随着最新一轮的网络攻击越来越清楚地表明工业控制系统(ics)和关键基础设施它们不仅是菜单上的配菜,而且是主菜,我们可能会很自然地认为,最好的做法是完全断绝关系。但是数字化提供了太多的希望,而且对市场竞争立场来说太重要了,以至于一刻也不能考虑放弃。
如果制造商愿意接受日益数字化的未来,就需要建立坚实的信任基础。
“数字化的核心是不加区分的信任。但最近一波网络攻击侵蚀了这种信任,”西门子全球网络安全副总裁利奥•西蒙诺维奇(Leo Simonovich)表示。“在基础设施领域尤其如此,因为收益和风险都很大。”
几位专家本周聚集在芝加哥,讨论获得所需信任的最佳方式,并更好地了解行业应该如何应对网络安全。专家小组在会议期间认为,数字化和网络安全是同一枚硬币的两面西门子创新日,在数字制造与设计创新研究院(DMDII)。
西门子首席技术长、董事会成员布施(Roland Busch)指出,西门子的目标是将硬币的两面结合起来。他说:“我们绝不能允许任何攻击或网络安全漏洞减慢数字化进入市场的进程。”
自动化供应商面临着很大的压力,要求他们在设计上保证产品的安全性,但也有一定程度上针对客户的警告。作为该小组的主持人,西蒙诺维奇指出,尽管2017年可能被认为是大型攻击的一年,但大多数攻击都是可以预防的。
Tenable董事长兼首席执行官阿米特•约伦对此表示赞同。“如果你看看几乎所有引人注目的袭击,”他说,“其中很多都是完全可以预防的。”
Yoran是美国国土安全部US-CERT项目的创始主任,他提到了Equifax首席执行官Richard Smith,后者在公司数据大规模泄露引发强烈反对后辞职。约伦对史密斯关于抵御民族国家组织是多么困难的论点嗤之以鼻。Yoran说:“许多组织在基础方面做得不是很好。“成功的能力和失败的高概率之间有着巨大的区别。”
在小组发言后的继续讨论中,约伦非常明确地表示:“受到损害的是那些玩忽职守的人。”
关于这些人
事实上,大部分漏洞来自于人为方面,而不是网络安全工具本身。
Busch指出,良好的网络安全需要态度的全面转变。“首先,我们必须有正确的精神,”他说。“我们必须从人员和流程开始,因为心态会产生影响。”
但据网络安全风险投资公司(Cybersecurity Ventures)称,即使态度端正,网络专业人员的基本缺口仍约为350万。西蒙诺维奇补充说,运营方面的问题可能更为严重。
ARC咨询集团副总裁兼企业服务总经理Sid Snitkin表示,这个问题“非常关键”。行业已经超越了过去存在的网络安全意识问题,大多数公司都投资于保护技术。斯尼特金说:“但他们无法维持,因为他们没有人手,而他们拥有的人手又不具备相关知识。”“这给了他们一种虚假的安全感。他们认为,‘我已经买下了所有这些技术,所以我必须是安全的。’但事实并非如此。”
斯尼特金指出,尽管供应商正在构建安全系统,但这只是其中的一步。“这正是这些小公司受到伤害的地方,”他补充说。“那些小公司不可能获得维护这些东西的专业知识。”
他认为,为了像大公司一样安全,小公司需要接受一种不同的战略,即更多地依赖外部服务。恩智浦半导体(NXP Semiconductors)网络安全副总裁萨米·纳萨尔(Sami Nassar)补充说:“漏洞可能完全不在这些公司的工作范围之内。”
“小公司根本没有机会将内部能力提升到他们需要的水平,”博世说,并补充说,在某种程度上,大公司也是如此。
提高安全性的部分努力来自于供应商、客户等之间的合作。它需要一个生态系统,而不是一个供应商的解决方案,Nassar评论道。他说:“许多公司需要共同努力,为可靠性打造一些东西。”他指出,这是恩智浦作为创始成员签署的一个关键原因信托约章由西门子发起的网络安全合作项目。“这是一个平台的综合能力。我们将能够围绕垂直领域进行合作,并至少可以设置最低安全级别。”
内置安全性
纳萨尔说,与其在互联网上模拟工业网络,更重要的是研究互联网出了什么问题。“每天都有越来越多的黑客入侵,”他说。“这不是为了网络安全。该架构本身并没有考虑到网络安全。”
纳萨尔将其与内置安全功能的手机基础设施进行了对比。“他们在建造平台之前就考虑过如何确保平台的安全,”他说。
同样,工业网络从一开始就需要得到保护。纳萨尔说:“从一开始,它的成本效益要高得多,效率也高得多。”“高安全性网络的一个共同点是他们从最低级别开始安全。安全是自下而上建立起来的,而不是在上面加上去的。”
这一信任的基本蓝图正是我们所需要的。“脆弱性通常来自高层,”纳萨尔说。“如果你在底部没有一个好的锚,那么以后的固定成本将非常高。”
“人们需要将网络安全视为一项核心功能,而不仅仅是你必须拥有的东西,”Busch强调。“这一切都始于一个恰当、可信的系统。”
Yoran认为,设计安全性或默认安全性是与客户建立信任的良好起点,但这还不够。“不幸的现实是,什么都行不通。没有强大的信任基础,就不可能有网络安全时期。但即使是这些信任的硬件基础有时也会遇到挑战。”“如果你有安全的组件,那就是一个好的开始。挑战在于,当你以意想不到的方式将它们连接起来时;添加意料之外的软件。它开始以一种它们从未设计过的方式运行。”
响应性
现实情况是,您的组织受到攻击的可能性非常接近100%,并且系统中已经存在某种形式的对手的可能性很高。那么,行业应该如何建立弹性呢?
“你不可能平等地保护所有东西。我们知道这是一个失败的策略。”“我认为这里的关键在于风险管理和优先排序。核心业务是什么?哪些是关键任务应用程序?我们如何提供适当程度的决定论?”
斯尼特金认为,弹性更多的是与能够在攻击中生存有关。“大多数网络安全技术都是防御性技术。他们降低了攻击者进入的可能性。”“这很重要。但更重要的是你如何应对攻击者。”
一枚硬币的两面
回到网络安全和数字化是同一枚硬币的两面,小组成员强调了对安全采取合理程度的关注所带来的好处。“安全是工业物联网的推动者,”斯尼特金说。“不要忽视这个问题。你有风险,但接受它,继续前进。”
纳萨尔说:“安全只是需要考虑的事情。”“这没什么好害怕的。”
对互联资产的需求是不可避免的。“数字化是一种需求,”Yoran说。“如果你想在明年继续经营下去,你必须经历数字化。但你必须认识到,这并非没有风险。你必须保持系统的卫生和准备水平,这是我们过去没有做过的,因为我们生活在一个相互隔离的世界。这必须成为一种心态。”