20世紀70年代初期,世界上第一款計算機病毒 Creeper 浮出水面。過去50年間,網絡威脅愈演愈烈,黑客變得更加老練的同時,原本隔離工業控制系統(ICS)逐漸聯網並暴露在網絡攻擊之中。
雖然此類工業系統中包含安全功能和培訓協議,但工控系統安全管理解決方案提供商 PAS 公司的創始人兼首席執行官埃迪·哈比比表示,連接性加強也就意味著網絡安全必須引起足夠的重視。
工業類企業可通過五種方式提高網絡威脅意識,以便更好地保護員工、客戶及數據。
1. 使網絡安全成為“第二天性”
企業必須優先考慮兩大網絡安全方向:工業系統和企業系統的網絡安全。哈比比表示,將網絡安全融入企業文化至關重要,其中最重要的是開展網絡意識培訓。例如,美國知名的私人能源公司 Consolidated Edison 就在企業內部創建了專門的安全團隊,其成員包括美國執法機構的前僱員。
2. “自上而下”很重要
新舉措和培訓往往由企業的人力資源部或專門的團隊推出,這可能會導致指令太過抽象或缺乏情景。有效提高網絡培訓需要企業領導層的高度關注。網絡意識培訓需要從董事會開始,例如,企業首席執行官(CEO)有必要提出舉措,要求首席信息官(CIO)和首席信息安全官(CISO)接受這種想法,這將有助於推動網絡意識培訓和文化變革。
3. 提防陌生危險
到目前為止,仍有相當一部分行業人認為一般的網絡安全建議不足以引起重視,尤其不足以引起管理層的重視,但往往是常見的網絡攻擊方式帶來了嚴重的後果。比如,網絡釣魚電子郵件活動變得越來越複雜,對特定目標發送具有針對性的電子郵件有助於誘騙目標上鉤。且多數案例說明,仍有眾多專業人士被誘騙點擊網絡釣魚電子郵件。
同樣的邏輯適用於諸如 U 盤之類的移動媒體設備,如若撿到來路不明的 U 盤,切記不可插入自己的電腦。
四年前,美國國土安全部(DHS)發出警告,指出針對能源控制系統的惡意軟件部署方式包括搜索網絡連接的文件共享和可刪除媒介,以便在受影響的環境中橫向移動。
Consolidated Edison 等公司會標記來自外部的電子郵件,網絡釣魚是攻擊者慣用的策略,打標記有助於提醒員工提高警惕。
4. 持續開展安全活動
建議採用其它策略提高這類企業的網絡安全性,例如舉行會議時強調網絡安全。例如,北美電力可靠性公司(NERC)一直在開展持續的培訓,其電力信息共享和分析中心(E-ISAC)就提供行業教育和培訓機會,包括每月一次的行業與政府安全專家網絡研討會。
5. 多參加網絡安全演習
參加網絡安全演習有助於提高網絡安全響應能力。就北美地區而言,NERC 每兩年都會舉辦 GridEx 網絡演習,這樣的模擬攻擊演習可讓參與公共事業公司執行網絡響應計劃,加強組織機構與個人之間的聯繫,並確定有待改進的空間。除此之外,NERC 每年還會舉辦能源安全會議 GridSecCon。2017年,北美地區有400個組織機構,6000多人參與了 GridEx IV 演習,相比前幾年,參與人數正逐漸增多。
整理/夏立城 上海藍盟創始人兼CEO,復旦校友創新創業俱樂部副會長,致力於用IT外包網絡維護服務賦能企業客戶發展,助力其創新、迭代和進化。
閱讀更多 夏掰創業 的文章
