近年来人们对网络安全的意识显然更强了。尽管安全领域对于网络威胁的认识已经很久了,然而普通民众以及管理层对于网络威胁潜在危险的认识在过去的一年中变得更加的清晰。对于安全的恐惧会是一种痛苦的体验,是时候将这种痛苦彻底缓解了。
不过,意识不一定意味着行动。在未来的一年中,我们很可能会看到更多的针对安全事件的“膝跳反射”,这些安全事件已经让安全战线的“老兵们”疲于奔命而又不得不继续防御。不过不一定要采取老的方式了。工业控制系统(ICS)的安全专家们会继续强调建立一套坚固的安全程序的重要性。
有时,让工业的安全专家们感到气愤的主要是用户认为安全是纯技术问题。也许在一定程度上是这样的,可是事实远远不止。人们的想法、流程以及科技才是真正的决定因素。
安全方面最薄弱的环节往往还是人,不过如果利用好,人也有可能成为最强大的支持条件。要想实现这一点,生产制造商必须培训工人,并迫使他们像看待人身安全一样考虑网络安全。
这样有助于创造出依赖工业中使用的各种安全标准(例如IEC 62443)的安全流程。生产制造商要确保每个人都保持警惕。
现在已经有了可以阻止任何类型网络攻击的技术,不过提供者需要了解他们需要保护的对象,然后才会应用合适的技术。用户不能简单地将问题抛给技术,就期待结果出现。需要有一个考虑周全的计划,不可能一次性就将问题全部根除,而是一个一个项目的来处理问题,这样处理问题的范围会不断增加。
安全思维的转变
工业物联网的发展正在挑战传统的网络安全思维方式。昨天有效的方式在今天和明天一样有效,这种想法需要改变了。网络攻击正日益猖獗,例如,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。
从工业控制系统安全的角度,针对工业控制系统的可靠性、稳定性、业务连续性的严格要求,结合工业控制系统软件和设备更新的频率、通信和数据的特点,提出了工业控制系统网络安全“白名单”的概念。应用白名单意味着允许运行所有明确允许的(或加入白名单的)软件以及程序块。这避免了运行未知程序的情况,包括恶意软件。在商业网络中使用白名单时的一项挑战是管理不断变化的允许使用的应用列表。在控制系统的环境下那种负担得到了缓解,因为在那些系统中运行的应用程序在本质上是静态的。
从内部建立安全
为了与不断变化的意识的限制保持一致,与确保增强的边界相比较,安全需要关注从内部提供的保护。坚固的外在防线的概念在几年之前发挥作用,不过随着行业从Stuxnet事件中吸取教训,如果有人想要进入一个系统,该系统是否具有增强的边界或网闸都无关紧要,因为他们还是会进去。
那意味着了解什么以及哪里才是你必须要保护的,对于一个真正的系统评估来说变得极其重要。毕竟如果你不知道你在保护什么,你是无法设计安全系统的。将用户安装的内容记录在案至关重要,因为他们通常甚至不知道他们的系统中安装了什么。这会导致区域和沟渠的建立,进而会割裂系统并将其分区。接着就可能对每一个单独的区域进行风险评估。
我们需要对攻击进行定位并在分区范围内将其消除。内部的威胁已经变成严重的问题,以至于美国国土安全部网络安全及通讯集成中心创建了一个指南用于帮助机构抵御内部的恶意行为。
其中一个需要重点关注的内部威胁包括现任的或前任的员工、承包商或其他商业伙伴,他们拥有或曾经拥有访问机构网络、系统或数据的权限,也就有机会在全球范围内滥用该访问权限,甚至给企业的信息系统造成保密性、完整性或可用性方面的负面影响。
IT/OT的融合
不管你喜欢还是不喜欢,信息技术(IT)和运营技术(OT)都需要紧密协作来确保企业和工厂车间的安全。IT参与安全“游戏”的时间比工厂车间的时间要早一些,因此了解它们并正确应用它们的知识很重要。就像硬币一样,在另一面上,IT必须要了解工厂车间都是怎么回事以及将保持系统正常运行作为头等大事。
防火墙有两侧,就是说IT在一侧工作,OT在另一侧工作。那不意味着两侧是独立的孤岛,仅仅意味着其专业知识在各自的领域内是占主导的。了解通讯方面,以及保持系统正常运行和稳定生产的重点要素,对于企业的持续发展是至关重要的。
安全实施IIoT的5个步骤
IT与OT的融合也使得企业在连接性的发展方面进一步增强。因此如果你谈论增强的连接性,工业物联网(IIoT)这个词汇就会闪现出来。IIoT的发展让企业增强了连接性,实现了从车间到MES到ERP层级之间的信息互联,但是更多的连接,也带来了潜在网络攻击途径的增加,网络安全的风险随之升高。这意味着网络安全需要比现在展示出更大的作用。
尽管行业里都在谈论IIoT,可是很少有人进一步谈到他们如何获得益处。好的一面是这种进展将要发生,而且如果生产制造商足够聪明的话,他们可以从一开始就把网络安全考虑进去。
下面列出的是安全实施IIoT的5个步骤:
1. 访问:用户必须知道他们有什么,放在哪里,是做什么用的,以及谁拥有管理权限。
2. 迁移/更新:用户应该将以太网作为他们的基础。
3. 正确的设计:最终用户需要关注网络并创造一个区域以及管道分区模型。
4. 保护:既有内部风险,还有外部风险,这意味着应该有重叠的网络安全。
5. 监控:用户需要监控网络并制定计划,根据计划进行定期维护、持续网络监控、系统故障报警以及建立相应协议。
云覆盖
对云技术的使用一直处于增长曲线上,不过那不意味着在这个过程中没有成长的痛苦。一些例如协作、仓储、客户关系管理(CRM)以及企业资源管理(ERM)的关键应用正转移到云端。这意味着大量关键的企业数据会最终转移到云端。
云端提供了各种好处,不过对于云端不是很安全的担心也会让企业的领导们寝食难安,因为如果被攻破,他们会损失其主要的IP。
云技术的增长和相应的边界的扩大,为那些保护其企业免受新出现的攻击的IT专业人士制造了巨大的挑战。一项关于“什么数据才是真正重要”的研究分析指出,作为用户教育和授权增长的补充,需要在云技术迅猛增长的同时保证网络安全。
网络保险
对于企业来说,网络风险是主要的、快速增长的威胁。一项报告指出:仅就网络犯罪一项,每年给全球经济造成的损失就达到4450亿美元,全球最大的十个经济体就占了该总数的一半。
差不多15年以前,网络攻击基本上是比较初级的,一般是黑客活动家的工作,不过随着网络互联、全球化以及网络犯罪商业化的增加,网络攻击的频率和严重程度也在增加。
网络保险不是严密网络安全的替代,不过它为消除网络事件创建了第二条防线。
对于网络暴露以及规定变化的认识不断增强,推动了网络保险的增长。目前,不到10%的公司购买了网络保单,一项对于网络保险费的预测认为在未来十年内,保费会从目前的每年20亿美元增加到每年200亿美元。
为了显示过去两年内美国公司成本的增长和攻击的增加,保险公司现在的网络保费正在逐渐上升。尽管该问题已经跨越了行业边界,生产制造自动化行业已经关注该问题很多年了。在费率增长的顶端,保险公司提升了免赔额并且在某些情况下将覆盖的数额限制在1亿美金以内。尽管该数字看起来很大,不过实际上一个网络攻击可以让公司遭受巨大的成本损失。
保险公司总要面对的一大挑战是在发生数据外泄时,要识别出潜在的财务责任。大部分这种情况是因为缺少理解泄漏对于潜在财务影响的信息。然而,随着泄漏的增加,保险公司已经有了他们评估风险所需的数据,而其结果是惊人的。
那意味着保险公司目睹了数据泄露造成的财务风险超过了最初的计划。网络保险的价格主要取决于公司在网络安全方面的力度,这会覆盖如下成本,例如司法调查、信用监控、诉讼费用结算等各个方面。
劳动力结构变化
对于婴儿潮出生的一代人正准备退出各行各业的问题成为受关注的话题已经好几年了,不过大规模的离去还在持续,并且大多数生产制造商对提出的补救措施已经尽力了。
有一件事可以帮助替代空余的座位,就是使用更多自动化,这也有利于实现标准化并且确定每个人都经过培训并了解标准的操作程序。
老一代工程师退休并带走了他们宝贵的经验,可能会对企业造成伤害。不过伴随着对计算机更加懂行的年轻工程师的加入,会促进对网络安全重要性方面的认识。(作者:Gregory Hale)