意識、預算與協作：驅動工業網絡安全發展的ABC

對于工業網絡安全來說，沒有什麼事情是簡單的。想要對抗目标堅定且技藝精湛的網絡攻擊者，保護複雜且老舊的工業系統免受直接或間接的網絡攻擊，你面臨的挑戰将如同在營運技術（OT）中遇到的挑戰一樣艱巨。而且，近幾十年來，有關工業控制系統的安全風險問題始終被忽略，是以在風險管理方面也就遠遠落後于IT風險管理。

盡管上面這些都是壞消息，但是現在，在過去的12-18個月中，營運技術（OT）網絡安全意識和行動發生了空前的轉變。從董事會到C級管理層再到工廠工廠中的房間，越來越多的工業組織開始清醒地意識到自己的OT網絡正暴露于網絡攻擊威脅之下，并正在加緊采取行動搭上風險管理的末班車。

那麼，驅動這種覺醒的動力是什麼？為什麼有些組織能夠先于其他組織采取行動呢？基于每天與這些組織的管理人員進行的對話，我已經列出了一些能夠驅動這種轉變的關鍵因素，并将其總結為“ABC”：

A即意識(Awareness)

網絡安全行動的第一步始終始于能夠意識到組織存在重大風險。而對于工業組織來說，這種意識主要分為三個方面：

首先，在經曆多年将網絡威脅視為簡單的IT問題之後，越來越多的組織開始意識到，由于OT網絡至關重要，威脅行為者已經發現了破壞業務流程的價值。而無論是為了地緣政治優勢還是存粹的财務目的，這種價值都會進一步激化工業組織面臨的風險形勢；其次，他們已經意識到，即便不是作為主要攻擊目标也同樣會給他們造成嚴重的損害，因為間接攻擊與直接攻擊一樣具有破壞性；以及第三，企業已經意識到這些工控系統（ICS）環境嚴重的暴露程度，以及安全團隊對于OT環境糟糕的可見化程度。

警示案例

大部分這些意識的形成都要得益于媒體和政府咨詢機構頻繁釋出的警示性案例：

• 惡意軟體迫使生産工廠停工——汽車制造商本田和雷諾都曾因為去年的WannaCry攻擊事件而被迫暫停生産線。正如我們所知，此次威脅并沒有直接針對工業控制系統，但惡意代碼仍然能夠從IT網絡擴散到OT網絡中。
• 安全系統已經成為攻擊目标，旨在對工廠造成破壞——例如，2017年12月披露的Triton攻擊事件。該軟體瞄準施耐德電氣公司Triconex安全儀表控制系統（Safety Instrumented System，SIS）控制器，最終造成一家能源工廠停運。此次事件是黑客成功入侵工控安全系統的第一起正式報告案例。
• 潛在損害的真實的，而且是難以估量的——在去年的NotPetya勒索軟體攻擊事件中，全球工業巨頭如聯邦快遞、Maersk、Merck、Mondelez、Reckitt Benckiser以及Saint-Gobain等都經曆了總計近9億美元的巨大損害和财務損失。
• 政府公告正在承認網絡風險的範圍和嚴重性——今年早些時候，白宮發表了一份聲明，明确指出NotPetya攻擊事件為俄方所為，報告稱，“2017年6月，俄羅斯軍方發起了曆史上最具破壞性和代價高昂的網絡攻擊活動。”
• 美國網絡司令部已經認識到網絡空間的新現實——上個月，美國網絡司令部全面更新了其軍事戰略，新戰略非常公開地承認，随着對手在網絡空間中已經擷取了足夠的實力，美國在網絡空間領域正面臨着對方壓力，過去的“絕對優勢”目前已經無法保障。新戰略指出網絡空間領域内有不同的個體，例如暴力極端主義組織、有組織犯罪團體、黑客組織等，這些團體在能力上參差不齊，但都有可能對美國在網絡空間的國家利益造成影響。此外，新戰略中最令人鼓舞的内容是要擴大與私營部門、學術界以及其他機構等的夥伴關系，以滿足戰略實踐所需的相關資源。
• 俄羅斯的民族國家行為者被視為以工業系統為主要目标——2018年3月，美國國土安全部（DHS）和聯邦調查局（FBI）一起，釋出了名為“TA18-106A”的聯合技術警報，詳細介紹了俄羅斯國家支援行為者針對多個政府實體和關鍵基礎設施部門（包括能源、核能、商業設施、水務、航空以及關鍵制造部門等）實施的惡意網絡活動。

B即預算(Budget)

基于對直接或間接攻擊真實風險的認識不斷加深，以及越來越多的人意識到工業系統暴露的嚴重程度，針對OT網絡安全方面的預算也正在不斷增加。董事會正在正視高管團隊面臨的OT網絡威脅的迫切性，而CISO也開始将其IT預算配置設定擴充到工業控制系統之中。

工控系統（ICS）安全技術的銷售周期通常要比傳統的IT安全技術的銷售周期長得多，因為買家通常不得不為了這些采購活動而要求增量預算。一種很傳統的預算方法是，以當期的預算或者業績作為基準，通過調整增加來預測新一期的預算，這些調整包括考慮到通貨膨脹，計劃銷售價格或者成本的增加等等。由于這些買家主動将這些投資納入他們的年度計劃，是以現在我們看到的銷售周期已經縮短了很多。

降低風險的前瞻思維

很長時間以來，工業系統幾乎是不受保護的，人們隻是将一層又一層的安全技術應用于其IT環境，因為他們認為網絡威脅隻是單純的IT問題。但是，具有前瞻性的公司開始換角度思考，那些始終關注IT和OT安全預算的人開始意識到，加強投資ICS安全性可能比為傳統IT安全庫增加另一種工具，會對整體風險降低産生更為深遠的影響。

C即IT和OT的協作(Collaboration)

整合IT和OT安全預算計劃是令人鼓舞的事情，但是想要真正實作工業網絡安全的目标，還需要IT和OT安全團隊通力協作來降低風險、檢測威脅，并在整個企業範圍内實施全面響應計劃。這聽起來似乎很明确，但是實踐起來卻困難得多。

主要是因為隔行如隔山，兩個領域的從業人員都有自己不同的行為和思維方式。IT專業人員習慣在非常動态的環境中工作，對他們來說，頻繁地更新和更新更新檔是常态，改變是為了實作“更新、更快、更好”的網絡環境；相比之下，OT專業人員則主要關注穩定性、正常運作時間，以及在充斥着各種遺留系統和老舊協定的環境中保持生産力。對于OT人員來說，改變可能會阻礙生産力以及擾亂營運平衡，是以他們的宗旨是：隻要它沒壞就不去修理它！

現在，對他們兩個截然不同的團隊來說，真正的困難是越來越多的組織正在意識到合作帶來的巨大好處，甚至開始從安全角度來整合這些團隊。

從風險管理的角度來看，IT和ICS網絡的協作監測和分析可以更好地了解異常情況和威脅名額（IOC），以及在事件從一個環境傳播到另一個環境，因為很少有OT網絡是真正意義上的實體隔離之前，就對事件做出更快的響應的。而就營運效率而言，這種協作也為消除人員配置和分析工具備援提供了機會。

總結

盡管，地緣政治壓力以及外溢的勒索軟體攻擊等因素已經改變了工業威脅形勢，但是對于公共和私營部門所采取的行為我還是感到萬分鼓舞。很顯然，工業網絡安全不會像“ABC”一樣那麼簡單；針對大型問題的解決方案也效果有限。但是，随着更廣泛的安全意識推動安全預算的重新優化，再由預算推動更大規模的團隊協作，可以更好地抵禦OT網絡風險威脅。這種OT網絡方面的行動将比以往任何時候都要多得多。也許工業和關鍵基礎設施組織正在努力擺脫“落後幾十年”的形象，對于這一點，時間将會是最好的證明。

原文釋出時間為：2018-05-23

本文作者：Jasmine

本文來自雲栖社群合作夥伴“

安全牛

”，了解相關資訊可以關注“

”。