网络安全已经不可避免地与众多推动工业发展和帮助制造商保持竞争力所需的技术交织在一起。网络安全生态系统也变得更加相互交织。几乎每周都有这个社区中各种类型的供应商之间建立新的合作关系的消息。
合作对于打击邪恶的网络行为者对工业世界构成的巨大而持久的威胁至关重要。如果工业想要保护自己的资产、员工和周围的社区,它的利益相关者需要在更广泛的范围内集思广益。
因为坏人也在集思广益。安全与网络安全供应商首席信息安全官(CISO)杰森•哈沃德-格劳表示:“他们的合作能力比我们强得多。不是.“有组织犯罪、政府和黑客个人之间结成了邪恶联盟。我们面临的整合挑战要困难得多。”
自动化供应商一直在努力从一开始就更好地保护他们的产品。此外,有关这些供应商与Claroty、Palo Alto Networks、PAS和Nozomi Networks等专业网络安全供应商合作的新闻层出不穷。但是那些自动化供应商之间的合作呢?
自动化领域的大公司之间往往竞争激烈。但是,如果工业真的要保护自己免受日益协调和复杂的攻击,我们可能需要所有企业以新的和有意义的方式携手合作。
当然,兴趣是存在的。但恐惧也是如此。有些人坚持认为有必要更紧密地彼此分享信息,但不确定如何构建这些联盟。其他人甚至觉得讨论这个话题特别不舒服。但他们都感到了压力,要尽自己所能保护城堡。
“我希望看到供应商之间的合作。我们的系统连接到另一个供应商的产品,因此,如果其中任何一个受到攻击,双方都有风险。施耐德电气.“所以,让我们在研发方面达成共识吧。”
威廉姆斯承认,这当然会很困难。“我们必须摆脱竞争的本性。”
来自客户的压力
全球网络安全负责人罗布•普特曼表示,整个行业肯定都有兴趣开展更多合作,共同抗击这些威胁ABB工业自动化.“还有来自客户高层的压力,”他表示。“他们在说,‘你们能不能走到一起,至少在一个共同的框架下说话?’从客户和高管的角度来看,我听到了这种具体的反馈。”
普特曼说,对于关键的基础设施运营商来说,向供应商施加压力,要求他们更加合作地工作,这与三位一体有关:可用性、弹性和安全性。他解释说:“取决于他们是否认为这三项任务中的任何一项受到了威胁。”“如果他们发现了我们ABB不熟悉的漏洞,修复起来有多容易?”
这就是供应商社区中的信任关系特别有用的地方。但这些对话需要谨慎进行。普特曼说:“真正在考虑这件事的人都是出于正直的态度。”“然而,你必须在适当的地方设置护栏并定义关系。”
任何与敏感网络安全信息相关的沟通渠道都需要明确定义,全球网络安全策略师卡米洛·戈麦斯(Camilo Gomez)表示赞同横河电机.他表示:“它应该应我们最终用户的要求。”“最困难的影响来自资产所有者,因此披露需要由客户来完成。”
信息共享
网络安全公司Claroty在过去几年里与几家自动化供应商建立了合作关系,据公司威胁研究副总裁戴夫·韦恩斯坦(Dave Weinstein)说,该公司在了解供应商之间的合作类型方面处于领先地位Claroty.他说:“这更多的是关于供应商本身和这个空间政府实体的不同当局之间的合作,政府实体不仅是威胁分析的中心枢纽,而且是漏洞披露的协调中心。”
自动化供应商主动识别产品本身的漏洞,并与政府和非政府机构共享该信息。温斯坦认为:“这实际上是最有效的模式。”“如果供应商聚在一起,互相分享漏洞信息,这些信息很可能会落入坏人之手。而且它也不会尽快到达最终用户手中。”
在房子的IT侧,是网络威胁联盟致力于在网络安全领域的公司和组织之间共享威胁信息。国家网络安全和通信集成中心(NCCIC)是国家网络和通信信息中心。它集成了以前由美国计算机应急准备小组(US-CERT)和工业控制系统网络应急响应小组(ICS-CERT)独立执行的功能。
“在脆弱性方面,这种模式运行得很好。它鼓励第三方研究人员介入这一过程,”Weinstein说。“安全研究界是一个极为仁慈的团体。大多数人只是喜欢他们正在做的事情,并且有一个非常严肃的信念来确保世界基础设施的安全。它运行得非常好。”
温斯坦说,VirusTotal作为一个公共恶意软件仓库,是研究人员如何为了共同利益而团结起来的一个很好的例子。“有时恶意软件会在不经意间扩散到坏人手中。但在网上,这些类型的社区对生态系统的安全是积极的,”他说。“在应该给研究界多少自由的问题上,一直存在争论。我赞成多一点,而不是少一点。”
PAS的Haward-Grau认为应该更加谨慎。例如,他担心使用VirusTotal时,无法进行验证,也无法理解所上传内容的含义。对于ICS-CERT,他认为有必要实现一个注册系统,以验证那些共享信息的人的证书。“分享是件好事,”他说。“但缺乏对分享的控制,可能造成的伤害远远大于伤害。”
卡耐基梅隆大学CERT内部威胁中心的前创始人兼主任Dawn Cappelli来自信息共享的背景。事实上,当她加入的时候罗克韦尔自动化2013年,她告诉他们,只有他们允许她继续在社区内合作,她才会加入他们。当她最初在卡内基梅隆大学成立内部威胁信息分享小组时,只有大约5人参与。她说:“这个团队后来发展到300多人,来自200家公司。”“我们的一些竞争对手是会员。我真的很喜欢。我可以和我的同行谈论我们都不得不担心的类似的内部风险。”
现在,作为罗克韦尔公司全球安全和首席信息安全官的副总裁,她很想和其他竞争公司的首席信息安全官做一些类似的事情。“我们都是同舟共济的,”她说。“如果一个国家攻击我们的产品,那只是因为他们碰巧选了你们的,而不是我的。”
卡佩里提到了信息共享与分析中心(ISAC)的模式,该中心协助联邦和地方政府提供有关网络威胁的信息。有与几个不同行业相关的isac,包括金融服务(FS-ISAC)、保健(H-ISAC)和房地产(RE-ISAC)。甚至还有针对特定行业的isac,如汽车(Auto-ISAC)和石油和天然气(ONG-ISAC)。
理想情况下,卡佩里希望建立一个工业ISAC。“FS-ISAC非常成熟。大型金融机构互相打电话说,‘我刚刚看到恶意软件从这个IP地址进来;你最好屏蔽它,’”她描述道。“它在其他领域已经奏效,我认为我们需要让它在我们的领域也发挥作用。”
两年前,当WannaCry勒索软件攻击来袭时,工业部门在很大程度上无法做同样的事情,这一点真正击中了要害。“我该给谁打电话?”我们知道外面发生了什么,但到底发生了什么?这是怎么发生的?”卡佩里很好奇。“我们只是联系那些试图获取信息的人。”
制定标准
卡佩里指出,相互竞争的自动化供应商广泛合作的一个领域是在标准之内。“我们在这些委员会中都有人,”她说。“我们正在共同努力,制定更好地保障我们产品安全的标准。”
的开放过程自动化论坛施耐德电气(Schneider Electric)全球商业沟通主管汤姆•克莱里(Tom Clary)指出,OPAF是另一个行业合作的例子。他认为opaf是一个适用于网络安全的合适模型,通过opaf,相互竞争的自动化供应商正在合作开发一个系统间无缝互操作的框架。
“我们设置了必要的限制,以便在不冒知识产权风险的情况下走进一个房间,看看未来是什么样子。有可能创造出某种看起来像那样的身体,”Clary说。“这是施耐德电气走进其他供应商、主要客户、集成商和第三方供应商的一种方式,然后说,‘看,这就是我们的发现。’我们把它摆到桌面上,让每个人都能看到、讨论并从中学习。”
他说,这并不简单。“但我不认为这是不可能的。”
OPAF本身正在努力在那里开发的系统架构的安全方面进行协作。“OPAF是一个很好的元素,”戈麦斯说。“我们不仅在要求和期望的功能架构上工作,而且还包括我们在安全实践中学到的这些东西。新一代的人会把这些东西都涵盖进去。”
与最终用户的协作
然后是制造商自己——他们必须承担一定程度的责任,与他们的供应商合作,以确保他们的系统安全。
戈麦斯坚持认为,合作只需要发生在供应商之间,这是一个常见的误解。“这需要所有参与者的合作,”他说。“如果所有者不启用安全性,启用安全性又有什么用呢?”
自动化供应商有责任确保他们的产品是安全的,Williams说。“我们无法预见的是,客户将如何使用我们的系统。”
2017年,施耐德电气(Schneider Electric)在沙特阿拉伯一家石化工厂的Triconex安全系统遭到Triton攻击后,其透明度受到了广泛赞扬。在去年10月的Triconex用户小组会议上,施耐德的高管们更加直言不讳——不仅说出了具体发生了什么,还说出了他们自己对现状的不满。
在这种情况下,系统设计师和客户之间没有任何合作,因为Triconex系统是由第三方购买的,然后由第三方交付给客户。客户已经放弃了维护和简单的软件升级,但施耐德电气没有办法知道这一点。因此,尽管这家石化工厂是施耐德电气产品的用户,但它本身并不是自动化供应商的客户。
施耐德电气(Schneider Electric) Triconex高级营销总监史蒂夫•埃利奥特(Steve Elliott)表示:“这个网站没有收到任何建议。”“没有人照顾和喂养它们。”
该事件还涉及该客户没有遵守一些基本的网络安全管理步骤。Williams非常坦率地表示终端用户需要采取必要的措施来保护他们的设备。他在Triconex会议上表示:“如果你做得好,我们就不会有这样的对话了。”
施耐德电气一直致力于与标准机构合作。威廉姆斯说:“我们希望下一个标准的发展将真正包含我们从这次事件中吸取的教训。”
埃利奥特表示:“我们必须像一个行业一样工作。“我们必须共同努力。我不想这么说,但这也包括政府。如果我们不给它下定义,那我们就得忍受他们的疯话。我们必须齐心协力击败袭击者。”