要写一篇关于网络安全的文章,就得像小鸡一样。我知道我越是扇动翅膀,你就越可能完全忽视我。世界末日的信息不会引起恐惧;我们过度夸大的信息接收器对噪音免疫。你要么在歇斯底里时翻白眼,要么在绝望的愤怒中举起双臂。
然而,这种威胁不仅是真实存在的,而且建立防御应该也不是那么困难。在我再拍一下翅膀之前,让我们都深吸一口气,看看现在的情况。
曾几何时,负责控制系统的人——无论是供应商还是用户——都不必担心网络安全。他们关注的是吞吐量和安全性。接着,Stuxnet病毒出现了,而关于工业控制系统(ICS)因为存在气隙或只是太复杂而受到保护的神话就被抛到了天外。
但是,多年前为安全而采取的最佳实践——到处都有太多共享或复制的密钥,警报在周五晚上会被压制,周末就会被遗忘——同样适用于安全。PAS公司的首席执行官Eddie Habibi表示:“我们开发了在那种环境下处理那些专有系统的技术。”PAS公司已经为能源、电力和其他过程行业提供了20多年的过程安全性和可靠性。“这一切都与当今的网络安全有关。今天的许多最佳实践与我们20年前保护专有系统免受内部灾难的措施完全相同。”
Habibi描述了一个典型的情况,在周五晚上没有技术人员,所以搁置/禁用的警报要等到周一早上才能处理。“例如,如果它保护的设备压力过大,那么失效的警报可能会导致事故。网络威胁与此并无太大不同。”“一个坏人进来,破坏了一个紧急警报,然后就不管了。这种破坏就像定时炸弹。在正确的时间,当你需要安全系统时,安全系统并没有提供支持。”
尽管Stuxnet病毒无疑提高了人们的意识,各大公司也纷纷采取措施应对网络安全问题,但事实一再证明:
- 集成控制系统对安全生产和生产可靠性至关重要。
- 他们没有受到保护。
- 如果受到影响,它们可能会像BP得克萨斯城炼油厂爆炸或卡特里娜飓风那样严重。
哈比比说:“如果你连续两三个星期没电没水,情况就不妙了。”“然后,如果你有一个敌人正在努力阻止这些系统的运行,情况可能会非常糟糕。”
我们已经多次谈到,在非关键行业做一个小角色并不会让你变得不那么脆弱。很容易被卷入其中广泛的攻击,内部攻击或事故,或各种危险.但是让我们暂时把这个放在一边,把重点放在那些主要的操作和关键的基础设施上。
事实上,那些想要向你销售安全产品的公司使用了炒作和恐吓战术。但是,哈比比说,人们仍然没有足够的意识到对关键资产的几次集中攻击可能造成的损害。
“如果美国的四家炼油厂同时关闭;如果电网被故意关闭,那么需要几天或几周的时间才能恢复……如果你仔细想想后果,你就会明白控制系统妥协的关键作用和后果的严重性,”他解释道。“只需要在几个城市长期关闭供水和电力设施,就会出现非常、非常灾难性的局面。”
Habibi描述了这样一个场景:一开始是一段不方便的时期。空调坏了。你甚至还得买饮用水,把浴缸装满水。然后,从不方便到食物短缺——汽油用完了,食物开始腐烂。狗狗们被赶到大街上,因为没有人给它们喂食。这里开始变得像战后的环境,有卫生问题和疾病。
“我们有这样的例子吗?”不。但我们已经看到,一些国家已经测试了这些系统,”他指的是乌克兰电力系统和美国核设施受到的网络安全攻击,“我们有能力让它发生。”
哈比比认为,各民族国家正在把对工业部门的网络攻击视为下一代隐形武器。“这些国家与我们存在分歧。他们不是恶作剧的人。“这些人是在测试他们的武器。”
哈比比说,这种威胁是真实存在的,人们也知道这一点,并补充说,许多客户已经开始这样做了希望不是寻求网络安全方面的帮助。他说:“PAS从一开始就是一家使工业设施安全并优化其流程的公司。“用于提高工厂安全性和可靠性的技术是确保工业控制系统安全的基础平台。”
事实上,美国东南部的一家大型电力公司在六七年前就开始接触PAS,因为它担心NERC CIP(北美电力可靠性公司关键基础设施保护)的网络安全要求。Habibi说,该公司一直在使用PAS的软件来提高其控制系统的可靠性和完整性,他们认为PAS具有达到NERC CIP要求的潜在能力。
因此,PAS以其以往的经验为基础,创建了一个与网络安全相关的基础平台。它包括:
- 从0级(现场仪器)到2级(过程控制网络)的完整控制系统清单
- 漏洞评估
- 基线配置和变更管理
- 补丁管理
- 能够恢复与一个干净的数据库
尽管PAS以前没有提供漏洞评估或补丁管理,但对库存的可见性一直是其安全性和可靠性产品的关键部分。在考虑安全性时,可见性变得更加重要。哈比比强调说:“仅发现异常是不够的。”“在没有基础的情况下进行异常检测,就像雇了一家警报公司在你的房子上安装一个系统,但却漏掉了大约80%的门窗,因为他们无法看到库存。”
网络安全一直是IT领域的一个问题,而且这个市场已经基本饱和。传统的IT安全企业也纷纷进军ICS市场。但是从IT的角度来看,他们往往会忽略0和1级,因为他们在那里没有可视性。Habibi说:“解决IT网络安全问题的解决方案是必要的,但对于解决运营技术问题来说是不够的或不完整的。”“我必须有护城河来保护城堡,但这还不够。”
Habibi说,作为关注运营环境的供应商,PAS首先强调确保基础的安全——开发和实施政策,理解系统应该是什么样子,使用什么过程来进行更改,并将这些过程自动化成工作流。“我们从监控和安全方面解决工厂的运营绩效问题。这与安全携手并进,”他说。“导致工厂关闭的人类行为和错误,与坏行为者摧毁工厂的行为是一样的。23年来,我们一直在解决自动化系统中的人性化问题。”