工业控制系统(ICS)安全是当今公司企业的重要考虑。卡巴斯基实验室非常了解这一点。在其《2018工业网络安全状态》报告中,3/4的受访者确认ICS安全是他们公司的首要考虑。
但该俄罗斯安全公司发现,很多公司企业其实并未采取有效措施来解决这一焦虑。比如说,适用于ICS网络安全的行业和政府指南及规定,就只有不到1/4(23%)的调查参与者遵从了其中强制性的那一小部分。10%的公司企业依然没有监测其遭遇的网络安全事件和数据泄露。
该调查研究的调查结果凸显出公司企业须做更多工作来强化其ICS安全。最好的方法之一就是不要采用零散的安全措施来保护其工业控制系统。随着IT-OT的不断融合,如今的工业环境对于这种临时组成的方法而言太过复杂了。相反,公司企业应在正式的ICS安全项目框架内组织自己所有的力量以护卫其工业控制系统。
ICS安全项目是什么?
ICS安全项目就是帮助公司企业保护其ICS技术的计划。这类项目想要有效,就必须反映出现代工业环境的复杂性。因此,公司企业应遵从安全公司火眼的指南,确保其项目将IT和OT资产都纳入了考虑。
当然,网络安全项目不是病态的。正如威胁也在不断发展变化,公司企业应审查和更新其计划,以反映出自身面对新的运营、监管和业务需求改变时的安全需求。只有这样,他们才能获得自身IT和ICS资产风险的全面可见性。
具体步骤
公司企业该如何打造有效的ICS安全计划呢?
1. 说服高管
只有获得公司高层的重视,ICS安全项目才有可能获得成功。而为了说服这些高层管理人员,就必须为ICS安全项目打造一个商业案例。该案例应探索创建此类项目的好处,强调没有创建该计划可能导致的损失和潜在伤害,讨论创建和维护该框架所需的步骤,指明相关的开销与资源,同时还要反映出高层的商业考虑。为了拿出这么一个案例,安全人员应寻求企业公关等内部主要团队的帮助,借助熟悉适用规则的外部专家的力量。
然后,安全人员应将该案例嵌入成功第三方样例上下文,并将完整商业案例呈现给公司高管。正如NIST《工业控制系统(ICS)安全指南》中阐述的,该方法有助于引起公司高管对企业所面临挑战及其相应解决方案的兴趣。得到公司高层的支持后,安全团队就能获得初步的投资,用以创建该计划,并编制出为该项目的未来分配必要资金的路线图。
2. 集结团队
打造安全项目的时候,安全人员常犯的巨大错误之一就是缺乏统筹的单干。安全人员需要确保自己纳入了其他人的帮助,最好是信息安全经理,有权监管整个项目的那种。有了统筹和监管,安全人员就可以开始在由IT人员、控制工程师、控制系统操作员、安全问题专家和企业风险管理人员组成的动态团队之间分配任务了。
3. 定义范围与安全策略
拉起整个队伍之后,安全人员可以开始构筑项目本身了。首先应采用被动和主动扫描工具,整理出所有需要保护的IT和ICS系统清单。不过,由于扫描PLC和SCADA单元之类资源有可能造成工业过程中断,摸查ICS资产时应特别小心,最好听从NIST的建议,在OT环境中使用扫描工具前先进行工具运行机制的评估。然后将扫描结果馈送至自动化管理平台,保持该资产清单持续更新。
接下来,安全团队需定义出ICS安全项目的范围。信息安全经理或其他具有监管权限的人应编制写明该项目目标的策略,指定必要的预算和资源,划分重要部门职责。该策略还应参考现有信息安全计划中可以借鉴的操作。信息安全经理可在执行了ICS环境风险评估之后再作出自己的决策。
4. 测试ICS环境
至此,安全人员可以开始测试ICS环境了。理想状态下,该测试过程应在安全风险管理框架之内进行,参与人员和团队各司其职。安全团队可以帮助信息安全经理选择合适的安全控制——既能反映出ICS环境风险评估的结果,又能补足ICS安全计划的项目管理控制。然后,参与其中的每个人尽职尽责支持这些ICS安全控制的实现即可。
上述四步过程并不很难。如果公司企业可以投资可信解决方案来实现重要安全控制,该过程还能更简单一些。该解决方案应能提供可以强化客户公司工业环境安全所需的控制和功能。
卡巴斯基《2018工业网络安全状态》报告地址:
火眼安全指南:
https://www.fireeye.com/blog/executive-perspective/2016/08/developing_a_securit.html
NIST《工业控制系统指南》地址:
https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-82r2.pdf