調(diào)研機(jī)構(gòu)Garner公司最近發(fā)布的一份調(diào)查報(bào)告表明，首席信息安全官(CISO)的角色正在迅速發(fā)生變化，其中包括管理安全風(fēng)險(xiǎn)以及保護(hù)敏感信息。這種轉(zhuǎn)變是由網(wǎng)絡(luò)物理系統(tǒng)(CPS)的部署所驅(qū)動(dòng)的，例如建筑管理系統(tǒng)和醫(yī)療保健設(shè)施中使用的物聯(lián)網(wǎng)(IoT)設(shè)備，制造工廠、石油和天然氣行業(yè)中使用的運(yùn)營(yíng)技術(shù)(OT)設(shè)備，以及天然氣設(shè)施、能源和水務(wù)、交通、采礦和其他重要的工業(yè)基礎(chǔ)設(shè)施。

 

因?yàn)榫W(wǎng)絡(luò)物理系統(tǒng)(CPS)涵蓋了數(shù)字世界和物理世界，所以它們是尋求造成重大安全和環(huán)境事件和運(yùn)營(yíng)中斷的攻擊者的主要目標(biāo)。例如，對(duì)石油化工設(shè)施中的安全系統(tǒng)進(jìn)行TRITON攻擊、烏克蘭電網(wǎng)攻擊、NotPetya和Norsk Hydro勒索軟件攻擊。

 

此外，微軟公司在去年8月發(fā)布的調(diào)查報(bào)告表示，觀察到一個(gè)由激進(jìn)國(guó)家資助的威脅團(tuán)體將物聯(lián)網(wǎng)設(shè)備作為企業(yè)網(wǎng)絡(luò)的入口點(diǎn)，他們?cè)噲D從中提升權(quán)限，以發(fā)動(dòng)進(jìn)一步的網(wǎng)絡(luò)攻擊。最近，還看到網(wǎng)絡(luò)攻擊者破壞物聯(lián)網(wǎng)構(gòu)建的訪問(wèn)控制系統(tǒng)，以攻擊企業(yè)網(wǎng)絡(luò)。

 

行業(yè)分析師估計(jì)，不久將在全球范圍內(nèi)部署約500億臺(tái)物聯(lián)網(wǎng)設(shè)備，從而大幅增加攻擊面。由于這些嵌入式設(shè)備無(wú)法受到基于代理的技術(shù)的保護(hù)，并且通常未打補(bǔ)丁或配置錯(cuò)誤，因此首席信息安全官(CISO)需要新的戰(zhàn)略來(lái)減輕物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。否則不難想象，監(jiān)管機(jī)構(gòu)和企業(yè)責(zé)任律師將很快追究企業(yè)高管的過(guò)失和個(gè)人責(zé)任，原因是他們未能實(shí)施與安全相關(guān)的安全控制措施。

 

 

美國(guó)愛(ài)達(dá)荷州國(guó)家實(shí)驗(yàn)室(INL)已開(kāi)發(fā)出一種解決方案，以解決網(wǎng)絡(luò)物理系統(tǒng)(CPS)和物聯(lián)網(wǎng)/ 運(yùn)營(yíng)技術(shù)風(fēng)險(xiǎn)，即結(jié)果驅(qū)動(dòng)型網(wǎng)絡(luò)信息工程(CCE)。基于這種方法，以下是企業(yè)在不久的將來(lái)都應(yīng)該優(yōu)先考慮的五個(gè)步驟：

 

(1)保護(hù)重要的事物：企業(yè)不能一直保護(hù)所有事物，但是可以在大多數(shù)時(shí)間保護(hù)最重要的事物。因此，對(duì)其故障將導(dǎo)致重大安全或環(huán)境事件或運(yùn)營(yíng)中斷的功能進(jìn)行優(yōu)先排序是關(guān)鍵。通過(guò)與業(yè)務(wù)所有者、基礎(chǔ)設(shè)施經(jīng)理和運(yùn)營(yíng)技術(shù)人員的對(duì)話，確定最需要預(yù)先保護(hù)的內(nèi)容。

 

(2)繪制數(shù)字地圖：識(shí)別和分類組織中的所有連接資產(chǎn)，無(wú)論它們被認(rèn)為是IT、物聯(lián)網(wǎng)、樓宇管理系統(tǒng)(BMS)、運(yùn)營(yíng)技術(shù)或智能個(gè)人設(shè)備。這包括了解信息如何在企業(yè)的網(wǎng)絡(luò)中移動(dòng)以及與誰(shuí)接觸設(shè)備，其中包括具有遠(yuǎn)程訪問(wèn)連接的第三方供應(yīng)商和維護(hù)承包商。

 

(3)闡明最可能的攻擊路徑：分析網(wǎng)絡(luò)中的風(fēng)險(xiǎn)和漏洞，以確定對(duì)企業(yè)的寶貴資產(chǎn)和流程最可能的攻擊媒介。可以使用自動(dòng)威脅建模識(shí)別其他切入點(diǎn)，例如社會(huì)工程學(xué)和對(duì)網(wǎng)絡(luò)設(shè)施的物理訪問(wèn)，來(lái)完成此任務(wù)。

 

(4)緩解和保護(hù)：一旦企業(yè)對(duì)最可能的攻擊路徑有所了解，就應(yīng)制定優(yōu)先級(jí)降低風(fēng)險(xiǎn)的方法。這可以包括以下步驟，例如減少全球互聯(lián)網(wǎng)可訪問(wèn)的入口點(diǎn)的數(shù)量，使用零信任度微細(xì)分策略將物聯(lián)網(wǎng)和運(yùn)營(yíng)技術(shù)設(shè)備與其他網(wǎng)絡(luò)隔離，以及修補(bǔ)最有可能的攻擊路徑中存在的關(guān)鍵漏洞。持續(xù)進(jìn)行的補(bǔ)償控制主要圍繞利用連續(xù)的網(wǎng)絡(luò)安全監(jiān)控和無(wú)代理安全性來(lái)立即識(shí)別可疑或未經(jīng)授權(quán)的行為，例如采用攝像頭瀏覽Active Directory。

 

(5)消除IT、運(yùn)營(yíng)技術(shù)(OT)、物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng)(CPS)之間的孤島：作為首席信息安全官(CISO)，保護(hù)企業(yè)安全意味著要對(duì)所有數(shù)字安全負(fù)責(zé)，無(wú)論是IT、運(yùn)營(yíng)技術(shù)(OT)、物聯(lián)網(wǎng)還是網(wǎng)絡(luò)物理系統(tǒng)(CPS)。創(chuàng)建統(tǒng)一的安全監(jiān)控和治理需要對(duì)人員、流程和技術(shù)采取整體方法。技術(shù)方面包括將所有物聯(lián)網(wǎng)/運(yùn)營(yíng)技術(shù)安全警報(bào)轉(zhuǎn)發(fā)到安全運(yùn)營(yíng)中心，并利用現(xiàn)有安全信息和事件管理(SIEM)、業(yè)務(wù)流程自動(dòng)化和響應(yīng)(SOAR)以及預(yù)防機(jī)制(防火墻和網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng))來(lái)快速響應(yīng)物聯(lián)網(wǎng)和運(yùn)營(yíng)技術(shù)事件，例如快速隔離已被檢測(cè)為惡意流量源頭的物聯(lián)網(wǎng)設(shè)備。

 

 

如今，從激進(jìn)國(guó)家到網(wǎng)絡(luò)犯罪分子以及黑客，都有強(qiáng)烈的動(dòng)機(jī)、決心、能力進(jìn)行破壞。

 

行業(yè)專家一致認(rèn)為，堅(jiān)定的網(wǎng)絡(luò)攻擊者最終將找到侵入企業(yè)網(wǎng)絡(luò)的方法，因此，更好的策略是部署監(jiān)視以在攻擊鏈的早期偵察階段發(fā)現(xiàn)他們，以便在網(wǎng)絡(luò)攻擊可能造成重大破壞之前減輕攻擊。例如，在TRITON對(duì)一家石化工廠安全控制系統(tǒng)的攻擊中，由于該工廠控制系統(tǒng)有一個(gè)存在幾年的漏洞，該漏洞導(dǎo)致這家工廠關(guān)閉一周。

 

企業(yè)的董事會(huì)和管理團(tuán)隊(duì)必須認(rèn)識(shí)到物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng)(CPS)帶來(lái)的新安全風(fēng)險(xiǎn)，并使用基于風(fēng)險(xiǎn)的方法積極地做好準(zhǔn)備。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。