制定关键基础设施网络安全战略

要点包括：

• 关键基础设施保护是长期的优先事项，但许多组织对网络威胁的反应滞后。
• COVID-19 拓宽了关键基础设施的定义，同时也提醒企业公司质疑哪些系统对运营至关重要。本文基于本系列第一章“解决从云到边缘的物联网安全挑战”中的建议。
• 管理关键基础设施的组织应制定主动的网络安全态势，但冠状病毒导致的中断加剧了挑战。

到目前为止，关键基础设施需要全面的网络安全是显而易见的。关于恶意行为者针对电网、水坝、投票系统和其他联邦政府指定的关键基础设施的风险的公众帐户很普遍。但是，大多数提供基本服务的组织在解决网络风险方面只采取了渐进的步骤。德勤合伙人肖恩·皮斯利 (Sean Peasley) 表示：“许多 [运营技术] 组织都有相当新的网络安全计划。”

“关键基础设施”一词最初是指交通基础设施和公用事业等公共工程，但自 1990 年代以来，该定义稳步扩大。现在，该标题下的行业包括医疗保健、能源和公用事业以及各种制造商。 “实际上，我们发现在 COVID 时代，关键基础设施比我们想象的还要广泛，”德勤负责人 Kieran Norton 说。例如，个人防护设备的制造商在缓解危机方面发挥着作用。 “例如，我们还了解到，在大流行期间供应链中断可能是灾难性的，”诺顿说。毫不奇怪，物流公司已经巩固了他们作为必不可少的角色。美国政府已宣布纸浆、造纸和肉类包装行业也必不可少。因此，关键基础设施和运营技术 (OT) 安全之间的重叠继续模糊。根据 TÜV Rheinland 承保的 Ponemon Institute 的工业安全研究，无论名称如何，该领域中很少有行业达到了高度的网络有效性。

[IoT World 是北美最大的物联网盛会，将于 8 月 11 日至 13 日进行虚拟化，为期三天的虚拟体验将物联网、人工智能、5G 和边缘技术付诸实践，跨越垂直行业。今天注册]

传统的关键基础设施实体可能在传统风险管理和安全计划方面拥有数十年的经验，但对许多人来说，网络安全是一个相对较新的优先事项。从广义上讲，管理关键基础设施的组织往往行动缓慢。 Kudelski Security 首席执行官 Andrew Howard 表示：“我的总体经验是，OT 安全比 IT 安全领域落后大约 10 到 15 年。

与此同时，关键基础设施组织的威胁形势继续变得更加不稳定。针对此类基础设施的攻击者数量激增，许多关键基础设施环境中的连接设备数量也在激增。根据 IBM 的 X-Force 威胁情报指数 2020，2019 年对工业控制系统的攻击量高于前三年的总和。

此类攻击在 2020 年成为头条新闻。勒索软件攻击者成功针对本田和台湾的能源公用事业公司以及美国的天然气设施。据报道，以色列的供水系统遭到袭击。日本电信公司 NTT 的内部网络遭到破坏。

R isk 持续评估

如果你不能衡量某件事，你就无法改进它。但该建议双重适用于关键基础设施网络安全，其中风险和风险降低可能难以量化。鉴于环境的多样性和复杂性，许多组织都在努力保持准确的资产清单。同时，专门从事 OT 网络安全的专家供不应求。使这种风险更加复杂的是第三方风险管理的复杂性，包括评估通过采购的硬件、软件或承包商引入的潜在漏洞。

虽然风险评估应该是一个持续的过程，但关键基础设施组织应该从定期深入的风险评估开始，旨在量化网络攻击和其他运营中断原因的威胁、漏洞和潜在后果。潜在的漏洞包括共享密码、未打补丁的系统、来源不明的软件和硬件以及过于宽松的防火墙。

但是这样的安全评估可能很难执行。有一系列设备类型需要跟踪，包括泵和阀门、传统控制器和无数计算设备。此外，了解工业系统漏洞的后果需要深入的操作知识。在拥有大量不同系统的环境中，问题更加复杂。

传统的网络扫描技术需要小心。工业控制系统的主动网络和漏洞扫描技术可以使控制系统崩溃。根据专门从事工业控制系统安全的顾问 Dale Peterson 的说法，在关键基础设施环境中安全地使用主动扫描通常可以安全地完成。但它需要与运营部门密切合作来解决风险。虽然用于网络监控的被动技术侵入性较小，但它们也不太准确。 “这场辩论经常是 IT 安全观点与 OT 观点发生冲突的地方。 IT 安全人员倾向于采用主动扫描，但负责监控关键基础设施系统的人员通常更喜欢被动方法，因为他们不想将其置于危险之中。”

尤其是通过深入评估，组织可能会发现一长串问题，并质疑修复的优先级。同样使问题更加复杂的是，许多网络安全专业人员通常没有对所有设备进行审计的直接经验，因此必须依靠与经验丰富的资产所有者和运营商的面谈来衡量他们的网络风险。

组织应权衡修复的严重性和难易程度。 Miklovic 说，访问控制通常是这里的一个主题。 “边界接口始终是任何网络安全问题中最薄弱的部分，无论是协议边界还是物理边界，”他说。 “即使在工业网络安全领域，最大的漏洞之一仍然是 USB 驱动器。”

霍华德说，虽然工作人员使用强力胶水或焊料来插入未使用的 USB 驱动器既快捷又便宜，但一些组织过分关注解决修复中的“简单问题”。 “是的，您应该立即取消阈值缓解措施。但在那之后，你应该根据风险进行优先排序。”

RunSafe 首席执行官乔·桑德斯 (Joe Saunders) 表示，可以使用权衡漏洞影响的可能性和潜在严重性的二乘二矩阵来量化该风险。

为每个系统建立风险概况很少是直截了当的。如果给定系统崩溃，与资产所有者和运营商的访谈是了解影响的关键。 “你可以拥有一台看似易受攻击且风险高的机器，”米克洛维奇说。但如果它出现故障，它可能只会导致孤立的问题，而不是让一切“停顿”。

另一个使风险评估复杂化的因素是组织倾向于仅根据投入的时间或金钱来确定网络优先事项的优先级。趋势科技基础设施战略副总裁比尔马利克说：“组织认为有价值的东西可能与网络犯罪分子认为有价值的东西大不相同。

对于传统设备，组织降低风险的能力可能会受到限制。运行几十年前操作系统的设备可能无法更新。 “通常对这些系统采取的策略是隔离和监控，”霍华德说。 “我的经验是，隔离通常是非常多孔的。”

新常态下的新风险

随着越来越多的网络安全问题，关键基础设施的风险管理变得越来越具有挑战性。这些组织需要制定 COVID-19 响应计划，同时扩大某些员工的远程工作范围，这进一步增加了复杂性。 IronNet Cyber​​security 负责战略、合作伙伴关系和企业发展的高级副总裁 Jamil Jaffer 表示：“我认为我们在关键基础设施环境中看到的主要变化是在家工作的场景。”

霍华德说，在家工作的范式使保护易受攻击的系统变得复杂。 “现在，您的员工使用 VPN 在家中连接到生产系统以进行更改，”他说。 “他们以前可能不会这样做。”

同样，一些组织可能会试图授予第三方（例如供应商和技术人员）对敏感系统的远程访问权限。 “当许多人专注于完成工作和保住工作时，对网络安全的关注可能会减少，”诺顿说。

对于希望在关键基础设施环境中扩展远程工作能力的组织来说，网络可用性是另一个考虑因素。 “在过去，您的组织中有 10% 到 20% 的员工使用传统的远程访问基础设施，”诺顿说。随着组织扩大远程工作能力，“许多组织都遇到了带宽、规模和部署资产的问题，”诺顿说。

虽然扩大工业资产的连通性可能会造成更多漏洞，但 COVID-19 也强调了依赖于工人的实际存在、手动流程和文书工作的老式应急计划的风险。

尽管传统上变化缓慢，但关键基础设施组织在重新思考核心流程和工作流程时不应回避对其技术架构进行大规模更改。 “如果这是新常态，你可能需要重新设计你的基础设施，”诺顿说。

迈向主动网络安全

最终，关键基础设施组织寻求从提供增量风险降低的根深蒂固的手动流程过渡到更主动的网络安全态势。 Sternum 首席执行官 Natali Tshuva 表示：“工业环境往往很复杂，而且在不断发展。 “不仅需要安全控制来评估当前状态，还需要在未来几年提供可持续的保护和安心。”

传统上，工业和关键基础设施安全意味着物理安全，包括物理边界内的安全和访问控制。许多传统的工业协议从根本上来说是不安全的，因为它们的设计者认为只有经过授权的人员才能访问它们。但远程工作、云计算和工业物联网的兴起削弱了城堡和护城河的安全模型。然而，这种遗留模型的影响是许多关键基础设施组织以及企业公司采用被动安全方法的原因之一。

这种重新设计的重点应该是创建基于通用安全策略的强大而高效的工作流。 “将安全控制措施尽可能靠近资产，”诺顿建议道。

该过程包括为以下资产制定全面且不断发展的安全政策：

• 设备和装置 ：此类硬件的范围可以从传统工业设备到物联网设备，再到企业发行的笔记本电脑。 “在与用户相关的上下文中了解这些设备非常重要，”诺顿说。 RunSafe Security 的首席执行官 Joe Saunders 建议，组织应该保护工业控制器。相比之下，保护传感器和网关相对简单。 “但控制器对性能很敏感，而且深入基础设施。”
• 网络和用户 ：对于用户，安全人员应根据组织安全策略中概述的控制尽可能地限制访问。 “您可以拥有一个与安全控制对话的策略引擎，允许您通过用户和应用程序的上下文动态应用逻辑，”诺顿说。组织还应投资于网络漏洞检测功能。
• 数据 .数据分类和发现是评估保护给定数据类型所需的控制级别的重要工具。
• 工作流程、工作负载和流程。 所需的保护程度考虑了这些流程对您的组织的内在价值以及对手干扰它们的可能性。此任务还包括强化供应链并确保承包商和供应商遵守指定的安全控制级别。
• 软件开发流程。 Saunders 说，关键基础设施组织“应该在软件开发中构建安全性，因此您部署的软件具有弹性。”

虽然网络卫生至关重要，但安全方面的一个常见陷阱是未优先考虑威胁检测、响应和恢复。 “一个快速的经验法则是将 50% 的精力花在预防和检测上，并将 50% 的精力花在响应恢复上，”PAS Global 的执行官马特·塞尔海默 (Matt Selheimer) 说。 “传统上，许多组织采取的方法是首先实施预防控制措施，”诺顿说。但考虑到在关键基础设施环境中检查风险的复杂性，响应和恢复有时会退居次要位置。 “如果出现问题，您希望能够快速识别并关闭它，”诺顿说。 “这与预防某些事情一样重要，因为你知道事情最终会出错。”

渴望过渡到主动网络安全态势的组织可以从各种框架中汲取灵感，包括全面的 ISO 27002 和特定于工业控制系统的标准，如 ISA/IEC 62443。一个相对较新的是来自国防部 - 旨在指定组织投标各种政府计划所需的安全级别。分为五层，前三层分别指定基本、中级和良好的网络卫生。两个上层需要更复杂的网络安全管理。第四条规定“对所有网络活动的有效性进行审查和衡量”，审查结果与管理层共享。顶层添加了与所有相关单元相关的标准化和全面的文档。

Attivo Networks 首席技术官 Tony Cole 表示：“这是我们看到的第一个框架，其中包含专门针对集成商及其分包商投标敏感政府项目的成熟度模型。”该框架可以鼓励关键基础设施组织更深入地了解内部网络风险以及第三方所需的尽职调查。科尔说，该框架具有一定程度的客观性可能会有所帮助。 “根据模型，第三方审计师必须进来确认承包商的网络安全级别。没有自我报告的调查，”他说。 “必须有人审核。”

在设计主动安全策略时，自动化也是一个需要考虑的因素。机器学习等技术可以帮助组织自动执行常规安全监控任务，例如网络漏洞检测，并实施控制措施以阻止攻击的传播。

嵌入式安全保护越来越多地适用于各种资源受限的设备，可提供内在的威胁保护。 Tshuva 说，设备上的保护还应该“包括全面的资产管理功能”。此类控制支持网络可见性，并可针对攻击提供自动警报。

塞尔海默警告说，急于寻找自动化安全监控方法而没有强大的上下文安全策略的组织经常面临大量误报。但最终，所有组织都应该计划投入时间来调整安全控制。 “OT 和 IT 没有什么不同。 [安全运营中心] 的人员花费大量时间调整防火墙规则和安全信息、事件管理相关规则以减少噪音，”Selheimer 说。

使问题进一步复杂化的是独特而多样的关键基础设施环境，这会使部署现成的安全自动化和人工智能工具变得复杂。 “当然有一些限制。但也有办法解决这个问题，”诺顿说。例如，组织可以隔离敏感的操作系统并使用自动化和编排工具来保护由此产生的飞地。 “通过自动化和编排，尽可能多地自动化，然后在无法自动化的地方进行编排，以确保您拥有有效的能力，并对威胁做出响应和调整，”诺顿说。

最终，关键基础设施安全威胁可能会迅速转移。 “积极主动意味着你不断调整你的网络态势，以应对正在发生的事情，无论是对组织的直接影响，还是你从行业角度看到的事情，”诺顿说。