做好工(gōng)業網絡和關鍵基礎設施安全态勢感知(zhī)的7個步驟

 工(gōng)業網絡攻擊是另一(yī)種形式的推進地緣政治議程的“經濟戰”。世界各國開(kāi)始意識到IT網絡攻擊是利益驅動的新型犯罪，我(wǒ)們必須看清，當前全球工(gōng)業和關鍵基礎設施，已成強大(dà)對手發起的21世紀戰争中(zhōng)的潛在目标(無論是故意的還是連帶傷害波及的)。

 

　　風暴正在形成，你準備好了嗎(ma)？

FBI/DHS發出的TA18-074A警報中(zhōng)描述的俄羅斯對美國能源設施的滲透，國家支持的Triton和NotPetya攻擊，還有其他類似事件，都是該戰争正在持續發酵的證據。上個月，賽門鐵克報告了對美國衛星運營商(shāng)、國防承包商(shāng)和電(diàn)信公司控制系統的複雜(zá)滲透，據說攻擊來自中(zhōng)國境内的計算機。報告中(zhōng)稱，這一(yī)系列攻擊是旨在竊聽(tīng)軍事和民用通信的協同間諜行動。獲得被侵入系統的控制權後，黑客甚至能改變軌道運行衛星的位置，終端數據傳輸。

這不是危言聳聽(tīng)，全球工(gōng)業設備已成黑客目标，這些設備的安全長期被忽視，我(wǒ)們必須盡快行動起來，保護這些非常重要的關鍵基礎設施。複雜(zá)系統的安全保護工(gōng)作并不容易，需要時間、金錢的投入和來自高級管理層的承諾。于是，我(wǒ)們自身能做些什麽來立即減小(xiǎo)風險呢？

　　千裏之行始于足下(xià)

通往更好的态勢感知(zhī)和風險縮減的道路，從以下(xià)7步開(kāi)始：

　　1.承認現實

運營技術(OT)是公司企業運營的基礎，這一(yī)點大(dà)家都清楚，但還必須認識到這些網絡對對手而言也具有戰略重要性——它們是公司運營的關鍵，一(yī)旦出故障将造成大(dà)範圍的業務中(zhōng)斷，因而是對手眼中(zhōng)極具吸引力的目标。認識到這一(yī)點，你就必須做出誠實的評估，看看自家ICS網絡的安全狀态與其作爲目标的價值是否相稱。幾十年來，大(dà)多數企業的安全進程和安全投入都是由保護IT系統所存數據來驅動的，相比之下(xià)OT環境受到了忽視。IT網絡安全解決方案不适用于OT網絡，這些網絡很容易被公司安全團隊無視，也比想象中(zhōng)暴露的更多。

　　2.提出尖銳問題

推動公司安全态勢改變始于提出一(yī)些非常尖銳的問題，獲得一(yī)些可能讓人很不舒服的答案。監控并保護ICS網絡的責任在誰身上？安全團隊和運營團隊有協作嗎(ma)？這些團隊有沒有在一(yī)起讨論ICS網絡安全策略？對這些網絡做過風險評估，了解自身安全漏洞都有哪些并合理定出優先級了嗎(ma)？公司領導層注意到風險暴露面了嗎(ma)？

　　3.标出盲點

沒有證據并不等同于公司網絡中(zhōng)就沒有惡意黑客。系統正常運行并不意味着沒有潛在的安全問題。任何試圖滲透網絡的攻擊者都會想要讓你誤以爲系統正常運行。關于OT環境，誠實面對自己已知(zhī)(不是你覺得自己知(zhī)道而是真的清除)和未知(zhī)的東西。發現自己的盲點所在并量化盲點的影響。

　　4.做好基礎

開(kāi)始提高公司的可見性并摸清OT環境的風險——即便無法在短期内搞定一(yī)切。審計自己的網絡分(fēn)隔情況。真正堅實的網絡分(fēn)隔是資(zī)産擁有者防護自身OT環境的最重要一(yī)步。網絡分(fēn)隔并不單單指IT網絡和OT網絡的隔離(lí)，還指的是OT網絡環境當中(zhōng)的隔離(lí)。IT和OT網絡的隔離(lí)可以讓攻擊者更難以滲透進OT網絡，大(dà)幅減少IT網絡攻擊的“溢出”傷害。OT網絡環境中(zhōng)的隔離(lí)則能讓攻擊者即便在OT網絡上建立了橋頭堡也難以橫向移動染指更多系統。

　　5.讓OT網絡可見

讓很多公司企業難以有效保護自身OT環境的一(yī)大(dà)基礎問題，是缺乏對自身ICS網絡結構的可見性。少數走在提供網絡可見性前沿的公司企業可以證明，部署專用網絡監控經常能發現安全團隊不知(zhī)道的聯網終端，這些終端本不應接入特定網絡，或者正以非預期的方式通信。很明顯，看不見就無法防護。所以，我(wǒ)們應該采用能夠提供公司OT網絡所有層級可見性的技術，下(xià)至串行/現場總線層級，并在IT安全中(zhōng)心集成該可見性及OT專用的威脅檢測。

　　6.擴展事件響應和監管

必須全面管理網絡風險，這意味着要在OT和IT環境統一(yī)應用嚴格的監視、管理和報告操作。最重要的是要确保有專人負責OT系統的安全。這個角色不是任何人都能充當的，得是受到運營團隊尊重并能推動事務進展的人物(wù)。網絡安全永遠在路上，沒有終點，必須有強力領導把握正确的方向。安全主管的報告對象應該是誰？很多公司企業對此常常感到困惑。但是報告結構并沒有領導能力和推進安全進程的能力重要。OT安全主管向CISO報告并通報運營主管，或者反之，都有成功案例。

　　7.教育高管和董事，讓他們了解潛在安全事件的危害

這一(yī)步與第6步相關，因爲公司領導層，董事和執行官們，負有管理公司風險的法律責任。然而，工(gōng)業網絡風險可見性日漸增加的同時，很多企業的領導層卻依然不知(zhī)道自己一(yī)無所知(zhī)。安全人員(yuán)自然了解技術風險；通過讓領導層也看到該風險及其相關的業務影響，自然能夠輔助驅動改變這一(yī)現狀。可見性驅動理解，理解驅動緊迫性，緊迫性驅動行動。

沒有全盤了解上述問題的答案也不要緊。

丘吉爾曾經說過：“完美是進步的敵人。”我(wǒ)們可能難以确定從哪裏開(kāi)始評估工(gōng)業網絡風險和安排緩解步驟。從上面的步驟開(kāi)始，可以帶來最佳的風險降低比，讓你的公司走上安全正規。不用等待完美解決方案；就從這裏開(kāi)始并不斷叠代。最重要的事是，現在就開(kāi)始!