当今时代,网络攻击不是会不会发生而是什么时候发生的问题。这意味着全世界的工业设施都需重新审视和安排自身在数字工业网络安全上的投资。随着优先级的迁移,相对于传统防护战术,提升在事件检测与响应策略及工具方面的投资力度就成了当务之急。
换句话说,打造典型网络安全边界期望能拦住攻击者的做法已经不再适用,必须设计处理攻击的规程,准备好一旦有人侵入便能立即缓解并修复任意损害。
当今企业IT世界中,因披露法规和新条例公众意识的加强,这一问题的范围已经很是清晰了。但在运营技术(OT)领域,很多公司企业仍在艰难调整适应,安全支出的二八定律——80%投入防护,20%投入检测与响应,也依然适用。
情况即将发生改变的迹象已经出现。对油、气、水、电、制造、交通和医疗等关键基础设施提供商来说,没做足事件应对准备可能就意味着违反新的监管规定,比如欧盟的网络与信息系统安全指令(NIS指令)。但合规只是驱动因素之一,组织良好有条理的事件处理计划也可以改善安全,有助于防止金融或声誉损失。
理解响应
工业OT环境事件检测与响应的一个主要难题是其同质性远低于典型IT环境。IT环境中,一款Windows恶意软件可以泛滥成灾并颇具破坏性,但故障排除技术的可用性却相对较高。
相对之下,对OT环境的成功攻击则可影响不同供应商的多个不同系统。面对这种复杂性,想要理解恰当的响应就需要高度专业化的技能和多方参与了,比如工程、供应商、系统集成商等等。由于OT系统往往缺乏全面的日志记录或长期数据保存,隔离问题的取证工具包也与IT领域的完全不同,有时候甚至是完全没有工具可用。
让问题更加棘手的是,OT环境同时面临着普通恶意软件和高端特定威胁的双重风险,而应对不当就有可能导致危及物理过程的灾难性后果。比如说,Triton恶意软件就是砸了大价钱设计来针对全球电站使用的那类安全仪表系统(SIS)的。若非无意中触发了该SIS,这款恶意软件或许直到交付了最终攻击载荷才会被发现。虽然我们可能永远不会知晓其创建者的目的是什么,但该恶意软件无疑具备在危险环境中制造大规模电力中断的潜力,或许还会造成人员伤亡。
Triton和其他OT恶意软件,比如震网、Duqu和Shamoon,均在目标系统中潜伏了数月之久。国家力量投入人力物力处理并调查这些事件,若说没有其他类似威胁潜藏,未免太过天真。
于是,如果工业环境中发生网络安全事件,你该做什么?检测与响应策略最佳实践指南遵循以下七步:准备、识别、遏制、根除、恢复、学习、测试和重复。
做好准备很重要
首先,事件计划中的关键字不是“事件”。凡事预则立不预则废,做好准备意味着要进行一整套深入全面的风险评估,解决从员工培训到制定事件发生时的重要联系人列表等一应事务。而且不仅仅是知道该联系谁,还必须考虑到涉及如何联系的任何潜在困难。
能断绝通信、制造危险环境,或者在钻井平台之类远程站点发生的事件,必须做好应对准备,并且经常更新应对措施。事件应对准备阶段还应确保外部各方也参与进来,就像跟进合同义务一样。
识别事件
第二步涉及事件识别,也是很多公司企业困扰的地方。想要采取恰当的应对措施,发现异常行为和正确分类行为的能力就至关重要了。渗透测试往往能成功的事实就说明事件识别方面的工作还有加强。值得庆幸的是,现在确实有工具可以提供启发式监视和攻击早期预警。
事件被证实后,就应了解事件本质及其潜在破坏力。滤掉误报需要经验和高超的技术。
遏制
识别之后就是遏制,这又是个需要列出恰当行动方案保持危机时头脑冷静的活儿。过度反应与反应不足都会对运营造成伤害。断掉一台联网主机还是隔离一条生产线才能遏制威胁?有没有公司网络上发现恶意软件就隔离OT网络的计划?正确的策略可以防止不必要的宕机,也能在系统状态数据保存良好的情况下更易于取证调查。
声誉损害控制的重要性也是不言自明。危机时刻能够详实透明地沟通能防止问题继续发酵。
根除与恢复
第四和第五步需要根除威胁并尽快让环境重新上线。理想情况下就是通过合理的过程从可信“黄金镜像”备份中恢复。
然而,备份与恢复确实存在特定的困难。一个关键问题就是定期测试该恢复能力与备份本身了。停止生产线进行全面演练不太可能,维护一个环境副本用于测试更是成本高到离谱。已经被业内广泛采用的虚拟化之类技术可以提供所需的灵活性与保障。
学习与重复
最后,第六步和第七步强调从每个事件中记录与学习,识别出弱点,防止同类事件重现。然后微调并测试你的过程,用攻击模拟、演习和对抗培训员工,不断重复这一过程。
但是,其中我们不断强调的一个关键词是人才。事件响应计划的有效性取决于创建并执行该计划的人,而这些人才需在长期投资不足的欠账中培养出来。公司企业将不得不利用能提供跨行业OT经验的外部实体服务,而且最好作为合作伙伴事先预测问题,而不是作为遭攻击后的受害者加入进去。