20世纪70年代初期,世界上第一款计算机病毒 Creeper 浮出水面。过去50年间,网络威胁愈演愈烈,黑客变得更加老练的同时,原本隔离工业控制系统(ICS)逐渐联网并暴露在网络攻击之中。
虽然此类工业系统中包含安全功能和培训协议,但工控系统安全管理解决方案提供商 PAS 公司的创始人兼首席执行官埃迪·哈比比表示,连接性加强也就意味着网络安全必须引起足够的重视。
工业类企业可通过五种方式提高网络威胁意识,以便更好地保护员工、客户及数据。
1. 使网络安全成为“第二天性”
企业必须优先考虑两大网络安全方向:工业系统和企业系统的网络安全。哈比比表示,将网络安全融入企业文化至关重要,其中最重要的是开展网络意识培训。例如,美国知名的私人能源公司 Consolidated Edison 就在企业内部创建了专门的安全团队,其成员包括美国执法机构的前雇员。
2. “自上而下”很重要
新举措和培训往往由企业的人力资源部或专门的团队推出,这可能会导致指令太过抽象或缺乏情景。有效提高网络培训需要企业领导层的高度关注。网络意识培训需要从董事会开始,例如,企业首席执行官(CEO)有必要提出举措,要求首席信息官(CIO)和首席信息安全官(CISO)接受这种想法,这将有助于推动网络意识培训和文化变革。
3. 提防陌生危险
到目前为止,仍有相当一部分行业人认为一般的网络安全建议不足以引起重视,尤其不足以引起管理层的重视,但往往是常见的网络攻击方式带来了严重的后果。比如,网络钓鱼电子邮件活动变得越来越复杂,对特定目标发送具有针对性的电子邮件有助于诱骗目标上钩。且多数案例说明,仍有众多专业人士被诱骗点击网络钓鱼电子邮件。
同样的逻辑适用于诸如 U 盘之类的移动媒体设备,如若捡到来路不明的 U 盘,切记不可插入自己的电脑。
四年前,美国国土安全部(DHS)发出警告,指出针对能源控制系统的恶意软件部署方式包括搜索网络连接的文件共享和可删除媒介,以便在受影响的环境中横向移动。
Consolidated Edison 等公司会标记来自外部的电子邮件,网络钓鱼是攻击者惯用的策略,打标记有助于提醒员工提高警惕。
4. 持续开展安全活动
建议采用其它策略提高这类企业的网络安全性,例如举行会议时强调网络安全。例如,北美电力可靠性公司(NERC)一直在开展持续的培训,其电力信息共享和分析中心(E-ISAC)就提供行业教育和培训机会,包括每月一次的行业与政府安全专家网络研讨会。
5. 多参加网络安全演习
参加网络安全演习有助于提高网络安全响应能力。就北美地区而言,NERC 每两年都会举办 GridEx 网络演习,这样的模拟攻击演习可让参与公共事业公司执行网络响应计划,加强组织机构与个人之间的联系,并确定有待改进的空间。除此之外,NERC 每年还会举办能源安全会议 GridSecCon。2017年,北美地区有400个组织机构,6000多人参与了 GridEx IV 演习,相比前几年,参与人数正逐渐增多。