制造商现在需要了解的有关网络安全的信息——Pat Toth 访谈

网络攻击的数量持续上升，网络犯罪分子的决心越来越大。在瞬息万变的数字环境中，公司不得不试图在令人困惑的技术指导中导航。小型制造商通常认为他们的公司没有风险。毕竟，既然有更大的企业要瞄准，为什么有人要瞄准小型​​农村制造商呢？

为了了解正在发生的事情并找出制造商在网络安全方面真正需要了解的内容，我与 Pat Toth 进行了交谈。 Pat 是 NIST Manufacturing Extension Partnership 的一名计算机科学家，他拥有 30 多年的网络安全经验，并参与过许多 NIST 网络安全指导文件的编写。

问题：与其他行业相比，制造商真的面临网络攻击的风险吗？如果是这样，为什么？

帕特： 根据美国国土安全部的数据，根据报告的网络攻击数量，制造业是第二大目标行业。

我认为小型制造商尤其容易受到攻击，因为它们被视为进入大型供应链的简单切入点。可以这样想：如果您是一名罪犯并计划闯入建筑物并抢劫它，您是打算闯入带有监视设备、警报系统和警卫的建筑物，还是更有可能成为目标？没有任何这些安全功能的建筑物？通常是后者，这就是网络犯罪分子专门针对制造商的原因。不幸的是，许多小企业没有适当的安全措施，因为这些公司认为他们不是目标。

网络犯罪分子可能对您的知识产权 (IP) 感兴趣，或者他们可能想访问有关您的工作人员或雇用人员的信息。 Target 2013 年的客户数据泄露事件是最著名的案例之一。他们的 HVAC 系统提供商成为网络犯罪分子的目标，因为黑客知道他们可以通过该 HVAC 提供商访问 Target 的系统。数据泄露导致数百万人的信用卡信息被盗。

问题：鉴于中小型制造商 (SMM) 通常是主要目标，但也往往资源有限，这些 SMM 可以做什么？

帕特： 这可能看起来很复杂，而且可能有点让人不知所措，但 SMM 可以做一些成本低到无成本且易于实施的事情。

它真正归结为制定政策和教育员工。各种研究发现，员工是每个公司安全中最脆弱的地方之一。大多数员工根本不知道他们需要注意什么以及如何识别潜在或实际的网络事件，直到为时已晚。公司需要定期沟通，以帮助员工了解网络犯罪分子的策略以及他们在预防网络事件中发挥的关键作用。

例如，您的公司应该制定在工作场所使用社交媒体的政策。一些员工希望在工作日访问社交媒体。公司面临着一种平衡——允许员工访问社交媒体并保护他们的系统。那你怎么做呢？你制定了政策。政策可能是您不允许在公司系统上使用社交媒体。也许您提供了一个单独的半公共网络，供人们全天访问社交媒体，这不会使您的公司面临风险。无论您的政策是什么，请确保您的员工了解它，了解它存在的原因以及违反该政策的潜在后果。

问题：很高兴听到制造商可以实施零成本和低成本的解决方案。如果一家公司准备改善其网络安全，他们应该从哪里开始？

帕特： 首先查看 NIST 网络安全框架和 NISTIR 7621 小型企业信息安全：基础知识。网络安全框架包括管理网络安全相关风险的标准、指南和最佳实践。它提供了一种优先、灵活且具有成本效益的方法来保护系统。小型企业信息安全：基础知识基于网络安全框架，为可能没有技术背景的公司决策者提供更易于管理的概述。它还侧重于如何评估和优先考虑安全功能。

为了让您开始，这里是您将在框架中找到的内容的简要摘要。

第一步是识别 .确定对贵公司最有价值的信息。这些信息如果丢失或修改，将导致您的操作停止。例如，假设您是一家食品制造商，您使用祖母的食谱制作巧克力曲奇。该配方对您的业务至关重要，应防止被盗或修改，以便您的业务能够继续下去。

第二步是保护 .您已经与经理和员工进行了交谈，并使用这些反馈来确定对贵公司最重要的信息。现在是时候决定需要做什么来正确保护这些信息了。此步骤在很大程度上取决于特定于您的业务的威胁和漏洞。仅通过面对面互动或通过电话与客户合作的小公司将没有像通过电子邮件和门户网站开展业务的公司那样受到保护。至于需要采取何种保护措施，这实际上取决于您的操作环境。

第三步是检测 .您需要能够检测到网络事件何时发生。您应该拥有最新的反间谍软件、防病毒和入侵检测系统。您还应该考虑您的物理空间。考虑诸如当人们进入他们不应该进入的区域时是否需要提醒您的事情。无论事件是数字的还是物理的，重要的是要知道事件何时发生以及此人获得了哪些访问权限。

第四步是回复 .当网络事件发生时，您的公司将需要快速响应以减轻潜在的损害。你需要在事情发生之前制定一个计划。该计划应包括谁负责以及发生事件时应联系谁。此外，员工必须知道如何在工作时间和工作时间后访问该计划。

还记得回到小学时我们一年练习几次消防演习吗？就像那些消防演习一样，您的公司应该定期练习其网络事件响应，以便员工知道如果发生网络事件该怎么做。

第五步也是最后一步是恢复 .您应该执行定期备份，以便您可以恢复您的系统。这些备份应存储在单独的位置或云中。您需要测试您的备份。如果您不测试备份信息，则无法确定您是否能够从事件中完全恢复。您决定测试备份的频率应基于信息对公司运营的重要性。

这不是“一刀切”的情况，您必须决定什么适合您的公司及其文化。对于一家公司，每年测试一次就足够了。对于另一家公司，它可能需要每周测试一次。这不是一个容易听到的答案，但它确实需要查看您的系统以了解您的弱点，了解您面临的威胁以及您将如何应对它们。

问题：假设我的公司已经采取了适当的安全措施，并且我们已经制定了一个响应计划：接下来会发生什么？

帕特： 这不是“一劳永逸”的活动。你不能写一个响应计划，然后把它放在架子上。这应该是一个活文件。每个人都需要了解您的网络安全状况以及如何继续改进。

每次购买新设备或雇用新员工时，您都需要考虑这些活动如何影响您的安全。对于小公司来说，这可能很难。我经常看到公司迅速发展并忘记并非每个人都需要访问每一点信息的情况。这可能需要一些时间，但管理层需要查看员工名单，看看他们应该和不应该访问什么。车间里的某个人不需要访问工资单信息。定义角色和实现这些角色的分离可能很困难，但在保护您的公司免受网络威胁时却是必要的。

我认为网络安全和质量在采用方面有很多相似之处。许多公司在采用 ISO 9000 等质量体系方面进展缓慢。质量的一个主要组成部分是公司的心态。网络安全不仅限于 IT 人员或网络负责人——公司各个级别的每个员工都有某种形式的责任。网络安全需要成为公司文化的一部分——就像质量一样——才能有效。

问题：我在哪里可以找到信息来教育我的员工他们可以采取哪些措施来降低公司的网络风险？

帕特： 转至 NIST MEP 网络安全资源网页。在此页面上，您会找到许多资源，包括一个简单的自我评估工具，您可以使用它（基于 NIST 的网络安全框架）来自我评估贵公司的网络风险水平。自我评估可以帮助您确定公司的弱点在哪里，以及将资源集中在哪些方面来改进这些弱点。我们不会跟踪您的信息或保留结果。参加评估后，您将收到一个分数，以便您了解自己在网络安全工作方面的弱点。您还可以联系位于所有 50 个州和波多黎各的 51 个 MEP 中心之一，它们是 MEP 国家网络的一部分 ^TM 寻求问题或帮助。