近期美国关键基础设施遭遇的攻击和美国政府的几项行动,包括2021年7月28日美国总统拜登签署的国家安全备忘录,无不昭示工业控制系统(ICS)网络安全功能现代化的紧迫性。
美国关键行业基础设施中90%是私有的,当前状况下,勒索软件攻击和对基础设施的探测依旧活跃。因此,尽管备忘录强调公私伙伴关系和自愿合作,但传达出的信息很明确:鉴于美国关键基础设施目前的安全脆弱程度,希望基础设施拥有者和运营商能够达到美国国家标准与技术研究所(NIST)和网络安全与基础设施安全局(CISA)列出的绩效目标,并实现各种技术,为控制系统带来可见性、风险管理和检测功能。
本文旨在提供可行建议,帮助关键基础设施企业的首席信息安全官(CISO)及其团队加强自身工业网络安全计划。其中包括应询问供应商的几个关键问题,可以通过这些问题确保企业获得必要的工业环境可见性,从而了解需要保护哪些内容,应采取哪些具体措施来掌握和降低风险,以及该如何评估威胁检测与响应能力。
本文中,我们将工业网络安全问题放到企业大背景下观察,研究如何全面保障安全。运用本文中的方法,企业不仅可以尽可能利用现有资源和人员最大化投资回报,还可以显著提升效率,实现覆盖整个企业的全面风险管理。
连接IT与OT所面临的挑战
工业网络推动业务顺利进行。但很多时候,保护和优化这些网络的工作往往几乎与其他业务环节完全脱节。任何业务决策都应该重点考虑风险因素。然而,考虑到运营场所的复杂性和必须克服的独特困难,企业风险管理计划通常会忽略工业网络风险。
运营技术(OT)网络安全与其他业务之间的脱节,可归咎于难以实现OT环境可见性、缺乏工业网络安全专业知识,以及不兼容IT安全工具。由于料想自己需要不同技术集和工具,很多企业一来就着手设置单独的OT治理流程和安全运营中心(SOC)。
这么做会引发几个方面的问题:
- 招聘和留住OT安全专家既难又贵。
- 对手可不把IT和OT分开看待。攻击都是联动的,因此你肯定不想因为设了两个独立的SOC或者两个独立的团队就漏掉这种联系。
- 重复建设现有治理流程和加倍投入协调资源纯属浪费时间和精力。
单个SOC构建统一战线
最佳网络防御战略是构建统一战线来抵御IT和OT威胁。因此,关键基础设施公司需要从整体上考虑网络安全,由单个SOC统一保护这些曾经独立的环境。规划前进路线时,可考虑以下几点成功的关键:
- 将保护工业环境安全的职责归集到CISO身上。这么做可以确保企业工业网络安全计划,以及将工业网络安全与其他业务联系起来的计划,都是从上到下驱动的,而且符合企业的独特需求。融合IT/OT SOC只听命于唯一的领导,具有明确定义的岗位和职责,可交付覆盖整个攻击面的跨工作流连续性。企业可以采用相同的流程和报告指标进行治理,实现全面的风险管理与合规。
- 任命其他领导团队成员。指定一名IT/OT网络安全项目经理,他将在项目实施中发挥核心作用。确保挑选注重细节的强势领导者来监督这项工作,此外,他还必须了解并尊重IT和OT团队的工作重点差异。管理IT的团队通常优先考虑数据的机密性、完整性和可用性,而维持OT网络的团队则通常优先考虑工业流程和运营的可用性、可靠性与安全性。另外,每个OT站点都需要指定网络安全站点负责人。此人将作为现场OT人员和SOC之间的联络员,并在必要的时候主管事件响应工作。
- 确保集成现有IT安全资源。为支持统一的IT和OT网络威胁防御,企业的工业网络安全解决方案必须尽可能与现有IT安全系统和工作流程相集成。这些集成应涵盖广泛的用例,包括安全信息与事件管理(SIEM),工作流管理,安全编排、自动化与响应(SOAR),以及网络基础设施工具。手头有丰富的有效集成可用,有助于将核心IT网络安全控制扩展到OT,同时降低现有工具的总拥有成本(TCO),平滑OT网络安全学习曲线。现有团队也就有机会培养各项宝贵技能,而企业也无需另外聘请OT SOC分析师了。
全世界的工业网络安全领导都面临着加强OT网络安全运营的压力。只要让CISO总揽安全职责,设置统一的SOC,创建IT和OT团队都可以使用的解决方案,企业就可以将自身工业网络安全计划与IT计划以及其他业务联系起来。这么做不仅可以优化企业的资源(人才、预算和时间),还可以获得覆盖整个攻击面的连续性。企业的最终目标是可以纵览治理、风险和合规计划,执行覆盖整个企业的风险管理战略。