工业网络攻击是另一种形式的推进地缘政治议程的“经济战”。世界各国开始意识到这网络攻击是利益驱动的新型犯罪,我们必须看清,当前全球工业和关键基础设施,已成强大对手发起的21世纪战争中的潜在目标(无论是故意的还是连带伤害波及的)。
<强>风暴正在形成,你准备好了吗?
联邦调查局/安全部发出的ta18 - 074 a警报中描述的俄罗斯对美国能源设施的渗透,国家支持的Triton和NotPetya攻击,还有其他类似事件,都是该战争正在持续发酵的证据。上个月,赛门铁克报告了对美国卫星运营商,国防承包商和电信公司控制系统的复杂渗透,据说攻击来自中国境内的计算机。报告中称,这一系列攻击是旨在窃听军事和民用通信的协同间谍行动。获得被侵入系统的控制权后,黑客甚至能改变轨道运行卫星的位置,终端数据传输。
这不是危言耸听,全球工业设备已成黑客目标,这些设备的安全长期被忽视,我们必须尽快行动起来,保护这些非常重要的关键基础设施。复杂系统的安全保护工作并不容易,需要时间,金钱的投入和来自高级管理层的承诺。于是,我们自身能做些什么来立即减小风险呢?
<强>千里之行始于足下
通往更好的态势感知和风险缩减的道路,从以下7步开始:
<强> 1。承认现实
运营技术(OT)是公司企业运营的基础,这一点大家都清楚,但还必须认识到这些网络对对手而言也具有战略重要性,它们是公司运营的关键,一旦出故障将造成大范围的业务中断,因而是对手眼中极具吸引力的目标。认识到这一点,你就必须做出诚实的评估,看看自家ICS网络的安全状态与其作为目标的价值是否相称。几十年来,大多数企业的安全进程和安全投入都是由保护它系统所存数据来驱动的,相比之下OT环境受到了忽视,网络安全解决方案不适用于OT网络,这些网络很容易被公司安全团队无视,也比想象中暴露的更多。
<强> 2。提出尖锐问题
推动公司安全态势改变始于提出一些非常尖锐的问题,获得一些可能让人很不舒服的答案。监控并保护ICS网络的责任在谁身上?安全团队和运营团队有协作吗?这些团队有没有在一起讨论ICS网络安全策略?对这些网络做过风险评估,了解自身安全漏洞都有哪些并合理定出优先级了吗?公司领导层注意到风险暴露面了吗?
<强> 3。标出盲点
没有证据并不等同于公司网络中就没有恶意黑客。系统正常运行并不意味着没有潜在的安全问题。任何试图渗透网络的攻击者都会想要让你误以为系统正常运行。关于OT环境,诚实面对自己已知(不是你觉得自己知道而是真的清除)和未知的东西。发现自己的盲点所在并量化盲点的影响。
<强> 4。做好基础
开始提高公司的可见性并摸清OT环境的风险——即便无法在短期内搞定一切。审计自己的网络分隔情况。真正坚实的网络分隔是资产拥有者防护自身OT环境的最重要一步。网络分隔并不单单指它网络和OT网络的隔离,还指的是OT网络环境当中的隔离,和OT网络的隔离可以让攻击者更难以渗透进OT网络,大幅减少它网络攻击的“溢出“伤害.OT网络环境中的隔离则能让攻击者即便在OT网络上建立了桥头堡也难以横向移动染指更多系统。
<强> 5。让OT网络可见
让很多公司企业难以有效保护自身OT环境的一大基础问题,是缺乏对自身ICS网络结构的可见性。少数走在提供网络可见性前沿的公司企业可以证明,部署专用网络监控经常能发现安全团队不知道的联网终端,这些终端本不应接入特定网络,或者正以非预期的方式通信。很明显,看不见就无法防护,所以,我们应该采用能够提供公司OT网络所有层级可见性的技术,下至串行/现场总线层级,并在它安全中心集成该可见性及不专用的威胁检测。
<强> 6。扩展事件响应和监管
必须全面管理网络风险,这意味着要在OT和它环境统一应用严格的监视,管理和报告操作。最重要的是要确保有专人负责不系统的安全。这个角色不是任何人都能充当的,得是受到运营团队尊重并能推动事务进展的人物。网络安全永远在路上,没有终点,必须有强力领导把握正确的方向。安全主管的报告对象应该是谁?很多公司企业对此常常感到困惑。但是报告结构并没有领导能力和推进安全进程的能力重要.OT安全主管向CISO报告并通报运营主管,或者反之,都有成功案例。
