評估工業(yè)安全風險為什么這么難？

　　網絡威脅影響日益引起政企事業(yè)單位甚至個人的關注和重視，確保工業(yè)控制系統(tǒng)(ICS)安全從未像如今這般緊迫。

　　缺乏自動化管理難以全面評估真實風險

　　英國制造商組織 EEF 和 美國國際集團AIG(美國國際性跨過保險金融服務機構)最近聯合發(fā)布的一份制造商網絡安全報告顯示，41%的企業(yè)認為其未獲得足夠的信息和建議來評估真實的網絡風險。原因在于許多 ICS 網絡缺乏一項重要的安全功能，即自動化資產管理。

　　自動化資產管理的優(yōu)勢有哪些?

　　企業(yè) ICS 網絡缺乏自動化資產管理這一點并不令人意外，因為 ICS 系統(tǒng)是在幾十年前設計并實現的，當時的人根本想象不到如今互聯網科技這么繁榮，網絡犯罪活動也沒有出現過，并且這些系統(tǒng)與網絡的其它部分是隔離的。

　　若缺乏準確的最新 ICS 資產清單(包括負責管理物理過程的自動化控制器)，幾乎不可能評估風險并應用有效的防御措施。自動化資產管理對于運營可靠性和安全性至關重要，因為它可讓管理人員跟蹤對設備的更改變化，優(yōu)先考慮威脅緩解工作，將錯誤配置的設備恢復到“已知的良好”狀態(tài)，并規(guī)劃維護和替換安排。

　　消除人為錯誤、節(jié)約時間

　　使用手動流程管理資產既費時，還容易出現人為出錯，從而造成信息缺失、過期或出現錯誤。

　　此外，手動流程無法準確有效地處理持續(xù)進入網絡的新資產，而不準確的數據會引發(fā)安全缺陷和漏洞，可被網絡犯罪分子輕易利用實施入侵。

　　確保資產清單完整且準確的唯一方法是，將持續(xù)的發(fā)現過程自動化。自動化可提高效率，并將繁瑣任務簡單化，例如編譯和維護電子表格。通過自動化解決方案，工程師可將時間和知識投入到更重要的任務當中。

　　劃分關鍵資產，簡化合規(guī)性監(jiān)管

　　如今對關鍵基礎設施的網絡攻擊逐漸增多，美國已制定新的標準和法規(guī)，按照規(guī)定，相關方必須部署基本的網絡安全措施，以最大限度地降低關鍵基礎設施的風險，確保公共安全和運營連續(xù)性。

　　美國國家標準與技術研究院(NIST)制定的網絡安全框架提供了一套工業(yè)標準和最佳實踐，以幫助組織機構管理并降低關鍵基礎設施及 ICS 的網絡安全風險。為了全面了解關鍵控制資產及其相關活動，NIST 要求組織機構采用資產管理功能，以便識別、盤點和管理所有物理設備和系統(tǒng)。

　　北美電力可靠性公司關鍵基礎設施保護(NERC CIP)標準提出一系列要求，旨在確保北美電力系統(tǒng)運作所需資產的安全性。NIST 網絡安全框架和 NERC CIP 均要求確定關鍵資產和關鍵網絡資產。

　　滿足 NIST 網絡安全標準、NERC CIP 以及全球類似法規(guī)的合規(guī)性，組織機構須采用部署有效的自動化資產發(fā)現措施，并持續(xù)管理資產清單。

　　確定優(yōu)先級、提升效率

　　自動化資產發(fā)現與管理對滿足 ICS 網絡的安全性至關重要，但大部分組織機構卻不清楚工廠的設備。典型的 ICS 網絡包含不同廠商(例如 GE、羅克韋爾自動化、西門子、施耐德電氣)的各種控制器，包括 PLC(可編程邏輯控制器)、RTU(遠程終端單元)或DCS(集散控制系統(tǒng))控制器。

　　要構建有效的安全策略，組織機構需了解網絡中每項資產的制造商、型號、固件版本、最新補丁和當前配置。這項工作相當繁重且乏味。

　　自動化資產發(fā)現和管理系統(tǒng)可幫助組織機構優(yōu)先處理需要升級、維護和其它操作計劃的資產，例如識別最新發(fā)布的漏洞影響的設備。這些信息可幫助組織機構優(yōu)先修復最嚴重的漏洞。

　　確保運營連續(xù)性

　　如果因網絡攻擊或人為錯誤引起故障，組織機構應將受影響的設備恢復到“已知的良好”狀態(tài)，以最大限度減少故障影響。若要快速恢復設備，組織機構有必要掌握設備相關的準確的最新信息，包括完整的更改歷史記錄，以便了解何時發(fā)生何種情況以及誰可能負有責任等問題。

　　自動化資產清單可提供恢復設備所需的大量歷史信息，便于組織機構更快速地從網絡攻擊和未經授權的設備更改中恢復過來，從而最大限度地降低運營和安全影響。

　　資產管理在綜合工業(yè)網絡安全計劃中扮演著至關重要的角色，組織機構不夠充分了解情況，很可能失去抵御網絡攻擊的先機。

（轉載）