工業網絡安全——3大(dà)步驟和(hé)3大(dà)行動

發布日期:2022-07-16 23:28:01   來(lái)源 : 控制工程網    作者 :ohn Livingston ,Verve Industrial    浏覽量 :2288
ohn Livingston ,Verve Industrial 控制工程網 發布日期:2022-07-16 23:28:01  
2288

        工業企業正在積極應對(duì)OT 安全面臨的(de)新威脅,并開始采取行動。圖片來(lái)源:Brett Sayles

   工業網絡安全領導者(包括企業的(de)高(gāo)管、首席信息安全官、安全團隊和(hé)運營領導者)正在意識到網絡事件對(duì)企業财務、運營和(hé)安全的(de)潛在影(yǐng)響。爲了(le)确保網絡中具有挑戰性部分(fēn)的(de)安全問題,許多(duō)企業希望獲得(de)對(duì)OT 資産神秘世界的(de)可(kě)見性,或者将OT 網絡中的(de)數據收集到事件檢測過程中,以識别潛在威脅。

  一些企業需要根據監管結構采取具體的(de)安全措施。他(tā)們忙于參加會議(yì)、制定計劃、參加網絡架構研討(tǎo)會等很多(duō)活動,還(hái)要在人(rén)力資源減少以及新冠疫情影(yǐng)響的(de)情況下(xià),保持工廠的(de)正常運營。

  我們必須放慢(màn)腳步, 問一些最基本的(de)問題:我們真的(de)在改善工廠的(de)風險狀況嗎? 我們是否準備好應對(duì)真正我們正在取得(de)進展嗎?我們是否準備好應對(duì)真正的(de)威脅了(le),還(hái)是僅僅能夠檢測到異常行爲?我們需要在網絡安全問題上設置更明(míng)确的(de)目标。

  一般來(lái)說,OT 安全有兩個(gè)主要目标:降低風險和(hé)應對(duì)威脅,其最終目标是減少對(duì)OT 運營的(de)潛在影(yǐng)響。

  許多(duō)工業企業都想實現“可(kě)見性”或“可(kě)檢測性”,但不清楚最終目标是什(shén)麽,也(yě)不知道如何衡量這(zhè)些目标。如果我們得(de)到很多(duō)檢測結果,那麽這(zhè)是好還(hái)是不好呢(ne)?如果有了(le)可(kě)見性,是否就增加了(le)安全性呢(ne)?了(le)解這(zhè)兩個(gè)核心基礎及其關鍵組成部分(fēn),有助于幫助企業确定最佳路徑。

  降低工業環境風險的(de)3個(gè)步驟

  1 創建OT 環境風險狀态的(de)實時(shí)視圖

  降低風險的(de)第一步是風險意識。大(dà)多(duō)數企業從OT 環境脆弱性評估開始著(zhe)手,然後估計每個(gè)潛在風險的(de)可(kě)能性和(hé)潛在影(yǐng)響。這(zhè)是一個(gè)必要的(de)步驟,但這(zhè)隻做(zuò)這(zhè)個(gè),還(hái)遠(yuǎn)遠(yuǎn)不夠。

  随著(zhe)時(shí)間的(de)推移,一次性或不經常更新的(de)評估會過時(shí),很難跟蹤風險降低的(de)進展。成功降低風險,需要不斷更新風險評估。

  2 采取補救措施降低風險

  有時(shí),需要執行特定操作來(lái)降低特定風險。如果評估識别出未打補丁的(de)系統、不安全的(de)配置、休眠或不安全的(de)帳号以及糟糕的(de)訪問控制等方面的(de)風險,下(xià)一步必須是要采取措施降低這(zhè)些風險。

  可(kě)操作性要求企業管理(lǐ)其OT 終端。他(tā)們必須從供應商手中奪回控制權,并确保配置得(de)到強化(huà),網絡設備得(de)到更新和(hé)管理(lǐ),用(yòng)戶及賬号得(de)到清理(lǐ)等。對(duì)這(zhè)些終端的(de)操作, 說明(míng)了(le)爲什(shén)麽隻有風險檢測是遠(yuǎn)遠(yuǎn)不夠的(de), 還(hái)必須閉環來(lái)補救風險。

  3 跟蹤并報告運營情況

  保運營環境安全的(de)一大(dà)好處是,領導層和(hé)員(yuán)工能夠适應嚴格的(de)運營管理(lǐ)。安全性需要與制造或供應鏈一樣的(de)卓越運營。運營管理(lǐ)的(de)基礎是跟蹤關鍵指标的(de)績效并報告績效。無論是“紅綠”儀表盤還(hái)是百分(fēn)比完成度, 一個(gè)強大(dà)的(de)風險降低計劃都需要建立明(míng)确的(de)指标,并随著(zhe)時(shí)間的(de)推移而對(duì)其進行監控。

  該報告還(hái)應包括每個(gè)指标的(de)負責人(rén)。在安全方面, 需要與運營領導就維護和(hé)改善OT 團隊進行溝通(tōng),确定總體風險狀況的(de)責任人(rén)(這(zhè)個(gè)對(duì)話(huà)也(yě)許并不總是令人(rén)愉快(kuài)的(de))。

  有效應對(duì)威脅的(de)3個(gè)要素

  1 制定響應流程和(hé)計劃

  在幾乎所有網絡安全标準中,事件響應計劃都很常見,因爲它們對(duì)實時(shí)阻止潛在攻擊的(de)能力至關重要。但是,許多(duō)事件響應過程都停留在一系列高(gāo)等級程序或政策,比如當你發現問題時(shí)給誰打電話(huà),如何與主管部門溝通(tōng),以及将誰作爲事件響應供應商。

  現在,更多(duō)的(de)企業已經意識到需要針對(duì)具體的(de)I T/OT 環境,制定更詳細、更具體地事件響應計劃。Colonial 輸油管事件突顯了(le)在OT 環境中,有限的(de)響應計劃所帶來(lái)的(de)風險。他(tā)們對(duì)勒索軟件的(de)解決方案是停止運營。這(zhè)可(kě)能是一個(gè)必要的(de)步驟,但強大(dà)的(de)事件響應計劃的(de)關鍵,是針對(duì)每個(gè)威脅确定最小破壞響應(LDR)。

  通(tōng)過了(le)解OT 風險态勢的(de)細節(降低風險第一步的(de)一部分(fēn))可(kě)以建立L D R。爲了(le)定義破壞性最小的(de)響應,組織需要了(le)解每項資産的(de)風險狀況和(hé)知識,以減少不同類型威脅的(de)影(yǐng)響。

  2 擴展檢測和(hé)響應

  擴展檢測和(hé)響應(X D R)是一個(gè)越來(lái)越流行的(de)安全行業術語,用(yòng)于定義遏制現代威脅所需的(de)廣泛遙測。在OT 中,“X D R”經常被棄用(yòng),主要是因爲風險來(lái)自自動化(huà)響應操作。但我們不應該抛棄“擴展檢測”的(de)概念。這(zhè)是指從OT 系統收集廣泛的(de)數據集——終端日志、用(yòng)戶行爲、網絡流、防火牆日志, 甚至物(wù)理(lǐ)過程報警——并使用(yòng)綜合分(fēn)析來(lái)識别潛在威脅。在I T 世界中,沒有哪個(gè)安全領導人(rén)會接受單一形式的(de)遙測技術(比如數據包檢查),作爲檢測的(de)唯一答(dá)案。在OT 中, 也(yě)不應該如此。

  集成這(zhè)些不同形式的(de)遙測還(hái)可(kě)以減少誤報,而這(zhè)些誤報會使安全運營中心(SOC) 團隊疲于應付,導緻他(tā)們無法響應最關鍵的(de)報警。

  3 快(kuài)速響應且易于執行

  如前所述,企業需要制定LDR 計劃—— 破壞性最小的(de)響應。但他(tā)們也(yě)需要以快(kuài)速但安全的(de)操作方式來(lái)響應事件。一個(gè)威脅應對(duì)計劃的(de)好壞,取決于組織在緊急情況下(xià)執行該計劃的(de)能力。

  該計劃應得(de)到人(rén)員(yuán)、流程和(hé)技術的(de)支持, 使安全團隊(包括安全專家和(hé)工業流程專家) 能夠采取必要的(de)安全措施來(lái)阻止威脅。這(zhè)包括:删除特定用(yòng)戶、更改密碼、删除某些端口和(hé)服務、修補系統等。在OT 領域,這(zhè)些步驟通(tōng)常是手動的(de),或者需要供應商參與其中。爲了(le)快(kuài)速響應,企業需要具有在必要時(shí)采取有針對(duì)性的(de)響應行動的(de)能力。

  這(zhè)些響應行動應由安全和(hé)運營人(rén)員(yuán)團隊管理(lǐ)。與自動響應成爲常态的(de)IT 不同,OT 團隊認爲在響應需之前,需要人(rén)爲審查潛在威脅以及對(duì)運營潛在的(de)負面影(yǐng)響。我們稱之爲“全局思考、本地行動”的(de)方法。工業企業正在積極應對(duì)OT 安全面臨的(de)新威脅,并開始采取行動。這(zhè)是個(gè)好消息。然而,在采取可(kě)能不會真正改善安全的(de)行動之前,我們都需要後退一步,先确定總體目标是什(shén)麽, 以及如何确保在降低風險和(hé)應對(duì)威脅這(zhè)兩個(gè)關鍵因素方面取得(de)實質性進展。(作者 | John Livingston ,Verve Industrial)

  關鍵概念: 

  ■成功降低風險,需要不斷更新風險評估。

  ■強大(dà)的(de)事件響應計劃的(de)關鍵,是針對(duì)每個(gè)威脅确定最小破壞響應。

  思考一下(xià): 

  如果有了(le)可(kě)見性,是否就增加了(le)工業環境的(de)安全性呢(ne)?


企業
風險
OT
威脅
技術咨詢:18781956287 028-81259914
技術咨詢::cdtaber@cdtaber.com
公司地址:中國(四川)自由貿易試驗區(qū)成都高(gāo)新區(qū)天府大(dà)道中段530号2幢38樓04号
公司抖音(yīn)
網站二維碼
抖音(yīn)号
微信小程序
雲計算(suàn)支持 反饋 樞紐雲管理(lǐ)
回到頂部