工業企業正在積極應對OT 安全面臨的新威脅,并開始采取行動。圖片來源:Brett Sayles
工業網絡安全領導者(包括企業的高管、首席信息安全官、安全團隊和運營領導者)正在意識到網絡事件對企業財務、運營和安全的潛在影響。為了確保網絡中具有挑戰性部分的安全問題,許多企業希望獲得對OT 資產神秘世界的可見性,或者將OT 網絡中的數據收集到事件檢測過程中,以識別潛在威脅。
一些企業需要根據監管結構采取具體的安全措施。他們忙于參加會議、制定計劃、參加網絡架構研討會等很多活動,還要在人力資源減少以及新冠疫情影響的情況下,保持工廠的正常運營。
我們必須放慢腳步, 問一些最基本的問題:我們真的在改善工廠的風險狀況嗎? 我們是否準備好應對真正我們正在取得進展嗎?我們是否準備好應對真正的威脅了,還是僅僅能夠檢測到異常行為?我們需要在網絡安全問題上設置更明確的目標。
一般來說,OT 安全有兩個主要目標:降低風險和應對威脅,其最終目標是減少對OT 運營的潛在影響。
許多工業企業都想實現“可見性”或“可檢測性”,但不清楚最終目標是什么,也不知道如何衡量這些目標。如果我們得到很多檢測結果,那么這是好還是不好呢?如果有了可見性,是否就增加了安全性呢?了解這兩個核心基礎及其關鍵組成部分,有助于幫助企業確定最佳路徑。
降低工業環境風險的3個步驟
1 創建OT 環境風險狀態的實時視圖
降低風險的第一步是風險意識。大多數企業從OT 環境脆弱性評估開始著手,然后估計每個潛在風險的可能性和潛在影響。這是一個必要的步驟,但這只做這個,還遠遠不夠。
隨著時間的推移,一次性或不經常更新的評估會過時,很難跟蹤風險降低的進展。成功降低風險,需要不斷更新風險評估。
2 采取補救措施降低風險
有時,需要執行特定操作來降低特定風險。如果評估識別出未打補丁的系統、不安全的配置、休眠或不安全的帳號以及糟糕的訪問控制等方面的風險,下一步必須是要采取措施降低這些風險。
可操作性要求企業管理其OT 終端。他們必須從供應商手中奪回控制權,并確保配置得到強化,網絡設備得到更新和管理,用戶及賬號得到清理等。對這些終端的操作, 說明了為什么只有風險檢測是遠遠不夠的, 還必須閉環來補救風險。
3 跟蹤并報告運營情況
保運營環境安全的一大好處是,領導層和員工能夠適應嚴格的運營管理。安全性需要與制造或供應鏈一樣的卓越運營。運營管理的基礎是跟蹤關鍵指標的績效并報告績效。無論是“紅綠”儀表盤還是百分比完成度, 一個強大的風險降低計劃都需要建立明確的指標,并隨著時間的推移而對其進行監控。
該報告還應包括每個指標的負責人。在安全方面, 需要與運營領導就維護和改善OT 團隊進行溝通,確定總體風險狀況的責任人(這個對話也許并不總是令人愉快的)。
有效應對威脅的3個要素
1 制定響應流程和計劃
在幾乎所有網絡安全標準中,事件響應計劃都很常見,因為它們對實時阻止潛在攻擊的能力至關重要。但是,許多事件響應過程都停留在一系列高等級程序或政策,比如當你發現問題時給誰打電話,如何與主管部門溝通,以及將誰作為事件響應供應商。
現在,更多的企業已經意識到需要針對具體的I T/OT 環境,制定更詳細、更具體地事件響應計劃。Colonial 輸油管事件突顯了在OT 環境中,有限的響應計劃所帶來的風險。他們對勒索軟件的解決方案是停止運營。這可能是一個必要的步驟,但強大的事件響應計劃的關鍵,是針對每個威脅確定最小破壞響應(LDR)。
通過了解OT 風險態勢的細節(降低風險第一步的一部分)可以建立L D R。為了定義破壞性最小的響應,組織需要了解每項資產的風險狀況和知識,以減少不同類型威脅的影響。
2 擴展檢測和響應
擴展檢測和響應(X D R)是一個越來越流行的安全行業術語,用于定義遏制現代威脅所需的廣泛遙測。在OT 中,“X D R”經常被棄用,主要是因為風險來自自動化響應操作。但我們不應該拋棄“擴展檢測”的概念。這是指從OT 系統收集廣泛的數據集——終端日志、用戶行為、網絡流、防火墻日志, 甚至物理過程報警——并使用綜合分析來識別潛在威脅。在I T 世界中,沒有哪個安全領導人會接受單一形式的遙測技術(比如數據包檢查),作為檢測的唯一答案。在OT 中, 也不應該如此。
集成這些不同形式的遙測還可以減少誤報,而這些誤報會使安全運營中心(SOC) 團隊疲于應付,導致他們無法響應最關鍵的報警。
3 快速響應且易于執行
如前所述,企業需要制定LDR 計劃—— 破壞性最小的響應。但他們也需要以快速但安全的操作方式來響應事件。一個威脅應對計劃的好壞,取決于組織在緊急情況下執行該計劃的能力。
該計劃應得到人員、流程和技術的支持, 使安全團隊(包括安全專家和工業流程專家) 能夠采取必要的安全措施來阻止威脅。這包括:刪除特定用戶、更改密碼、刪除某些端口和服務、修補系統等。在OT 領域,這些步驟通常是手動的,或者需要供應商參與其中。為了快速響應,企業需要具有在必要時采取有針對性的響應行動的能力。
這些響應行動應由安全和運營人員團隊管理。與自動響應成為常態的IT 不同,OT 團隊認為在響應需之前,需要人為審查潛在威脅以及對運營潛在的負面影響。我們稱之為“全局思考、本地行動”的方法。工業企業正在積極應對OT 安全面臨的新威脅,并開始采取行動。這是個好消息。然而,在采取可能不會真正改善安全的行動之前,我們都需要后退一步,先確定總體目標是什么, 以及如何確保在降低風險和應對威脅這兩個關鍵因素方面取得實質性進展。(作者 | John Livingston ,Verve Industrial)
關鍵概念:
■成功降低風險,需要不斷更新風險評估。
■強大的事件響應計劃的關鍵,是針對每個威脅確定最小破壞響應。
思考一下:
如果有了可見性,是否就增加了工業環境的安全性呢?
