覺得過去10年的IT網(wǎng)絡(luò)安全世界很糟糕?那是你還沒認(rèn)識到更令人絕望的深層因素。被盜知識產(chǎn)權(quán)損失達(dá)數(shù)十億,OPM之類的大規(guī)模情報泄露頻發(fā),億萬身份失竊——網(wǎng)絡(luò)空間失敗案例多如繁星。盡管如此,從安全控制角度出發(fā),依然有著明顯的重大進(jìn)展。無數(shù)創(chuàng)新——人力財力的巨大投入、產(chǎn)業(yè)/次產(chǎn)業(yè)的誕生和發(fā)展、對新興威脅的響應(yīng)能力(盡管不能預(yù)見),描繪出了損失背后蘊(yùn)藏的大量積極因素。重點在于,為什么我們當(dāng)前擁有一個約2000個安全解決方案的市場。而其市場價值就是另一個討論話題了。
關(guān)鍵基礎(chǔ)設(shè)施/工業(yè)控制系統(tǒng)(ICS)這一安全細(xì)分領(lǐng)域,雖然圍繞噩夢般的網(wǎng)絡(luò)攻擊場景和后果有近20年的討論,過去10年卻可被標(biāo)記為“信息安全缺失的10年”。
可以說,在網(wǎng)絡(luò)安全準(zhǔn)備度上,我們現(xiàn)在也沒比10年前好多少。隨著威脅態(tài)勢明顯日漸活躍和危險,這種形勢簡直讓人夜不能寐。威脅場景討論正演變?yōu)楝F(xiàn)實,然而我們卻尚未準(zhǔn)備好應(yīng)對即將到來的威脅。
令人振奮的是,過去2年中,尤其是剛剛過去的這幾個月,我們見證了ICS安全意識和優(yōu)先級的快速上升。業(yè)內(nèi)新初創(chuàng)公司的涌現(xiàn),對老牌安全公司的新關(guān)注,CISO與董事間討論層次的上升,吹散了安全領(lǐng)域的一絲陰霾。而令人沮喪的是,上述所有,都是網(wǎng)絡(luò)空間里不斷增多滿溢的針對性攻擊的結(jié)果。
一、我們錯在哪兒了?
1. 沒能彌合IT與ICS(工程)人員之間的距離
這兩種團(tuán)隊背景不同,任務(wù)不同,看待世界的角度也完全不同。ICS做出的每一個決策都以安全和正常運(yùn)行時間為核心考慮,他們對有所影響的安全控制的引入零容忍。即便是補(bǔ)丁修復(fù)這么基礎(chǔ)的概念,在他們看來也是有問題的,因為會給生產(chǎn)帶來停機(jī)時間。
這些團(tuán)隊在相互協(xié)作上已有大幅進(jìn)步,但I(xiàn)CS專用解決方案的缺乏,那種不破壞正常運(yùn)行和安全,并對兩種團(tuán)隊都有明顯價值的解決方案的缺乏,造成了大多數(shù)情況下的閉關(guān)自守政策。“我管著車間,我得保持生產(chǎn)運(yùn)行。我要保證不出故障,不引發(fā)我們團(tuán)隊或公眾的安全顧慮。你不能在我網(wǎng)絡(luò)里部署那個,絕對不行。”
2. 淪為規(guī)定指令/標(biāo)準(zhǔn)必須被實現(xiàn)的受害者
關(guān)注ICS安全很好;發(fā)展NERC CIP之類規(guī)定,強(qiáng)制該領(lǐng)域安全控制也很好。但是,雖然IEC 62443這樣的標(biāo)準(zhǔn)很好地描繪了“可以”被應(yīng)用的控制措施,實際運(yùn)營這些網(wǎng)絡(luò)的人就知道,規(guī)范不是那么容易實施的。理論上實現(xiàn)規(guī)范是正確的事,但只要考慮到業(yè)務(wù)需求,這些建議中很多都不現(xiàn)實。而且,基本上所有標(biāo)準(zhǔn)/合規(guī)類體系中,原本應(yīng)該是地板的東西,往往最終會成為天花板。
3. 試圖將IT安全“方釘”強(qiáng)行塞進(jìn)ICS網(wǎng)絡(luò)的“圓孔”中
IT安全工具部署為脆弱的ICS網(wǎng)絡(luò)設(shè)計的。主動掃描、主動查詢和其他“標(biāo)準(zhǔn)IT工具”都會讓PLC崩潰,會中斷正常運(yùn)行,會導(dǎo)致嚴(yán)重問題,F(xiàn)實世界里我們所知的一個例子,就是近期某廣泛應(yīng)用的網(wǎng)絡(luò)掃描工具,導(dǎo)致了停電。
4. 因為“攻擊只是理論上而非即將發(fā)生”就推遲安全投入
邏輯上,過去10年的網(wǎng)絡(luò)安全預(yù)算都投入到了損失正在發(fā)生的領(lǐng)域。不知道誰在你的網(wǎng)絡(luò)內(nèi)部?完整數(shù)據(jù)包捕獲和取證工具。處理百萬終端解決方案?SIEM和編配工具。深受魚叉式網(wǎng)絡(luò)釣魚之苦?高級終端解決方案等等。這很合乎邏輯,而且你也不能真埋怨人們這么投資。然而,這種救火隊員式的網(wǎng)絡(luò)威脅處理方式,導(dǎo)致了嚴(yán)重資金不足的ICS安全項目。這種短視行為很快就會讓我們自食惡果。我們已經(jīng)討論了20年的理論上的攻擊,正在一一顯現(xiàn),比如震網(wǎng)、2015和2016年末的烏克蘭大斷電,WannaCry和Petya/NotPetya勒索軟件大蔓延。
5. 相信“物理隔離”網(wǎng)絡(luò)從來就不現(xiàn)實/會影響業(yè)務(wù)和效率需求
“我們會設(shè)計網(wǎng)絡(luò),讓它不能從外部訪問/不與IT網(wǎng)絡(luò)互通。”一度聽起來不錯,但業(yè)務(wù)需求徹底破除了“物理隔離”ICS網(wǎng)絡(luò)的概念。維護(hù)要求,與供應(yīng)鏈的連接,遠(yuǎn)程分析,從上到下的KPI管理,驅(qū)動預(yù)測分析的渴望——所有這些需求都讓“物理隔離”像恐龍一樣走向了衰亡。如今,物理隔離與獨角獸有一個共同點——他們都不存在。
6. 難以實現(xiàn),難以消費(fèi),難以維護(hù)前代ICS專用解決方案
過去的時光中出現(xiàn)過一些ICS專用網(wǎng)絡(luò)安全解決方案,雖有前景卻未獲得主流關(guān)注。實現(xiàn)上的困難(比如在每塊PLC前安個防火墻),消費(fèi)上的困難(大規(guī)模安裝工程,大量前端配置時間),以及難控制/不現(xiàn)實的維護(hù)需求,讓這些前景都煙消云散了。它們僅僅是沒能理解ICS消費(fèi)者的特殊需求。
二、跨越ICS信息安全那缺失的10年
我們失去了10年時間,而現(xiàn)在威脅已在敲門。我們顯然沒有時間像IT安全過去10年做的那樣從分層/深度防御策略做起。那緩慢的進(jìn)化過程不會有用——我們需要革命。
于是,老實說,現(xiàn)在,我們可以采取什么行動,來實現(xiàn)ICS安全跨越式發(fā)展呢?
首先,我們得停止“研究”該問題。最近發(fā)布的總統(tǒng)行政命令號召審查關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全準(zhǔn)備度,于是我們研究、分析、審查了全球無數(shù)建議。現(xiàn)在我們需要來自政府、董事會、CIO/CISO、ICS擁有者/運(yùn)營者、安全廠商和ICS設(shè)備制造商,對我們所面臨問題的關(guān)注與投入。
我們需要一個能帶來最大收益和最快安全準(zhǔn)備度成長的基準(zhǔn)體系結(jié)構(gòu)。一個簡單而快速(比如幾個月而不是幾年)的實現(xiàn)框架——重點放在風(fēng)險評估、實時監(jiān)視、高風(fēng)險漏洞管理、威脅情報、高級終端防護(hù)和快速響應(yīng)上。
與兩三年前不同,今天的技術(shù)可被ICS和安全團(tuán)隊接受。作為利益相關(guān)者,我們需停止討論,著手行動。威脅很現(xiàn)實,且即將到來。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:跨越工控安全缺失的十年
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839521088.html