企业需要采用基于风险的方法为未来做好准备,遵循一些方法和步骤可能会有所帮助。
调研机构Garner公司最近发布的一份调查报告表明,首席信息安全官(CISO)的角色正在迅速发生变化,其中包括管理安全风险以及保护敏感信息。这种转变是由网络物理系统(CPS)的部署所驱动的,例如建筑管理系统和医疗保健设施中使用的物联网(IoT)设备,制造工厂、石油和天然气行业中使用的运营技术(OT)设备,以及天然气设施、能源和水务、交通、采矿和其他重要的工业基础设施。
因为网络物理系统(CPS)涵盖了数字世界和物理世界,所以它们是寻求造成重大安全和环境事件和运营中断的攻击者的主要目标。例如,对石油化工设施中的安全系统进行TRITON攻击、乌克兰电网攻击、NotPetya和Norsk Hydro勒索软件攻击。
此外,微软公司在去年8月发布的调查报告表示,观察到一个由激进国家资助的威胁团体将物联网设备作为企业网络的入口点,他们试图从中提升权限,以发动进一步的网络攻击。最近,还看到网络攻击者破坏物联网构建的访问控制系统,以攻击企业网络。
行业分析师估计,不久将在全球范围内部署约500亿台物联网设备,从而大幅增加攻击面。由于这些嵌入式设备无法受到基于代理的技术的保护,并且通常未打补丁或配置错误,因此首席信息安全官(CISO)需要新的战略来减轻物联网安全风险。否则不难想象,监管机构和企业责任律师将很快追究企业高管的过失和个人责任,原因是他们未能实施与安全相关的安全控制措施。
缓解网络物理系统(CPS)和物联网风险的五个步骤
美国爱达荷州国家实验室(INL)已开发出一种解决方案,以解决网络物理系统(CPS)和物联网/ 运营技术风险,即结果驱动型网络信息工程(CCE)。基于这种方法,以下是企业在不久的将来都应该优先考虑的五个步骤:
(1)保护重要的事物:企业不能一直保护所有事物,但是可以在大多数时间保护最重要的事物。因此,对其故障将导致重大安全或环境事件或运营中断的功能进行优先排序是关键。通过与业务所有者、基础设施经理和运营技术人员的对话,确定最需要预先保护的内容。
(2)绘制数字地图:识别和分类组织中的所有连接资产,无论它们被认为是IT、物联网、楼宇管理系统(BMS)、运营技术或智能个人设备。这包括了解信息如何在企业的网络中移动以及与谁接触设备,其中包括具有远程访问连接的第三方供应商和维护承包商。
(3)阐明最可能的攻击路径:分析网络中的风险和漏洞,以确定对企业的宝贵资产和流程最可能的攻击媒介。可以使用自动威胁建模识别其他切入点,例如社会工程学和对网络设施的物理访问,来完成此任务。
(4)缓解和保护:一旦企业对最可能的攻击路径有所了解,就应制定优先级降低风险的方法。这可以包括以下步骤,例如减少全球互联网可访问的入口点的数量,使用零信任度微细分策略将物联网和运营技术设备与其他网络隔离,以及修补最有可能的攻击路径中存在的关键漏洞。持续进行的补偿控制主要围绕利用连续的网络安全监控和无代理安全性来立即识别可疑或未经授权的行为,例如采用摄像头浏览Active Directory。
(5)消除IT、运营技术(OT)、物联网和网络物理系统(CPS)之间的孤岛:作为首席信息安全官(CISO),保护企业安全意味着要对所有数字安全负责,无论是IT、运营技术(OT)、物联网还是网络物理系统(CPS)。创建统一的安全监控和治理需要对人员、流程和技术采取整体方法。技术方面包括将所有物联网/运营技术安全警报转发到安全运营中心,并利用现有安全信息和事件管理(SIEM)、业务流程自动化和响应(SOAR)以及预防机制(防火墙和网络访问控制系统)来快速响应物联网和运营技术事件,例如快速隔离已被检测为恶意流量源头的物联网设备。
积极为未来做好准备
如今,从激进国家到网络犯罪分子以及黑客,都有强烈的动机、决心、能力进行破坏。
行业专家一致认为,坚定的网络攻击者最终将找到侵入企业网络的方法,因此,更好的策略是部署监视以在攻击链的早期侦察阶段发现他们,以便在网络攻击可能造成重大破坏之前减轻攻击。例如,在TRITON对一家石化工厂安全控制系统的攻击中,由于该工厂控制系统有一个存在几年的漏洞,该漏洞导致这家工厂关闭一周。
企业的董事会和管理团队必须认识到物联网和网络物理系统(CPS)带来的新安全风险,并使用基于风险的方法积极地做好准备。
