2017年6月27日,NotPetya遭到攻击的那一天,网络安全世界永远地改变了。伪装成勒索软件,这种特别恶毒的恶意软件最初出现在乌克兰,但很快就摧毁了世界各地Windows电脑上的数据,一度摧毁了整个数据中心和企业。
NotPetya的破坏性在于它的范围。虽然作为其作者的俄罗斯军方黑客最初针对的是乌克兰境内的电脑,这是一场持续不断的冲突的一部分,但NotPetya却像野火一样蔓延开来,最终造成了逾100亿美元的损失。
但对生产环境来说,或许更重要的是,人们失去了这样一个想法:工业控制网络在某种程度上是安全的,不会受到这种混乱的影响。在那之前,制造商仍然有可能相信他们的操作技术不会成为黑客的目标;它们的系统是有气隙的,或者至少在某种程度上是分开的,因此不会受到攻击;什么事都没发生过,所以回到被窝里是安全的。以前也有过影响工业控制的袭击事件,但在诺培提亚事件之后,世界看起来大不相同。
自那以后,情况进一步恶化。不仅工业控制系统(ics)受到了随机蔓延的攻击,而且黑客现在还专门针对ics,特别是在电力、水厂和石油天然气行业。据统计,2018年上半年,超过40%的ics至少被攻击过一次卡巴斯基实验室.幽灵是入侵者远程登录到一个工厂,并通过删除所有备份和所有控制逻辑来关闭它。
然而......“制造商不想成为他们的目标,”Cybersecurity托管服务的全球领导者Mark Littlejohn说:霍尼韦尔.“这种哲学曾经行得通,但现在行不通了。”NotPetya和WannaCry勒索软件攻击证明你不必再成为目标。旁观者会被烧死。
在这种新常态下,问题已经从制造商是否需要工业网络安全专业知识,转变为他们将如何获得这些知识。情况很困难,如果不是很可怕的话。要找到一般的信息安全专业人员已经够难的了——报告中提到了100多万个职位空缺——更别提那些在操作技术(OT)领域有任何经验的人了,在这个领域,如果系统发生故障,生命就会受到威胁。那么,制造商该怎么做呢?
简而言之,这些选项归结为以下内容:从外面雇用,从内部培训某人(从房子的IT或OT侧面)或使用服务提供商/顾问来识别漏洞,兽医策略和监控业务。第四选择 - 并且可能是最好的涉及在这些选择中混合和匹配。
工业网络安全从零开始
工业网络安全本质上是一个全新的领域,因此更难找到覆盖范围。公司联合创始人兼首席执行官巴拉克•佩雷尔曼表示:“制造企业发现,发展自己的工业网络安全团队非常具有挑战性Indegy,ICS安全提供程序。“他们没有任何人学习。”
拉里·格劳特,纳什维尔的技术总监主要系统集成商10年前,当他接到一个绝望的客户的电话时,几乎是出于偶然,他在实地学习了ICS安全技能。一名维护人员意外下载了一个流氓文件,导致客户的缅因州设施瘫痪。
格劳特回忆道:“它们是完全平坦的。”格劳特曾与该公司合作建立一个工业非军事区(DMZ),在那里通往制造网络的交通将被终止,他还帮助实施了其他保护措施。
最近,Grate觉得是时候雇佣一个专门负责ICS网络安全的人了。当招聘启事发布时,问题不在于收到简历。他说:“我收到的那个职位的简历比我们发布过的任何职位都要多。”问题是他们的简历不合适。“我们有很多毕业生拥有网络安全硕士学位,但他们没有任何实践经验,也没有制造业背景。我们觉得学习曲线太大了。”我花了整整六个月的时间才找到合适的人选并进行招聘。
事实上,格劳特可能是幸运的。尤其是在炎热的城市市场,“招聘成本可能难以承受。Nozomi网络,提供基于人工智能的ICS网络安全系统。
聘请纯粹的信息安全专家 - 无论完成如何完成 - 不太可能完成工作。鉴于IT世界可能担心居住在500个资产上的数据,OT世界需要维护50,000个资产的可靠性。当Jason Haward-Grau是石油和天然气公司的首席信息安全官员(CISO)时,他监督了超过28,000个受控炼制和水流流程的OT资产。
“那里仍然存在于网络中的东西;他们没有IP地址,“他说。“您有大量的遗留控制系统,从未以一致的方式管理。他们坐在它水线下方。你怎么处理?”
现在CISO不是隆重表示,隆重的IC网络安全供应商表示,制造商将不得不雇用或稍后雇用内部技能。他指出,他们对其植物业务的安全负责人,“他指出。“网络安全只是安全的另一个因素。”使用服务来验证和审核您的IC网络安全计划,他补充说,但基本功能是核心。
“你合同获得快速的台阶力量。您需要评估和计划。但是,你必须弄清楚什么是核心,需要保持关闭,“哈拉劳斯说。顾问可以帮助指导您的计划,导致您回答问题,例如最紧迫的风险。此类问题的答案将决定应提供多少资源。“这些决定需要映射到安全和业务目标。”
种植自己的专家
对许多公司来说,培养现有员工来处理ICS网络安全是一个很有吸引力的选择。问题是,是培训OT方面的信息安全人员,还是培训网络安全方面的工程师。
for的首席营销官帕特里克•麦克布莱德(Patrick McBride)表示:“有些OT从业人员正在转向网络安全领域,有些IT安全人员正在转向OT领域。Claroty..“考虑到目前人才供应水平低,这两种方法都是有效的。”他说,明智的做法不是把自己局限于一种或另一种纪律,而是保持开放的心态。
佩雷尔曼在某种程度上更有指导性。他建议,第一步是找到一两个优秀的、经验丰富的IT安全专业人士来领导团队,因为他们对攻击产生的地方有最好的看法。接下来,增加一个或两个OT工程师的团队,他们将给运营带来关于网络安全计划和实践的需要的信息。他补充说,这篇文章至关重要。
“我们所看到的是,最重要的是不是网络安全的专业知识。佩尔曼说,与植物经理的关系更为重要。“混合团队总是最好的。”太多次了他已经看到了一家公司消耗大量努力安装一个良好的网络安全团队,但程序失败,因为他们没有与运营团队的关系。“一切都是没有意思的,”他说。
无论是雇用外人还是在内部训练某人,总是常年担心某人在您投资培训后偷入您的IC网络安全专业人士。鲍德 - 格劳说,鲍鱼 - 格劳说 - 留着员工的沉重提升,留住了热技能。
在PAS,他把自己首席信息安全官(CISO)的大部分职责都用来照顾和供养他的网络安全团队。“你必须确保他们真正投入到他们工作的公司中。OT是需求最高的区域。留存率是一个巨大的挑战。他介绍了一个持续培训计划(包括理想的ICS安全认证)和对所获得技能的认可。“每个人都得到了奖励和认可。”
霍华德-格劳的球队保持了平局,他现在没有任何的损耗。“这在一定程度上与文化有关,我的团队是我所做一切的核心,”他表示。“你挑战他们去学习更多,跟上时代,为人们即将离开的事实做好准备。我帮助他们发展事业。”
接受采访的专家一致认为,当填补这一日益重要的技能差距时,混合方法是最好的。Indegy的Perelman建议将风险的评估和识别(这推动了战略的制定)和风险的缓解(这与内部执行有关)分开。
一旦企业决定了今年的网络安全计划,Indegy就会与它们合作。他说:“我们的专家将通过架构或战略审查帮助他们验证他们的计划。”然后团队执行它。在内部制定计划,但要与外部合作伙伴一起审查。”
