控制系统安全认知与实践

链接 阅读工业网络安全博客www.globalelove.com/blogs 阅读更多关于网络安全的内容控制工程文章: 应用深度安全防御，2009年12月 网络安全:供应商的反击，2009年11月 遗留系统的网络安全，2009年7月 2009年1月，网络安全大行其道 控制系统安全威胁，2007年4月

我们收到了近200份答复控制工程2009年11月开始的工业控制系统网络安全评估调查。虽然回应中的一些趋势是意料之中的，但其他趋势却相当令人惊讶。本文将提供我们对这些反应的分析，从简单的观察开始，最后分析不太预期的反应和趋势。

第一个令人惊讶的是，24%的受访者表示，他们不认为与他们的信息控制系统相关的任何威胁和风险会影响他们的业务运营。这似乎非常令人困惑，因为大多数组织都认为不存在100%的安全性。在工业控制系统越来越依赖于包括互联网和远程控制功能在内的连接性的环境中，我们期望接近100%的响应承认存在此类风险。近20%的受访者表示，最普遍的网络安全担忧是病毒和恶意软件。

另一个非常令人惊讶的观察结果是，只有53%的人表示他们是“被迫实施特定信息控制系统保护的行业所涉及的组织”。剩下的47%没有强制实施具体的信息控制系统保护。出于上述关于感知风险的相同原因，我们预计会有更多的回复表明迫切需要实施特定的信息控制系统保护。

答案是喜忧参半，但一些基本的安全概念似乎已经深入人心。

同样令人惊讶的是，只有50%的人表示他们的组织有一个运行中的计算机应急响应团队来检测网络安全漏洞企图和成功的网络安全漏洞。在工业控制系统面临的网络安全威胁数量极高且近年来急剧增长的环境中，我们发现这一点很奇怪。另一个意想不到的趋势是22%的人表示他们从未进行过任何类型的漏洞评估。Encari建议组织至少每年进行一次脆弱性评估，大约65%的人表示他们在过去一年内进行了一次脆弱性评估，这一点得到了加强。由于网络安全威胁形势和基础设施环境不断变化，这已被公认为最佳实践。此外，最近最普遍的行业变化是网络能力和连接性的增强，因此有必要进行此类评估。如果范围足够且执行有效，则可以深入了解组织的工业控制系统网络安全状况。

同样，我们并不惊讶地发现，只有46%的人表示他们已经与外部公司签订了服务合同，以进行某种形式的脆弱性评估。现实情况是，一个组织的内部评估能力很少能与网络安全咨询公司的技能相匹配，而网络安全咨询公司的核心竞争力就是进行此类评估。在有效的项目范围内进行规划时，评估在财务上是可行的，并为组织的网络安全状况提供深刻的见解。执行良好的评估降低了总体运营成本，类似于预防医学或田口的建筑质量(和安全)模型的设计。拥有内部能力的组织应考虑至少每两年与咨询公司签约一次，而没有内部能力的组织应考虑每年与咨询公司签约一次。

对于安全解决方案中最重要的元素，用户似乎存在分歧。有些可能是基于内部经验和事件。

保护信息

我们很高兴地看到，75%的受访者表示他们的组织已经实施或正在部署信息保护计划。虽然答复中没有具体说明，但我们高度相信，大多数答复者目前正在实施信息保护计划。此外，根据我们在许多组织中遇到的情况，我们怀疑许多实施的信息保护程序可能不足。这种怀疑源于对工业控制系统和一般公司信息实施此类程序的困难。隐私权信息中心的统计数据证实了这一点。

组织产生大量的信息，这些信息以多种形式存在，包括数字、硬拷贝和口头形式。为了建立有效和充分的信息保护程序，它必须针对所有敏感信息的使用场景处理和应用保护控制。例如，程序如何保护敏感信息:

• 通过电子邮件发送;

• 存储在USB拇指驱动器和技术人员的笔记本电脑上;

• 传真给供应商;

• 由网络打印机打印的;

• 驻留在数据库中的;和

• 口头沟通?

有些答案自相矛盾。几乎一半说他们没有系统清单的人仍然声称有变更控制过程。

您如何确保所有受信息保护计划约束的信息都标有适当的分类(例如，“机密”或“秘密”)?我们曾与许多组织合作，这些组织已经建立了足够全面的信息保护程序，但在实施过程中遇到了困难。

安全第一步骤

考虑到我们遇到了许多组织，他们在维护驻留和运行在控制网络上的所有信息系统的准确和完整的库存方面遇到了挑战，我们惊讶地发现70%的组织表示相反。然而，在本文的后面，我们注意到一些趋势可能会挑战应用于响应的思维过程。

有趣的是，对于组织在实施控制策略时首先要解决的问题，反应的分布有些一致(见饼状图):

• 27%的访问控制;

• 23%外围安全(如防火墙);

• 16%的安全策略;

• (14%信息保护);

• 13%设施(即物理)安全;和

• 7%的安全意识。

由于历史上许多网络安全事件都是由人为错误、恶意和不满的员工、拥有授权网络访问权限的用户以及缺乏安全意识造成的，我们希望看到更多与安全意识相关的响应。不幸的是，经常遇到组织忽视安全意识，将其作为整个工业控制系统安全计划的一部分。

其他关键结果

该调查的其他几个值得注意的发现:

• 在表示担心潜在的不当信息披露的受访者中，31%的人没有实施信息保护计划。

• 在表示担心潜在的病毒和恶意软件风险的受访者中，29%的受访者在缺乏检测安全漏洞企图和成功安全漏洞的监控能力的情况下运营。

• 在表示担心与网络安全威胁相关的风险的受访者中，48%的人在没有计算机应急响应团队的情况下运营，19%的人从未进行过漏洞评估。

• 受访者表示，他们对控制网络上驻留和运行的所有信息系统有准确和完整的清单，30%的受访者目前没有能够防止在其控制系统上发生未经授权和潜在易受攻击的更改的变更控制流程。

• 在表示他们有监控能力来检测安全漏洞企图和成功的安全漏洞的受访者中，70%的受访者表示他们也有应急响应团队。只有不到5%的国家拥有应急小组，但没有监测能力。

响应在监控能力上是分裂的，但是那些有监控能力的响应往往也有相应的下一个逻辑阶段。

在这些点中指出的各种响应组合表明响应者的工业控制系统网络安全计划缺乏成熟度。这表明，这些组织可能会孤立地解决网络安全问题，而不是在整体网络安全战略的背景下解决问题。例如:

• 在没有监控功能的情况下，如何有效地解决潜在的病毒和恶意软件暴露问题?

• 如果您担心与网络安全威胁相关的风险，为什么您要在没有计算机应急响应小组的情况下进行操作，或者为什么不进行漏洞评估?

• 在没有变更控制过程的情况下，你怎么能声称对所有驻留和运行在控制网络上的信息系统拥有准确和完整的清单呢?

今天的现实是，要理解和充分保护我们的数字世界，以确保电子控制的物理世界的持续安全，我们还有很长的路要走。我们正处于时间的十字路口，这要求我们更加努力地争取资源来解决问题，并确保这些资源与最适当的解决方案适当地结合起来。每个环境都是不同的，但最终目标是相同的:安全可靠地控制一个高效的系统。现在是你们个人的目标，是你们公司的目标，是你们整个行业的目标，确定一条合适的前进道路——一条将继续我们安全繁荣的道路。我们希望我们正在进行的关于将深度安全防御应用于工业控制系统的文章将有助于实现这一最终目标。

作者信息

顾问Matt Luallen和Steve Hamburg是Encari的联合创始人，并撰写了工业网络安全博客控制工程。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。