工業控制系統(ICS)安全是當今公司企業的重要考慮。卡巴斯基實驗室非常瞭解這一點。在其《2018工業網絡安全狀態》報告中,3/4的受訪者確認ICS安全是他們公司的首要考慮。
但該俄羅斯安全公司發現,很多公司企業其實並未採取有效措施來解決這一焦慮。比如說,適用於ICS網絡安全的行業和政府指南及規定,就只有不到1/4(23%)的調查參與者遵從了其中強制性的那一小部分。10%的公司企業依然沒有監測其遭遇的網絡安全事件和數據洩露。
該調查研究的調查結果凸顯出公司企業須做更多工作來強化其ICS安全。最好的方法之一就是不要採用零散的安全措施來保護其工業控制系統。隨著IT-OT的不斷融合,如今的工業環境對於這種臨時組成的方法而言太過複雜了。相反,公司企業應在正式的ICS安全項目框架內組織自己所有的力量以護衛其工業控制系統。
ICS安全項目是什麼?
ICS安全項目就是幫助公司企業保護其ICS技術的計劃。這類項目想要有效,就必須反映出現代工業環境的複雜性。因此,公司企業應遵從安全公司火眼的指南,確保其項目將IT和OT資產都納入了考慮。
當然,網絡安全項目不是病態的。正如威脅也在不斷髮展變化,公司企業應審查和更新其計劃,以反映出自身面對新的運營、監管和業務需求改變時的安全需求。只有這樣,他們才能獲得自身IT和ICS資產風險的全面可見性。
具體步驟
公司企業該如何打造有效的ICS安全計劃呢?
1. 說服高管
只有獲得公司高層的重視,ICS安全項目才有可能獲得成功。而為了說服這些高層管理人員,就必須為ICS安全項目打造一個商業案例。該案例應探索創建此類項目的好處,強調沒有創建該計劃可能導致的損失和潛在傷害,討論創建和維護該框架所需的步驟,指明相關的開銷與資源,同時還要反映出高層的商業考慮。為了拿出這麼一個案例,安全人員應尋求企業公關等內部主要團隊的幫助,藉助熟悉適用規則的外部專家的力量。
然後,安全人員應將該案例嵌入成功第三方樣例上下文,並將完整商業案例呈現給公司高管。正如NIST《工業控制系統(ICS)安全指南》中闡述的,該方法有助於引起公司高管對企業所面臨挑戰及其相應解決方案的興趣。得到公司高層的支持後,安全團隊就能獲得初步的投資,用以創建該計劃,並編制出為該項目的未來分配必要資金的路線圖。
2. 集結團隊
打造安全項目的時候,安全人員常犯的巨大錯誤之一就是缺乏統籌的單幹。安全人員需要確保自己納入了其他人的幫助,最好是信息安全經理,有權監管整個項目的那種。有了統籌和監管,安全人員就可以開始在由IT人員、控制工程師、控制系統操作員、安全問題專家和企業風險管理人員組成的動態團隊之間分配任務了。
3. 定義範圍與安全策略
拉起整個隊伍之後,安全人員可以開始構築項目本身了。首先應採用被動和主動掃描工具,整理出所有需要保護的IT和ICS系統清單。不過,由於掃描PLC和SCADA單元之類資源有可能造成工業過程中斷,摸查ICS資產時應特別小心,最好聽從NIST的建議,在OT環境中使用掃描工具前先進行工具運行機制的評估。然後將掃描結果饋送至自動化管理平臺,保持該資產清單持續更新。
接下來,安全團隊需定義出ICS安全項目的範圍。信息安全經理或其他具有監管權限的人應編制寫明該項目目標的策略,指定必要的預算和資源,劃分重要部門職責。該策略還應參考現有信息安全計劃中可以借鑑的操作。信息安全經理可在執行了ICS環境風險評估之後再作出自己的決策。
4. 測試ICS環境
至此,安全人員可以開始測試ICS環境了。理想狀態下,該測試過程應在安全風險管理框架之內進行,參與人員和團隊各司其職。安全團隊可以幫助信息安全經理選擇合適的安全控制——既能反映出ICS環境風險評估的結果,又能補足ICS安全計劃的項目管理控制。然後,參與其中的每個人盡職盡責支持這些ICS安全控制的實現即可。
上述四步過程並不很難。如果公司企業可以投資可信解決方案來實現重要安全控制,該過程還能更簡單一些。該解決方案應能提供可以強化客戶公司工業環境安全所需的控制和功能。
卡巴斯基《2018工業網絡安全狀態》報告地址:
火眼安全指南:
閱讀更多 安全牛 的文章
