近期美国关键基础设施遭遇的攻击和美国政府的几项行动,包括2021年7月28日美国总统拜登签署的国家安全备忘录,无不昭示工业控制系统(ICS)网络安全功能现代化的紧迫性。
美国关键行业基础设施中90%是私有的,当前状况下,勒索软件攻击和对基础设施的探测依旧活跃。因此,尽管备忘录强调公私伙伴关系和自愿合作,但传达出的信息很明确:鉴于美国关键基础设施目前的安全脆弱程度,希望基础设施拥有者和运营商能够达到美国国家标准与技术研究所(NIST)和网络安全与基础设施安全局(CISA)列出的绩效目标,并实现各种技术,为控制系统带来可见性、风险管理和检测功能。
本文旨在提供可行建议,帮助关键基础设施企业的首席信息安全官(CISO)及其团队加强自身工业网络安全计划。其中包括应询问供应商的几个关键问题,可以通过这些问题确保企业获得必要的工业环境可见性,从而了解需要保护哪些内容,应采取哪些具体措施来掌握和降低风险,以及该如何评估威胁检测与响应能力。
本文中,我们将工业网络安全问题放到企业大背景下观察,研究如何全面保障安全。运用本文中的方法,企业不仅可以尽可能利用现有资源和人员最大化投资回报,还可以显著提升效率,实现覆盖整个企业的全面风险管理。
连接IT与OT所面临的挑战
工业网络推动业务顺利进行。但很多时候,保护和优化这些网络的工作往往几乎与其他业务环节完全脱节。任何业务决策都应该重点考虑风险因素。然而,考虑到运营场所的复杂性和必须克服的独特困难,企业风险管理计划通常会忽略工业网络风险。
运营技术(OT)网络安全与其他业务之间的脱节,可归咎于难以实现OT环境可见性、缺乏工业网络安全专业知识,以及不兼容IT安全工具。由于料想自己需要不同技术集和工具,很多企业一来就着手设置单独的OT治理流程和安全运营中心(SOC)。
这么做会引发几个方面的问题:
单个SOC构建统一战线
最佳网络防御战略是构建统一战线来抵御IT和OT威胁。因此,关键基础设施公司需要从整体上考虑网络安全,由单个SOC统一保护这些曾经独立的环境。规划前进路线时,可考虑以下几点成功的关键:
全世界的工业网络安全领导都面临着加强OT网络安全运营的压力。只要让CISO总揽安全职责,设置统一的SOC,创建IT和OT团队都可以使用的解决方案,企业就可以将自身工业网络安全计划与IT计划以及其他业务联系起来。这么做不仅可以优化企业的资源(人才、预算和时间),还可以获得覆盖整个攻击面的连续性。企业的最终目标是可以纵览治理、风险和合规计划,执行覆盖整个企业的风险管理战略。
参考阅读
原文始发于微信公众号(数世咨询):连接:工业网络安全的第四大支柱
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论