在网络安全的红色区域工作

当涉及到处理网络安全事件和网络违规时,公司内部是否有足够的应急人员?你如何确保你没有出现严重的人员缺口呢?

通过蒂姆·康威 4月19日

当我研究美国关键基础设施部门日益严重的问题时,我相信我们需要1996年的电影《多样性》(Multiplicity)成为现实。在电影中,迈克尔·基顿饰演主角道格·肯尼,他被工作和家庭的责任压得喘不过气来。他所能看到的,是一份越来越多的事情要做,几乎没有成功的希望。为了解决这个问题,道格与一位科学家合作克隆自己,这样他的代理人就可以分担所有的责任,在没有人知道的情况下完成所有事情。虽然这部喜剧显然是虚构的,但对有才华、训练有素、有能力的网络和运营员工的迫切需求是非常真实的,并且在CI/KR(关键基础设施/关键资源)部门中有一些人是我们肯定需要复制的。

虽然所有组织的人员配备需求都有起伏,满足战略人员配备需求是一项持续的工作,但许多人认为,有一个真正的问题正在发展,它将影响CI/ kr的关键角色。我最近听到的一个词是“红区工作”。这些职位或作用对于在正常和紧急情况下执行业务任务是绝对必要的。CI/KR部门的红色区域工作通常被归类为具有实时响应要求的角色,并在实时环境中执行基本的操作或操作支持角色。在整个CI/KR部门,技术工作通常在运营技术(OT)部门中执行系统、应用程序、网络、通信、安全或安全响应器工程角色。

应用传统管理?

许多组织已经通过传统的管理流程(如业务影响分析、劳动力计划计划或组织大流行计划)来研究这些职位对组织运营环境的影响。在这些传统活动中,组织试图确定可能产生操作问题的条件,然后开始努力确定可以实施的步骤,以防止问题的发生。这些传统的方法可以识别由于一段时间内技术损失、特定技能或知识的损失以及执行关键操作角色所需的潜在员工损失而导致的操作风险。

CI/KR部门红色区域工作面临的问题是上述传统问题和所需行业合格劳动力的挑战的混合。有必要的技能、知识和能力进入劳动力市场的人,与离开这些职位的人相比,是不平衡的。这种不平衡的状况似乎正在恶化,因为退出的个人数量在增加,跨多个部门的需求在增长,而可用的项目或发展能力仍然持平。这个问题的独特之处在于,实体无法控制教育、培训和发展候选人的必要能力的过程,直到他们被雇用成为劳动力。

大多数公司无法独立解决这个问题。然而,他们可以影响一个方向,这将改善整个行业,并加强他们自己的劳动力。许多实体与传统教育机构或特定培训机构合作,开发有助于满足红区工作日益增长的需求的项目。培训的重点几乎总是在培训内容和知识评估上,这是必不可少的第一步。然而,这些发展方法中仍然存在的差距是能力或“合适”问题,这是CI/KR部门所有红色区域工作的一个组成部分。这些公司和其他实体将继续面临挑战,评估候选人在红色区域工作中的成功能力,或培训候选人以确保其成功适应角色。为了解决这一问题,许多实体正在转向主动政策执行系统或智能监控和警报工具的技术实现。这有助于减少对知识渊博、合格和有能力的劳动力的依赖,以执行这些流程;然而,还需要承认的是,对手也在自动化和实施智能工具和逃避战术。因此,攻击的数量和复杂性将会增长,而非常复杂的攻击将需要知识渊博、合格和有能力的工作人员来检测和保护环境。

不断变化的工作要求

另一个需要讨论的话题是,CI/KR部门的所有关键操作越来越依赖技术,这正在创造更多的红色区域工作岗位。30年前,大多数CI/KR行业的实体会发现一组与今天非常不同的红色区域工作。例如,在1983年左右的电力部门中,大多数公用事业公司都将线路工人、变电站工程师、开关操作员和输配电环境的调度操作员作为关键角色。发电环境可能会将发电厂控制室操作员、仪表和控制工程师以及中继工程师确定为关键角色。

看看2013年的这些相同的环境,虽然之前确定的角色仍然很重要,但它们现在以一种截然不同的方式执行,并且在许多情况下依赖于以前不存在的额外功能和角色。此外,现在有一些新的功能已经变成了一个绝对重要的角色,而这些功能在30年前可能并不那么重要。考虑到今天控制中心、rto和iso、通信系统和支持功能以及市场功能的重要性。相互依存关系已经极大地增长,个人常常不完全理解他们如何影响组织内的其他人。如前所述,这种相互依存关系适用于整个CI/KR部门,公司需要开始深入了解这些相互依存关系。此外,在当今由技术或自动化驱动的红色区域工作中,整个组织对所使用的技术存在复杂的依赖性。在组织中存在许多信任:可信的通信路径、可信的用户、可信的外部组织和可信的应用程序。随着组织识别这些信任和依赖关系,他们可以更有效地识别和减轻安全风险。

想想美式橄榄球中的“红区”(red zone)这个短语:当防守球员背对球门线时,这种情况要求他们发挥出最佳状态,因为威胁迫在眉睫,必须掉头回去。同样,CI/KR禁区内的后卫角色也需要一直存在,这些角色中的个人能力需要得到充分发展,以达到最佳表现。

建议的行动

公司和其他实体可以通过一些简单的衡量标准来开始分析过程。第一步是评估他们目前的员工能力或局限性:

  • 确定工厂内对实时操作和运营支持至关重要的红区工作岗位或角色
  • 评估组织能力,找出需要改进的红色工作区域
  • 加入整个行业的努力,更好地装备目前在红色区域工作的个人或更好地准备新的候选人,以及
  • 理解运营所使用的底层技术以及存在于组织内部和外部的复杂的相互依赖关系。

这些步骤可以帮助指导你不断努力填补这些关键职位,因为与电影不同,我不认为我们会出于安全目的克隆人类很快。

Tim Conway是SANS研究所ICS和SCADA的技术总监。

www.sans.org

关键概念:

  • 公司应对网络攻击的能力通常取决于几个关键人物的行动
  • 一些简单的分析步骤可以帮助您评估您的人员配备情况并确定方向

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。

工程师新产品
搜索系统集成商和发现新的创新在您的行业
Avanceon

Exton,美国
太平洋蓝色工程

美国长滩
奥尼克斯工程有限公司

温莎,
ENTRUST解决方案集团(前身为EN Engineering)

美国总部
Hallam-ICS

曼斯菲尔德美国