网络攻击可能随时爆发,了解制造商在网络上运行的设备并了解其配置在今天是可能的,但下一步是利用这些知识并朝着预防的方向发展。
“我们生活在一个数字世界,但这个世界不再安全,”西门子工业安全服务总监斯特凡·沃龙卡(Stefan Woronka)在科罗拉多州奥罗拉举行的2019年西门子自动化峰会的圆桌讨论中说,“只有在数据和网络安全的情况下,人们才会依赖(数字)。我们已经在网络上看到数十亿台相互连接的设备,无论是在互联网上还是在公司内部。这意味着我们对Wannacry和notpetya等威胁的增加持开放态度。”
Woronka与空气产品和化学品公司全球运营网络安全经理Chris DaCosta、Palo Alto Networks公司物联网业务发展高级经理Jamison Utter以及Claroty公司全球战略合作伙伴营销高级总监Katherine Brocklehurst讨论了该行业面临的广泛的网络安全主题。
行业中的一个新兴话题是异常检测,其中被动监测解决方案越来越受到关注。所有被动监控的一个共同主题是他们在事情发生后才记录。但有一个问题仍然存在,那就是企业是在以适当的方式采用这项技术,还是在盲目使用。
“螺栓问题是一个大问题,”布罗克赫斯特说。“西门子正在努力不做螺栓式的设计。但我们看到的是,人们正试图在作战环境中强行安装IT(信息技术)扫描工具。”
网络卫生
在另一个问题中,Woronka问道,大多数攻击都是可以预防的,但这个行业是否采取了适当的网络卫生措施?
达科斯塔说:“我想说的是,我们不能谈论Wannacry而不谈论补丁——在OT环境中打补丁是一个大问题。”“好在市场上有一些工具可以帮助解决这个问题。很多人都不把它当回事。大约80%的系统没有打补丁。我们必须改变对网络卫生的态度,打补丁势在必行。在过去的两年里,我们已经看到了一些零日的出现。我们为蓝堡打了补丁。(BlueKeep存在于Microsoft Windows操作系统的RDP (Remote Desktop Protocol)中)。攻击者可以利用此漏洞在未受保护的系统上执行远程代码执行。微软为各种操作系统发布了补丁,但问题是是否有人在打补丁。) We have a lot of obsolete systems out there. You have to look at other technologies like whitelisting. We know because we are in the OT environment we are being targeted. We have to consider well-funded attackers to create an issue at our facilities. We have to go beyond hygiene and use tools to pick up things beyond antivirus.”
了解制造商在现场拥有哪些资产正成为一种令人大开眼界的体验。
“当我们审视资产库存时,我们必须考虑我们能从中得到什么,”Utter说。“可以把它看作是背景资产清单。它不只是告诉我我有什么,而是我需要一个设备是什么以及它在和什么对话的上下文。理解数字身份是什么。”
“我认为资产所有者面临的挑战之一是了解他们拥有什么,”DaCosta说。“我认为,几乎所有有这个问题的人都知道我们拥有什么,以及如何保护它。我们需要了解库存情况。异常检测工具可以为您提供您所拥有的内容,并了解您所拥有的上下文信息,并为您提供基线,以了解何时在系统中进行更改,您了解正在发生什么。”
威胁检测
除了资产发现之外,威胁检测也起着至关重要的作用。
“异常检测与行为有关,与正常情况无关,而不是正常操作的一部分。你们知道你们的系统,并且对事情应该如何运行有一个预期。你必须具备评估能力,确保远程访问、漏洞和错误配置的安全,以便他们能够发现错误配置。”Brocklehurst说。
这项技术现在可以更好地了解资产和检测,但这如何导致预防呢?
阿特说:“如果我们采取这一有价值的愿景,了解背景,并将其转化为以预防为基础的政策。”用检测拧紧螺钉以预防。我将停止那些与卫生有关的工作,而是使用异常检测来发现那些远远超出标准卫生标准的真正困难的工作。”
水晶球
检测是下一个合乎逻辑的步骤,但是对操作技术(OT)安全的未来有什么想法?
“安全自动化。你是生活过程自动化,这意味着OT人员和IT人员工作来批准对防火墙之类的东西的自动更改,”Brocklehurst说。
DaCosta表示:“资产所有者需要一种方法来发现其架构中的差距,并能够应对环境中的威胁。”“威胁环境在不断变化,当你成为目标时,情况就不同了。拥有自动化工具将会很有帮助,也会引起人们的兴趣。”
“我相信在OT和IT方面,我们正在把这个问题当作IT问题来处理,”Utter说。“基于现实的思考说。有些项目将永远不会被修补。我们如何建立一个不需要修补的结构。网络可以解决问题的东西。我们如何接受这种想法,并围绕一个适合现实世界而不是学术世界的结构建立安全。”
为了回应没有补丁的问题,达科斯塔谈到了责任。
“现实是责任,”他说。“如果你的工厂发生了一些事情,如果你不符合某些标准,你就要承担责任,打补丁是合规问题之一,表明你在做些什么。我赞同层层保护的方法。我们总是在追赶坏人,我们必须为最坏的情况做准备。”
寻找什么
在谈到网络安全时,小组成员提到了一些关键的建议。
“除非有管理层的兴趣和支持,否则你将面临逆风,”Brocklehurst表示。“寻求管理层的支持,在运营方面做出一些改变。如果有一定的预算和需求,那就评估一下手头的资源。”
达科斯塔说:“锻炼基本的网络卫生,但记住,这并不能保护你免受资金雄厚的攻击者的攻击。”“你确实需要寻找能给你带来更好能见度的工具。我必须假设我们是目标,我必须假设如果我们不是目标,我们将成为附带损害。”
阿特说:“我们需要愿景,并把它带到最高管理层,向他们展示。”“制定一个计划,并建立愿景支持。这关系到业务的连续性,风险真的很高,而且是真的。自动化是一个工具生态系统。这就是我们所处的位置,这就是我们想要的位置。让这些工具一起工作,最终实现你的愿景。”
DaCosta通过谈论安全体验的一个重要部分来总结会议。
他说:“我认为,在网络安全之旅中,如果不考虑(人力)资源,就不可能取得成功。”“很多时候,我们都专注于设备和工具,你真的需要进行培训、意识和风险评估。”
本内容最初出现在ISSSource.com。ISSSource是CFE Media的内容合作伙伴。Chris Vavra编辑,CFE Media制作编辑,cvavra@cfemedia.com。
