信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“GoUpSec”。

隨著網(wǎng)絡(luò)安全方法從基于邊界向基于身份（零信任）轉(zhuǎn)移和云計(jì)算的普及，工控安全如何在高度動(dòng)態(tài)的IT和OT技術(shù)趨勢(shì)和安全態(tài)勢(shì)中演進(jìn)？近日asvin首席技術(shù)官Rohit Bohara撰文討論了2023年最重要的六個(gè)工控安全問(wèn)題。

一、面向IT與OT融合的下一代網(wǎng)絡(luò)安全方案需要具備哪些能力？

新興的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法正在導(dǎo)致OT和IT之間的日益融合，以實(shí)現(xiàn)所有類別協(xié)議和環(huán)境的統(tǒng)一端到端網(wǎng)絡(luò)安全管理。最近大多數(shù)OT網(wǎng)絡(luò)事件都是在IT環(huán)境中觸發(fā)和發(fā)起的（在某些情況下，例如影響力極大的殖民地管道勒索軟件攻擊，就是影響OT環(huán)境的IT網(wǎng)絡(luò)攻擊）。

適用于所有IT和OT環(huán)境的下一代網(wǎng)絡(luò)安全解決方案必須基于相同的強(qiáng)大網(wǎng)絡(luò)安全基礎(chǔ)構(gòu)建模塊：強(qiáng)大的分段、強(qiáng)大的數(shù)字身份、強(qiáng)大的身份驗(yàn)證和訪問(wèn)控制、強(qiáng)大的漏洞管理、強(qiáng)大的加密和密碼學(xué)以及強(qiáng)大的異常檢測(cè)。

二、人為錯(cuò)誤對(duì)工控安全是否構(gòu)成威脅？

一般來(lái)說(shuō)，人為因素是系統(tǒng)安全中最薄弱的環(huán)節(jié)。根據(jù)《IBM網(wǎng)絡(luò)安全情報(bào)指數(shù)報(bào)告》，人為錯(cuò)誤是網(wǎng)絡(luò)安全漏洞的主要原因，2021年95%的網(wǎng)絡(luò)安全漏洞與人為錯(cuò)誤有關(guān)。“以人為本的安全設(shè)計(jì)”更是被Gartner確定為2023年最重要的網(wǎng)絡(luò)安全趨勢(shì)之一。

同樣，工控安全也會(huì)受到人為錯(cuò)誤威脅的影響，并可能導(dǎo)致造成嚴(yán)重后果。

人為錯(cuò)誤可能是由于缺乏意識(shí)、培訓(xùn)不足、錯(cuò)誤信息、錯(cuò)誤判斷或無(wú)意錯(cuò)誤而發(fā)生的。人為錯(cuò)誤可對(duì)OT系統(tǒng)的安全性、可用性和安全性產(chǎn)生重大影響。由于OT系統(tǒng)管理和控制關(guān)鍵基礎(chǔ)設(shè)施流程，即使是微小的人為錯(cuò)誤也可能會(huì)轉(zhuǎn)化為大范圍的中斷、停機(jī)和安全隱患。

可能導(dǎo)致網(wǎng)絡(luò)安全漏洞的人為錯(cuò)誤行為包括使用公共Wi-Fi、創(chuàng)建弱密碼、成為網(wǎng)絡(luò)釣魚電子郵件的犧牲品、為多個(gè)系統(tǒng)設(shè)置相同的密碼、不更新軟件等。企業(yè)可以采取多種措施來(lái)降低人為錯(cuò)誤風(fēng)險(xiǎn)，例如有效的網(wǎng)絡(luò)安全意識(shí)、充分的人員培訓(xùn)、有效的密碼策略、清晰的書面程序、多因素身份驗(yàn)證、基于角色的訪問(wèn)控制、定期安全審計(jì)、詳細(xì)的文檔、創(chuàng)建安全文化等。

三、基于云的工控系統(tǒng)解決方案為帶來(lái)了獨(dú)特的工控安全威脅？

隨著工業(yè)物聯(lián)網(wǎng)（IIoT）技術(shù)的出現(xiàn)，OT系統(tǒng)與IT系統(tǒng)的交互更加頻繁。工業(yè)物聯(lián)網(wǎng)可以收集傳感器數(shù)據(jù)并控制物理過(guò)程。當(dāng)工業(yè)物聯(lián)網(wǎng)被連接到基于云的解決方案，不斷推送和拉取數(shù)據(jù)，就構(gòu)成了所謂的網(wǎng)絡(luò)物理系統(tǒng)（CPS）。

可擴(kuò)展性、靈活性、高性能以及與其他基于云的解決方案集成的能力使云解決方案在工控系統(tǒng)領(lǐng)域廣受歡迎。工控系統(tǒng)和基于云的解決方案的結(jié)合為OT系統(tǒng)帶來(lái)了獨(dú)特的攻擊向量和安全挑戰(zhàn)，包括：數(shù)據(jù)駐留和主權(quán)、云端數(shù)據(jù)泄露、身份和訪問(wèn)管理、中間人（攻擊）、遵守行業(yè)特定法規(guī)和標(biāo)準(zhǔn)、數(shù)據(jù)隱私等。

企業(yè)應(yīng)建立有效的訪問(wèn)和身份管理、數(shù)據(jù)丟失預(yù)防、數(shù)據(jù)加密、持續(xù)監(jiān)控、記錄和評(píng)估等。

四、零信任方法如何在工控安全領(lǐng)域發(fā)揮作用？

零信任方法在當(dāng)前混亂的OT系統(tǒng)安全環(huán)境中意義重大。

OT系統(tǒng)的特點(diǎn)是多樣化，工業(yè)物聯(lián)網(wǎng)技術(shù)的引入增加了這些系統(tǒng)和網(wǎng)絡(luò)的異構(gòu)性和動(dòng)態(tài)性，尤其是機(jī)器身份的快速增長(zhǎng)。零信任是下一代工控安全解決方案的關(guān)鍵方法，同時(shí)還要與身份驗(yàn)證、最小訪問(wèn)權(quán)限、微分段、持續(xù)監(jiān)控、自動(dòng)威脅管理、加密等方法組合并適應(yīng)OT系統(tǒng)，以最大限度地減少安全威脅的潛在影響。

五、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)團(tuán)隊(duì)(ICS-CERT)面臨哪些合規(guī)壓力？

歐盟以及多個(gè)國(guó)家頒布的工控安全相關(guān)法規(guī)和標(biāo)準(zhǔn)具有重大影響，尤其是在預(yù)防網(wǎng)絡(luò)攻擊方面。法規(guī)和標(biāo)準(zhǔn)要求的措施旨在使攻擊者更難以滲透系統(tǒng)或限制攻擊者可能造成的損害。雖然ISO62443定義了網(wǎng)絡(luò)安全生產(chǎn)環(huán)境的基礎(chǔ)知識(shí)，但即將推出的NIS2或網(wǎng)絡(luò)彈性法案(CRA)等法律要求更多地針對(duì)軟件供應(yīng)鏈的安全。

由于三分之二的網(wǎng)絡(luò)攻擊是通過(guò)公司的供應(yīng)鏈發(fā)生的，歐盟現(xiàn)在在這里設(shè)計(jì)了更嚴(yán)格的法規(guī)。這些給公司的網(wǎng)絡(luò)安全措施帶來(lái)了新的挑戰(zhàn)，但同時(shí)也提供了針對(duì)網(wǎng)絡(luò)犯罪分子攻擊的更強(qiáng)大的保護(hù)。因此，SBOM、更新管理和基于上下文的風(fēng)險(xiǎn)分析等工具將成為未來(lái)工控安全架構(gòu)中不可或缺的組成部分。

六、關(guān)鍵基礎(chǔ)設(shè)施OT環(huán)境的被動(dòng)檢測(cè)和控制策略是什么？

考慮到關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中部署了大量傳感器和系統(tǒng)的高度敏感特性，被動(dòng)監(jiān)控系統(tǒng)的必要性和重要性再怎么強(qiáng)調(diào)也不為過(guò)。被動(dòng)監(jiān)控是指在不主動(dòng)干擾操作流程的情況下觀察網(wǎng)絡(luò)流量、系統(tǒng)行為和異常情況并記錄它們的能力。實(shí)現(xiàn)這一目標(biāo)的策略包括入侵檢測(cè)系統(tǒng)（IDS）、異常檢測(cè)、深度數(shù)據(jù)包檢查、行為分析、網(wǎng)絡(luò)威脅情報(bào)（CTI）、安全信息和事件管理（SIEM）、蜜罐、網(wǎng)絡(luò)分段等。