覺得過去10年的IT網(wǎng)絡(luò)安全世界很糟糕?那是你還沒認識到更令人絕望的深層因素。被盜知識產(chǎn)權(quán)損失達數(shù)十億,OPM之類的大規(guī)模情報泄露頻發(fā),億萬身份失竊——網(wǎng)絡(luò)空間失敗案例多如繁星。盡管如此,從安全控制角度出發(fā),依然有著明顯的重大進展。無數(shù)創(chuàng)新——人力財力的巨大投入、產(chǎn)業(yè)/次產(chǎn)業(yè)的誕生和發(fā)展、對新興威脅的響應能力(盡管不能預見),描繪出了損失背后蘊藏的大量積極因素。重點在于,為什么我們當前擁有一個約2000個安全解決方案的市場。而其市場價值就是另一個討論話題了。
關(guān)鍵基礎(chǔ)設(shè)施/工業(yè)控制系統(tǒng)(ICS)這一安全細分領(lǐng)域,雖然圍繞噩夢般的網(wǎng)絡(luò)攻擊場景和后果有近20年的討論,過去10年卻可被標記為“信息安全缺失的10年”。
可以說,在網(wǎng)絡(luò)安全準備度上,我們現(xiàn)在也沒比10年前好多少。隨著威脅態(tài)勢明顯日漸活躍和危險,這種形勢簡直讓人夜不能寐。威脅場景討論正演變?yōu)楝F(xiàn)實,然而我們卻尚未準備好應對即將到來的威脅。
令人振奮的是,過去2年中,尤其是剛剛過去的這幾個月,我們見證了ICS安全意識和優(yōu)先級的快速上升。業(yè)內(nèi)新初創(chuàng)公司的涌現(xiàn),對老牌安全公司的新關(guān)注,CISO與董事間討論層次的上升,吹散了安全領(lǐng)域的一絲陰霾。而令人沮喪的是,上述所有,都是網(wǎng)絡(luò)空間里不斷增多滿溢的針對性攻擊的結(jié)果。
一、我們錯在哪兒了?
1. 沒能彌合IT與ICS(工程)人員之間的距離
這兩種團隊背景不同,任務(wù)不同,看待世界的角度也完全不同。ICS做出的每一個決策都以安全和正常運行時間為核心考慮,他們對有所影響的安全控制的引入零容忍。即便是補丁修復這么基礎(chǔ)的概念,在他們看來也是有問題的,因為會給生產(chǎn)帶來停機時間。
這些團隊在相互協(xié)作上已有大幅進步,但ICS專用解決方案的缺乏,那種不破壞正常運行和安全,并對兩種團隊都有明顯價值的解決方案的缺乏,造成了大多數(shù)情況下的閉關(guān)自守政策。“我管著車間,我得保持生產(chǎn)運行。我要保證不出故障,不引發(fā)我們團隊或公眾的安全顧慮。你不能在我網(wǎng)絡(luò)里部署那個,絕對不行。”
2. 淪為規(guī)定指令/標準必須被實現(xiàn)的受害者
關(guān)注ICS安全很好;發(fā)展NERC CIP之類規(guī)定,強制該領(lǐng)域安全控制也很好。但是,雖然IEC 62443這樣的標準很好地描繪了“可以”被應用的控制措施,實際運營這些網(wǎng)絡(luò)的人就知道,規(guī)范不是那么容易實施的。理論上實現(xiàn)規(guī)范是正確的事,但只要考慮到業(yè)務(wù)需求,這些建議中很多都不現(xiàn)實。而且,基本上所有標準/合規(guī)類體系中,原本應該是地板的東西,往往最終會成為天花板。
3. 試圖將IT安全“方釘”強行塞進ICS網(wǎng)絡(luò)的“圓孔”中
IT安全工具部署為脆弱的ICS網(wǎng)絡(luò)設(shè)計的。主動掃描、主動查詢和其他“標準IT工具”都會讓PLC崩潰,會中斷正常運行,會導致嚴重問題。現(xiàn)實世界里我們所知的一個例子,就是近期某廣泛應用的網(wǎng)絡(luò)掃描工具,導致了停電。
4. 因為“攻擊只是理論上而非即將發(fā)生”就推遲安全投入
邏輯上,過去10年的網(wǎng)絡(luò)安全預算都投入到了損失正在發(fā)生的領(lǐng)域。不知道誰在你的網(wǎng)絡(luò)內(nèi)部?完整數(shù)據(jù)包捕獲和取證工具。處理百萬終端解決方案?SIEM和編配工具。深受魚叉式網(wǎng)絡(luò)釣魚之苦?高級終端解決方案等等。這很合乎邏輯,而且你也不能真埋怨人們這么投資。然而,這種救火隊員式的網(wǎng)絡(luò)威脅處理方式,導致了嚴重資金不足的ICS安全項目。這種短視行為很快就會讓我們自食惡果。我們已經(jīng)討論了20年的理論上的攻擊,正在一一顯現(xiàn),比如震網(wǎng)、2015和2016年末的烏克蘭大斷電,WannaCry和Petya/NotPetya勒索軟件大蔓延。
5. 相信“物理隔離”網(wǎng)絡(luò)從來就不現(xiàn)實/會影響業(yè)務(wù)和效率需求
“我們會設(shè)計網(wǎng)絡(luò),讓它不能從外部訪問/不與IT網(wǎng)絡(luò)互通。”一度聽起來不錯,但業(yè)務(wù)需求徹底破除了“物理隔離”ICS網(wǎng)絡(luò)的概念。維護要求,與供應鏈的連接,遠程分析,從上到下的KPI管理,驅(qū)動預測分析的渴望——所有這些需求都讓“物理隔離”像恐龍一樣走向了衰亡。如今,物理隔離與獨角獸有一個共同點——他們都不存在。
6. 難以實現(xiàn),難以消費,難以維護前代ICS專用解決方案
過去的時光中出現(xiàn)過一些ICS專用網(wǎng)絡(luò)安全解決方案,雖有前景卻未獲得主流關(guān)注。實現(xiàn)上的困難(比如在每塊PLC前安個防火墻),消費上的困難(大規(guī)模安裝工程,大量前端配置時間),以及難控制/不現(xiàn)實的維護需求,讓這些前景都煙消云散了。它們僅僅是沒能理解ICS消費者的特殊需求。
二、跨越ICS信息安全那缺失的10年
我們失去了10年時間,而現(xiàn)在威脅已在敲門。我們顯然沒有時間像IT安全過去10年做的那樣從分層/深度防御策略做起。那緩慢的進化過程不會有用——我們需要革命。
于是,老實說,現(xiàn)在,我們可以采取什么行動,來實現(xiàn)ICS安全跨越式發(fā)展呢?
首先,我們得停止“研究”該問題。最近發(fā)布的總統(tǒng)行政命令號召審查關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全準備度,于是我們研究、分析、審查了全球無數(shù)建議。現(xiàn)在我們需要來自政府、董事會、CIO/CISO、ICS擁有者/運營者、安全廠商和ICS設(shè)備制造商,對我們所面臨問題的關(guān)注與投入。
我們需要一個能帶來最大收益和最快安全準備度成長的基準體系結(jié)構(gòu)。一個簡單而快速(比如幾個月而不是幾年)的實現(xiàn)框架——重點放在風險評估、實時監(jiān)視、高風險漏洞管理、威脅情報、高級終端防護和快速響應上。
與兩三年前不同,今天的技術(shù)可被ICS和安全團隊接受。作為利益相關(guān)者,我們需停止討論,著手行動。威脅很現(xiàn)實,且即將到來。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標題:跨越工控安全缺失的十年
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10839521088.html
相關(guān)文章
