对于工业网络安全来说,没有什么事情是简单的。想要对抗目标坚定且技艺精湛的网络攻击者,保护复杂且老旧的工业系统免受直接或间接的网络攻击,你面临的挑战将如同在运营技术(OT)中遇到的挑战一样艰巨。而且,近几十年来,有关工业控制系统的安全风险问题始终被忽略,所以在风险管理方面也就远远落后于IT风险管理。
尽管上面这些都是坏消息,但是现在,在过去的12-18个月中,运营技术(OT)网络安全意识和行动发生了空前的转变。从董事会到C级管理层再到工厂车间,越来越多的工业组织开始清醒地意识到自己的OT网络正暴露于网络攻击威胁之下,并正在加紧采取行动搭上风险管理的末班车。
那么,驱动这种觉醒的动力是什么?为什么有些组织能够先于其他组织采取行动呢?基于每天与这些组织的管理人员进行的对话,我已经列出了一些能够驱动这种转变的关键因素,并将其总结为“ABC”:
A即意识(Awareness)
网络安全行动的第一步始终始于能够意识到组织存在重大风险。而对于工业组织来说,这种意识主要分为三个方面:
首先,在经历多年将网络威胁视为简单的IT问题之后,越来越多的组织开始意识到,由于OT网络至关重要,威胁行为者已经发现了破坏业务流程的价值。而无论是为了地缘政治优势还是存粹的财务目的,这种价值都会进一步激化工业组织面临的风险形势;其次,他们已经意识到,即便不是作为主要攻击目标也同样会给他们造成严重的损害,因为间接攻击与直接攻击一样具有破坏性;以及第三,企业已经意识到这些工控系统(ICS)环境严重的暴露程度,以及安全团队对于OT环境糟糕的可见化程度。
警示案例
大部分这些意识的形成都要得益于媒体和政府咨询机构频繁发布的警示性案例:
- 恶意软件迫使生产工厂停工——汽车制造商本田和雷诺都曾因为去年的WannaCry攻击事件而被迫暂停生产线。正如我们所知,此次威胁并没有直接针对工业控制系统,但恶意代码仍然能够从IT网络扩散到OT网络中。
- 安全系统已经成为攻击目标,旨在对工厂造成破坏——例如,2017年12月披露的Triton攻击事件。该软件瞄准施耐德电气公司Triconex安全仪表控制系统(Safety Instrumented System,SIS)控制器,最终造成一家能源工厂停运。此次事件是黑客成功入侵工控安全系统的第一起正式报告案例。
- 潜在损害的真实的,而且是难以估量的——在去年的NotPetya勒索软件攻击事件中,全球工业巨头如联邦快递、Maersk、Merck、Mondelez、Reckitt Benckiser以及Saint-Gobain等都经历了总计近9亿美元的巨大损害和财务损失。
- 政府公告正在承认网络风险的范围和严重性——今年早些时候,白宫发表了一份声明,明确指出NotPetya攻击事件为俄方所为,报告称,“2017年6月,俄罗斯军方发起了历史上最具破坏性和代价高昂的网络攻击活动。”
- 美国网络司令部已经认识到网络空间的新现实——上个月,美国网络司令部全面更新了其军事战略,新战略非常公开地承认,随着对手在网络空间中已经获取了足够的实力,美国在网络空间领域正面临着对方压力,过去的“绝对优势”目前已经无法保障。新战略指出网络空间领域内有不同的个体,例如暴力极端主义组织、有组织犯罪团体、黑客组织等,这些团体在能力上参差不齐,但都有可能对美国在网络空间的国家利益造成影响。此外,新战略中最令人鼓舞的内容是要扩大与私营部门、学术界以及其他机构等的伙伴关系,以满足战略实践所需的相关资源。
- 俄罗斯的民族国家行为者被视为以工业系统为主要目标——2018年3月,美国国土安全部(DHS)和联邦调查局(FBI)一起,发布了名为“TA18-106A”的联合技术警报,详细介绍了俄罗斯国家支持行为者针对多个政府实体和关键基础设施部门(包括能源、核能、商业设施、水务、航空以及关键制造部门等)实施的恶意网络活动。
B即预算(Budget)
基于对直接或间接攻击真实风险的认识不断加深,以及越来越多的人意识到工业系统暴露的严重程度,针对OT网络安全方面的预算也正在不断增加。董事会正在正视高管团队面临的OT网络威胁的迫切性,而CISO也开始将其IT预算分配扩展到工业控制系统之中。
工控系统(ICS)安全技术的销售周期通常要比传统的IT安全技术的销售周期长得多,因为买家通常不得不为了这些采购活动而要求增量预算。一种很传统的预算方法是,以当期的预算或者业绩作为基准,通过调整增加来预测新一期的预算,这些调整包括考虑到通货膨胀,计划销售价格或者成本的增加等等。由于这些买家主动将这些投资纳入他们的年度计划,所以现在我们看到的销售周期已经缩短了很多。
降低风险的前瞻思维
很长时间以来,工业系统几乎是不受保护的,人们只是将一层又一层的安全技术应用于其IT环境,因为他们认为网络威胁只是单纯的IT问题。但是,具有前瞻性的公司开始换角度思考,那些始终关注IT和OT安全预算的人开始意识到,加强投资ICS安全性可能比为传统IT安全库增加另一种工具,会对整体风险降低产生更为深远的影响。
C即IT和OT的协作(Collaboration)
整合IT和OT安全预算计划是令人鼓舞的事情,但是想要真正实现工业网络安全的目标,还需要IT和OT安全团队通力协作来降低风险、检测威胁,并在整个企业范围内实施全面响应计划。这听起来似乎很明确,但是实践起来却困难得多。
主要是因为隔行如隔山,两个领域的工作人员都有自己不同的行为和思维方式。IT专业人员习惯在非常动态的环境中工作,对他们来说,频繁地升级和更新补丁是常态,改变是为了实现“更新、更快、更好”的网络环境;相比之下,OT专业人员则主要关注稳定性、正常运行时间,以及在充斥着各种遗留系统和老旧协议的环境中保持生产力。对于OT人员来说,改变可能会阻碍生产力以及扰乱运营平衡,所以他们的宗旨是:只要它没坏就不去修理它!
现在,对他们两个截然不同的团队来说,真正的困难是越来越多的组织正在意识到合作带来的巨大好处,甚至开始从安全角度来整合这些团队。
从风险管理的角度来看,IT和ICS网络的协作监测和分析可以更好地了解异常情况和威胁指标(IOC),以及在事件从一个环境传播到另一个环境,因为很少有OT网络是真正意义上的物理隔离之前,就对事件做出更快的响应的。而就运营效率而言,这种协作也为消除人员配置和分析工具冗余提供了机会。
总结
尽管,地缘政治压力以及外溢的勒索软件攻击等因素已经改变了工业威胁形势,但是对于公共和私营部门所采取的行为我还是感到万分鼓舞。很显然,工业网络安全不会像“ABC”一样那么简单;针对大型问题的解决方案也效果有限。但是,随着更广泛的安全意识推动安全预算的重新优化,再由预算推动更大规模的团队协作,可以更好地抵御OT网络风险威胁。这种OT网络方面的行动将比以往任何时候都要多得多。也许工业和关键基础设施组织正在努力摆脱“落后几十年”的形象,对于这一点,时间将会是最好的证明。
原文发布时间为:2018-05-23
本文作者:Jasmine
