您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
連接:工業(yè)網(wǎng)絡(luò)安全的第四大支柱
近期美國(guó)關(guān)鍵基礎(chǔ)設(shè)施遭遇的攻擊和美國(guó)政府的幾項(xiàng)行動(dòng),包括2021年7月28日美國(guó)總統(tǒng)拜登簽署的國(guó)家安全備忘錄,無(wú)不昭示工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全功能現(xiàn)代化的緊迫性。
美國(guó)關(guān)鍵行業(yè)基礎(chǔ)設(shè)施中90%是私有的,當(dāng)前狀況下,勒索軟件攻擊和對(duì)基礎(chǔ)設(shè)施的探測(cè)依舊活躍。因此,盡管備忘錄強(qiáng)調(diào)公私伙伴關(guān)系和自愿合作,但傳達(dá)出的信息很明確:鑒于美國(guó)關(guān)鍵基礎(chǔ)設(shè)施目前的安全脆弱程度,希望基礎(chǔ)設(shè)施擁有者和運(yùn)營(yíng)商能夠達(dá)到美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)列出的績(jī)效目標(biāo),并實(shí)現(xiàn)各種技術(shù),為控制系統(tǒng)帶來(lái)可見(jiàn)性、風(fēng)險(xiǎn)管理和檢測(cè)功能。
本文旨在提供可行建議,幫助關(guān)鍵基礎(chǔ)設(shè)施企業(yè)的首席信息安全官(CISO)及其團(tuán)隊(duì)加強(qiáng)自身工業(yè)網(wǎng)絡(luò)安全計(jì)劃。其中包括應(yīng)詢問(wèn)供應(yīng)商的幾個(gè)關(guān)鍵問(wèn)題,可以通過(guò)這些問(wèn)題確保企業(yè)獲得必要的工業(yè)環(huán)境可見(jiàn)性,從而了解需要保護(hù)哪些內(nèi)容,應(yīng)采取哪些具體措施來(lái)掌握和降低風(fēng)險(xiǎn),以及該如何評(píng)估威脅檢測(cè)與響應(yīng)能力。
本文中,我們將工業(yè)網(wǎng)絡(luò)安全問(wèn)題放到企業(yè)大背景下觀察,研究如何全面保障安全。運(yùn)用本文中的方法,企業(yè)不僅可以盡可能利用現(xiàn)有資源和人員最大化投資回報(bào),還可以顯著提升效率,實(shí)現(xiàn)覆蓋整個(gè)企業(yè)的全面風(fēng)險(xiǎn)管理。
連接IT與OT所面臨的挑戰(zhàn)
工業(yè)網(wǎng)絡(luò)推動(dòng)業(yè)務(wù)順利進(jìn)行。但很多時(shí)候,保護(hù)和優(yōu)化這些網(wǎng)絡(luò)的工作往往幾乎與其他業(yè)務(wù)環(huán)節(jié)完全脫節(jié)。任何業(yè)務(wù)決策都應(yīng)該重點(diǎn)考慮風(fēng)險(xiǎn)因素。然而,考慮到運(yùn)營(yíng)場(chǎng)所的復(fù)雜性和必須克服的獨(dú)特困難,企業(yè)風(fēng)險(xiǎn)管理計(jì)劃通常會(huì)忽略工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)。
運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)安全與其他業(yè)務(wù)之間的脫節(jié),可歸咎于難以實(shí)現(xiàn)OT環(huán)境可見(jiàn)性、缺乏工業(yè)網(wǎng)絡(luò)安全專業(yè)知識(shí),以及不兼容IT安全工具。由于料想自己需要不同技術(shù)集和工具,很多企業(yè)一來(lái)就著手設(shè)置單獨(dú)的OT治理流程和安全運(yùn)營(yíng)中心(SOC)。
這么做會(huì)引發(fā)幾個(gè)方面的問(wèn)題:
● 招聘和留住OT安全專家既難又貴。
● 對(duì)手可不把IT和OT分開(kāi)看待。攻擊都是聯(lián)動(dòng)的,因此你肯定不想因?yàn)樵O(shè)了兩個(gè)獨(dú)立的SOC或者兩個(gè)獨(dú)立的團(tuán)隊(duì)就漏掉這種聯(lián)系。
● 重復(fù)建設(shè)現(xiàn)有治理流程和加倍投入?yún)f(xié)調(diào)資源純屬浪費(fèi)時(shí)間和精力。
單個(gè)SOC構(gòu)建統(tǒng)一戰(zhàn)線
最佳網(wǎng)絡(luò)防御戰(zhàn)略是構(gòu)建統(tǒng)一戰(zhàn)線來(lái)抵御IT和OT威脅。因此,關(guān)鍵基礎(chǔ)設(shè)施公司需要從整體上考慮網(wǎng)絡(luò)安全,由單個(gè)SOC統(tǒng)一保護(hù)這些曾經(jīng)獨(dú)立的環(huán)境。規(guī)劃前進(jìn)路線時(shí),可考慮以下幾點(diǎn)成功的關(guān)鍵:
● 將保護(hù)工業(yè)環(huán)境安全的職責(zé)歸集到CISO身上。這么做可以確保企業(yè)工業(yè)網(wǎng)絡(luò)安全計(jì)劃,以及將工業(yè)網(wǎng)絡(luò)安全與其他業(yè)務(wù)聯(lián)系起來(lái)的計(jì)劃,都是從上到下驅(qū)動(dòng)的,而且符合企業(yè)的獨(dú)特需求。融合IT/OT SOC只聽(tīng)命于唯一的領(lǐng)導(dǎo),具有明確定義的崗位和職責(zé),可交付覆蓋整個(gè)攻擊面的跨工作流連續(xù)性。企業(yè)可以采用相同的流程和報(bào)告指標(biāo)進(jìn)行治理,實(shí)現(xiàn)全面的風(fēng)險(xiǎn)管理與合規(guī)。
● 任命其他領(lǐng)導(dǎo)團(tuán)隊(duì)成員。指定一名IT/OT網(wǎng)絡(luò)安全項(xiàng)目經(jīng)理,他將在項(xiàng)目實(shí)施中發(fā)揮核心作用。確保挑選注重細(xì)節(jié)的強(qiáng)勢(shì)領(lǐng)導(dǎo)者來(lái)監(jiān)督這項(xiàng)工作,此外,他還必須了解并尊重IT和OT團(tuán)隊(duì)的工作重點(diǎn)差異。管理IT的團(tuán)隊(duì)通常優(yōu)先考慮數(shù)據(jù)的機(jī)密性、完整性和可用性,而維持OT網(wǎng)絡(luò)的團(tuán)隊(duì)則通常優(yōu)先考慮工業(yè)流程和運(yùn)營(yíng)的可用性、可靠性與安全性。另外,每個(gè)OT站點(diǎn)都需要指定網(wǎng)絡(luò)安全站點(diǎn)負(fù)責(zé)人。此人將作為現(xiàn)場(chǎng)OT人員和SOC之間的聯(lián)絡(luò)員,并在必要的時(shí)候主管事件響應(yīng)工作。
● 確保集成現(xiàn)有IT安全資源。為支持統(tǒng)一的IT和OT網(wǎng)絡(luò)威脅防御,企業(yè)的工業(yè)網(wǎng)絡(luò)安全解決方案必須盡可能與現(xiàn)有IT安全系統(tǒng)和工作流程相集成。這些集成應(yīng)涵蓋廣泛的用例,包括安全信息與事件管理(SIEM),工作流管理,安全編排、自動(dòng)化與響應(yīng)(SOAR),以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施工具。手頭有豐富的有效集成可用,有助于將核心IT網(wǎng)絡(luò)安全控制擴(kuò)展到OT,同時(shí)降低現(xiàn)有工具的總擁有成本(TCO),平滑OT網(wǎng)絡(luò)安全學(xué)習(xí)曲線?,F(xiàn)有團(tuán)隊(duì)也就有機(jī)會(huì)培養(yǎng)各項(xiàng)寶貴技能,而企業(yè)也無(wú)需另外聘請(qǐng)OT SOC分析師了。
全世界的工業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)都面臨著加強(qiáng)OT網(wǎng)絡(luò)安全運(yùn)營(yíng)的壓力。只要讓CISO總攬安全職責(zé),設(shè)置統(tǒng)一的SOC,創(chuàng)建IT和OT團(tuán)隊(duì)都可以使用的解決方案,企業(yè)就可以將自身工業(yè)網(wǎng)絡(luò)安全計(jì)劃與IT計(jì)劃以及其他業(yè)務(wù)聯(lián)系起來(lái)。這么做不僅可以優(yōu)化企業(yè)的資源(人才、預(yù)算和時(shí)間),還可以獲得覆蓋整個(gè)攻擊面的連續(xù)性。企業(yè)的最終目標(biāo)是可以縱覽治理、風(fēng)險(xiǎn)和合規(guī)計(jì)劃,執(zhí)行覆蓋整個(gè)企業(yè)的風(fēng)險(xiǎn)管理戰(zhàn)略。
來(lái)源:數(shù)世咨詢