最重要的事是,现在就开始!
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
