評估工業(yè)安全風(fēng)險為什么這么難？

　　網(wǎng)絡(luò)威脅影響日益引起政企事業(yè)單位甚至個人的關(guān)注和重視，確保工業(yè)控制系統(tǒng)(ICS)安全從未像如今這般緊迫。

　　缺乏自動化管理難以全面評估真實風(fēng)險

　　英國制造商組織 EEF 和 美國國際集團(tuán)AIG(美國國際性跨過保險金融服務(wù)機(jī)構(gòu))最近聯(lián)合發(fā)布的一份制造商網(wǎng)絡(luò)安全報告顯示，41%的企業(yè)認(rèn)為其未獲得足夠的信息和建議來評估真實的網(wǎng)絡(luò)風(fēng)險。原因在于許多 ICS 網(wǎng)絡(luò)缺乏一項重要的安全功能，即自動化資產(chǎn)管理。

　　自動化資產(chǎn)管理的優(yōu)勢有哪些?

　　企業(yè) ICS 網(wǎng)絡(luò)缺乏自動化資產(chǎn)管理這一點并不令人意外，因為 ICS 系統(tǒng)是在幾十年前設(shè)計并實現(xiàn)的，當(dāng)時的人根本想象不到如今互聯(lián)網(wǎng)科技這么繁榮，網(wǎng)絡(luò)犯罪活動也沒有出現(xiàn)過，并且這些系統(tǒng)與網(wǎng)絡(luò)的其它部分是隔離的。

　　若缺乏準(zhǔn)確的最新 ICS 資產(chǎn)清單(包括負(fù)責(zé)管理物理過程的自動化控制器)，幾乎不可能評估風(fēng)險并應(yīng)用有效的防御措施。自動化資產(chǎn)管理對于運營可靠性和安全性至關(guān)重要，因為它可讓管理人員跟蹤對設(shè)備的更改變化，優(yōu)先考慮威脅緩解工作，將錯誤配置的設(shè)備恢復(fù)到“已知的良好”狀態(tài)，并規(guī)劃維護(hù)和替換安排。

　　消除人為錯誤、節(jié)約時間

　　使用手動流程管理資產(chǎn)既費時，還容易出現(xiàn)人為出錯，從而造成信息缺失、過期或出現(xiàn)錯誤。

　　此外，手動流程無法準(zhǔn)確有效地處理持續(xù)進(jìn)入網(wǎng)絡(luò)的新資產(chǎn)，而不準(zhǔn)確的數(shù)據(jù)會引發(fā)安全缺陷和漏洞，可被網(wǎng)絡(luò)犯罪分子輕易利用實施入侵。

　　確保資產(chǎn)清單完整且準(zhǔn)確的唯一方法是，將持續(xù)的發(fā)現(xiàn)過程自動化。自動化可提高效率，并將繁瑣任務(wù)簡單化，例如編譯和維護(hù)電子表格。通過自動化解決方案，工程師可將時間和知識投入到更重要的任務(wù)當(dāng)中。

　　劃分關(guān)鍵資產(chǎn)，簡化合規(guī)性監(jiān)管

　　如今對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊逐漸增多，美國已制定新的標(biāo)準(zhǔn)和法規(guī)，按照規(guī)定，相關(guān)方必須部署基本的網(wǎng)絡(luò)安全措施，以最大限度地降低關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險，確保公共安全和運營連續(xù)性。

　　美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定的網(wǎng)絡(luò)安全框架提供了一套工業(yè)標(biāo)準(zhǔn)和最佳實踐，以幫助組織機(jī)構(gòu)管理并降低關(guān)鍵基礎(chǔ)設(shè)施及 ICS 的網(wǎng)絡(luò)安全風(fēng)險。為了全面了解關(guān)鍵控制資產(chǎn)及其相關(guān)活動，NIST 要求組織機(jī)構(gòu)采用資產(chǎn)管理功能，以便識別、盤點和管理所有物理設(shè)備和系統(tǒng)。

　　北美電力可靠性公司關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(NERC CIP)標(biāo)準(zhǔn)提出一系列要求，旨在確保北美電力系統(tǒng)運作所需資產(chǎn)的安全性。NIST 網(wǎng)絡(luò)安全框架和 NERC CIP 均要求確定關(guān)鍵資產(chǎn)和關(guān)鍵網(wǎng)絡(luò)資產(chǎn)。

　　滿足 NIST 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、NERC CIP 以及全球類似法規(guī)的合規(guī)性，組織機(jī)構(gòu)須采用部署有效的自動化資產(chǎn)發(fā)現(xiàn)措施，并持續(xù)管理資產(chǎn)清單。

　　確定優(yōu)先級、提升效率

　　自動化資產(chǎn)發(fā)現(xiàn)與管理對滿足 ICS 網(wǎng)絡(luò)的安全性至關(guān)重要，但大部分組織機(jī)構(gòu)卻不清楚工廠的設(shè)備。典型的 ICS 網(wǎng)絡(luò)包含不同廠商(例如 GE、羅克韋爾自動化、西門子、施耐德電氣)的各種控制器，包括 PLC(可編程邏輯控制器)、RTU(遠(yuǎn)程終端單元)或DCS(集散控制系統(tǒng))控制器。

　　要構(gòu)建有效的安全策略，組織機(jī)構(gòu)需了解網(wǎng)絡(luò)中每項資產(chǎn)的制造商、型號、固件版本、最新補(bǔ)丁和當(dāng)前配置。這項工作相當(dāng)繁重且乏味。

　　自動化資產(chǎn)發(fā)現(xiàn)和管理系統(tǒng)可幫助組織機(jī)構(gòu)優(yōu)先處理需要升級、維護(hù)和其它操作計劃的資產(chǎn)，例如識別最新發(fā)布的漏洞影響的設(shè)備。這些信息可幫助組織機(jī)構(gòu)優(yōu)先修復(fù)最嚴(yán)重的漏洞。

　　確保運營連續(xù)性

　　如果因網(wǎng)絡(luò)攻擊或人為錯誤引起故障，組織機(jī)構(gòu)應(yīng)將受影響的設(shè)備恢復(fù)到“已知的良好”狀態(tài)，以最大限度減少故障影響。若要快速恢復(fù)設(shè)備，組織機(jī)構(gòu)有必要掌握設(shè)備相關(guān)的準(zhǔn)確的最新信息，包括完整的更改歷史記錄，以便了解何時發(fā)生何種情況以及誰可能負(fù)有責(zé)任等問題。

　　自動化資產(chǎn)清單可提供恢復(fù)設(shè)備所需的大量歷史信息，便于組織機(jī)構(gòu)更快速地從網(wǎng)絡(luò)攻擊和未經(jīng)授權(quán)的設(shè)備更改中恢復(fù)過來，從而最大限度地降低運營和安全影響。

　　資產(chǎn)管理在綜合工業(yè)網(wǎng)絡(luò)安全計劃中扮演著至關(guān)重要的角色，組織機(jī)構(gòu)不夠充分了解情況，很可能失去抵御網(wǎng)絡(luò)攻擊的先機(jī)。

（轉(zhuǎn)載）