調(diào)研機(jī)構(gòu)Garner公司最近發(fā)布的一份調(diào)查報(bào)告表明,首席信息安全官(CISO)的角色正在迅速發(fā)生變化,其中包括管理安全風(fēng)險(xiǎn)以及保護(hù)敏感信息。這種轉(zhuǎn)變是由網(wǎng)絡(luò)物理系統(tǒng)(CPS)的部署所驅(qū)動(dòng)的,例如建筑管理系統(tǒng)和醫(yī)療保健設(shè)施中使用的物聯(lián)網(wǎng)(IoT)設(shè)備,制造工廠、石油和天然氣行業(yè)中使用的運(yùn)營(yíng)技術(shù)(OT)設(shè)備,以及天然氣設(shè)施、能源和水務(wù)、交通、采礦和其他重要的工業(yè)基礎(chǔ)設(shè)施。
因?yàn)榫W(wǎng)絡(luò)物理系統(tǒng)(CPS)涵蓋了數(shù)字世界和物理世界,所以它們是尋求造成重大安全和環(huán)境事件和運(yùn)營(yíng)中斷的攻擊者的主要目標(biāo)。例如,對(duì)石油化工設(shè)施中的安全系統(tǒng)進(jìn)行TRITON攻擊、烏克蘭電網(wǎng)攻擊、NotPetya和Norsk Hydro勒索軟件攻擊。
此外,微軟公司在去年8月發(fā)布的調(diào)查報(bào)告表示,觀察到一個(gè)由激進(jìn)國(guó)家資助的威脅團(tuán)體將物聯(lián)網(wǎng)設(shè)備作為企業(yè)網(wǎng)絡(luò)的入口點(diǎn),他們?cè)噲D從中提升權(quán)限,以發(fā)動(dòng)進(jìn)一步的網(wǎng)絡(luò)攻擊。最近,還看到網(wǎng)絡(luò)攻擊者破壞物聯(lián)網(wǎng)構(gòu)建的訪問(wèn)控制系統(tǒng),以攻擊企業(yè)網(wǎng)絡(luò)。
行業(yè)分析師估計(jì),不久將在全球范圍內(nèi)部署約500億臺(tái)物聯(lián)網(wǎng)設(shè)備,從而大幅增加攻擊面。由于這些嵌入式設(shè)備無(wú)法受到基于代理的技術(shù)的保護(hù),并且通常未打補(bǔ)丁或配置錯(cuò)誤,因此首席信息安全官(CISO)需要新的戰(zhàn)略來(lái)減輕物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。否則不難想象,監(jiān)管機(jī)構(gòu)和企業(yè)責(zé)任律師將很快追究企業(yè)高管的過(guò)失和個(gè)人責(zé)任,原因是他們未能實(shí)施與安全相關(guān)的安全控制措施。
緩解網(wǎng)絡(luò)物理系統(tǒng)(CPS)和物聯(lián)網(wǎng)風(fēng)險(xiǎn)的五個(gè)步驟
美國(guó)愛(ài)達(dá)荷州國(guó)家實(shí)驗(yàn)室(INL)已開發(fā)出一種解決方案,以解決網(wǎng)絡(luò)物理系統(tǒng)(CPS)和物聯(lián)網(wǎng)/ 運(yùn)營(yíng)技術(shù)風(fēng)險(xiǎn),即結(jié)果驅(qū)動(dòng)型網(wǎng)絡(luò)信息工程(CCE)。基于這種方法,以下是企業(yè)在不久的將來(lái)都應(yīng)該優(yōu)先考慮的五個(gè)步驟:
(1)保護(hù)重要的事物:企業(yè)不能一直保護(hù)所有事物,但是可以在大多數(shù)時(shí)間保護(hù)最重要的事物。因此,對(duì)其故障將導(dǎo)致重大安全或環(huán)境事件或運(yùn)營(yíng)中斷的功能進(jìn)行優(yōu)先排序是關(guān)鍵。通過(guò)與業(yè)務(wù)所有者、基礎(chǔ)設(shè)施經(jīng)理和運(yùn)營(yíng)技術(shù)人員的對(duì)話,確定最需要預(yù)先保護(hù)的內(nèi)容。
(2)繪制數(shù)字地圖:識(shí)別和分類組織中的所有連接資產(chǎn),無(wú)論它們被認(rèn)為是IT、物聯(lián)網(wǎng)、樓宇管理系統(tǒng)(BMS)、運(yùn)營(yíng)技術(shù)或智能個(gè)人設(shè)備。這包括了解信息如何在企業(yè)的網(wǎng)絡(luò)中移動(dòng)以及與誰(shuí)接觸設(shè)備,其中包括具有遠(yuǎn)程訪問(wèn)連接的第三方供應(yīng)商和維護(hù)承包商。
(3)闡明最可能的攻擊路徑:分析網(wǎng)絡(luò)中的風(fēng)險(xiǎn)和漏洞,以確定對(duì)企業(yè)的寶貴資產(chǎn)和流程最可能的攻擊媒介。可以使用自動(dòng)威脅建模識(shí)別其他切入點(diǎn),例如社會(huì)工程學(xué)和對(duì)網(wǎng)絡(luò)設(shè)施的物理訪問(wèn),來(lái)完成此任務(wù)。
(4)緩解和保護(hù):一旦企業(yè)對(duì)最可能的攻擊路徑有所了解,就應(yīng)制定優(yōu)先級(jí)降低風(fēng)險(xiǎn)的方法。這可以包括以下步驟,例如減少全球互聯(lián)網(wǎng)可訪問(wèn)的入口點(diǎn)的數(shù)量,使用零信任度微細(xì)分策略將物聯(lián)網(wǎng)和運(yùn)營(yíng)技術(shù)設(shè)備與其他網(wǎng)絡(luò)隔離,以及修補(bǔ)最有可能的攻擊路徑中存在的關(guān)鍵漏洞。持續(xù)進(jìn)行的補(bǔ)償控制主要圍繞利用連續(xù)的網(wǎng)絡(luò)安全監(jiān)控和無(wú)代理安全性來(lái)立即識(shí)別可疑或未經(jīng)授權(quán)的行為,例如采用攝像頭瀏覽Active Directory。
(5)消除IT、運(yùn)營(yíng)技術(shù)(OT)、物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng)(CPS)之間的孤島:作為首席信息安全官(CISO),保護(hù)企業(yè)安全意味著要對(duì)所有數(shù)字安全負(fù)責(zé),無(wú)論是IT、運(yùn)營(yíng)技術(shù)(OT)、物聯(lián)網(wǎng)還是網(wǎng)絡(luò)物理系統(tǒng)(CPS)。創(chuàng)建統(tǒng)一的安全監(jiān)控和治理需要對(duì)人員、流程和技術(shù)采取整體方法。技術(shù)方面包括將所有物聯(lián)網(wǎng)/運(yùn)營(yíng)技術(shù)安全警報(bào)轉(zhuǎn)發(fā)到安全運(yùn)營(yíng)中心,并利用現(xiàn)有安全信息和事件管理(SIEM)、業(yè)務(wù)流程自動(dòng)化和響應(yīng)(SOAR)以及預(yù)防機(jī)制(防火墻和網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng))來(lái)快速響應(yīng)物聯(lián)網(wǎng)和運(yùn)營(yíng)技術(shù)事件,例如快速隔離已被檢測(cè)為惡意流量源頭的物聯(lián)網(wǎng)設(shè)備。
積極為未來(lái)做好準(zhǔn)備
如今,從激進(jìn)國(guó)家到網(wǎng)絡(luò)犯罪分子以及黑客,都有強(qiáng)烈的動(dòng)機(jī)、決心、能力進(jìn)行破壞。
行業(yè)專家一致認(rèn)為,堅(jiān)定的網(wǎng)絡(luò)攻擊者最終將找到侵入企業(yè)網(wǎng)絡(luò)的方法,因此,更好的策略是部署監(jiān)視以在攻擊鏈的早期偵察階段發(fā)現(xiàn)他們,以便在網(wǎng)絡(luò)攻擊可能造成重大破壞之前減輕攻擊。例如,在TRITON對(duì)一家石化工廠安全控制系統(tǒng)的攻擊中,由于該工廠控制系統(tǒng)有一個(gè)存在幾年的漏洞,該漏洞導(dǎo)致這家工廠關(guān)閉一周。
企業(yè)的董事會(huì)和管理團(tuán)隊(duì)必須認(rèn)識(shí)到物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng)(CPS)帶來(lái)的新安全風(fēng)險(xiǎn),并使用基于風(fēng)險(xiǎn)的方法積極地做好準(zhǔn)備。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。