网络安全的成功取决于团队合作
2020年网络安全的成功将取决于信息技术(IT)和运营(OT)走到一起,合作并克服他们的分歧。
展望未来一年制造业自动化领域的安全问题,有很多积极的方面:董事会越来越多地参与其中,由于熟练工人的短缺,信息技术(IT)和运营技术(OT)将更加紧密地合作,并且将有更高层次的问责制。
当然,有积极的一面,行业也有消极的一面,比如董事会越来越多地参与其中,由于缺乏熟练工人,IT和OT将更加紧密地合作,并且将有更大程度的问责制。
这似乎是未来一年的安全前景:更多的团队合作,将组织的各个部门整合在一起,这样董事会就可以与IT合作,IT可以与OT合作,让公司蓬勃发展。这种水平的团队合作也意味着,成功的风险很高,制造商将能够击退攻击,增加正常运行时间和生产力。
“控制系统的网络安全终于引起了董事会的注意,”软件安全验证提供商aDolus的首席执行官埃里克·拜尔斯(Eric Byres)说。他说:“石油和天然气、能源、化工、航空航天都开始得到高层的重视,就像几年前的安全意识一样。我开始看到董事会级别的人问一些他们以前根本不在乎的问题。一些高层人士甚至表示,他们有项目的资金,但他们没有人力。资金不是问题。缺乏技术人才是问题所在。”
制造商在安全性方面的要求也发生了变化。
部署工具
aeSolutions工业网络安全副总裁约翰·库西马诺(John Cusimano)说:“我们注意到,在过去一年左右的时间里,人们开始推动部署安全工具和功能,而不是花更多时间进行评估。”“有一种推动力是‘让我们做点什么吧。“我们看到对项目管理服务的需求大幅增长。从编写策略和过程到所有的治理活动,它们都有良好的文档化程序。当然,还要培训每个人。在培训方面,我们看到培训是分阶段展开的,从全公司所有与OT系统打交道的人的普遍意识培训开始。操作员,生产人员,工程师。然后还有针对独特角色的更专业和基于角色的培训。”
攻击事件正在发生,而且越来越明显,但它们是否在上升?
“我不认为事件在增加。我认为这是人们看到事件发生的能力,这使得报告出来,”AECOM管理服务公司ICS网络安全服务主管乔尔·兰吉尔说。“当我进入一家能源公司进行调查时,我发现了一些指标,然后我与同一地区的另一家客户进行了一些工作,我在一个不应该有任何公共交通的网络上发现了指标。当我介绍这两项不同的调查时,我注意到指标是相同的。他们是俄罗斯人。”
西门子副总裁兼工业网络和数字安全全球主管利奥·西蒙诺维奇(Leo Simonovich)说:“我认为,很明显,我们过去看到的攻击将更加复杂,这是必然的。”他说:“没有被告知的情况是,应对这些袭击的准备工作还没有做好。能源行业面临的挑战是,准备水平与攻击增加之间的差距正在扩大。这是有问题的。在西门子赞助的Ponemon研究中,我们发现只有42%的受访者表示他们已经准备好应对不断变化的威胁环境。这意味着58%的人没有做好准备。能源公司预计,至少会发生一次可能对运营或安全造成影响的攻击,但它们无法做出回应。准备工作既要了解你的环境中有什么,又要了解应对威胁的计划应该是什么样子,也要了解你的可见性和安全性。”
IT和OT一起工作
能够响应威胁和攻击意味着要有正确的人员,不仅要了解安全性,还要了解复杂的OT环境。这只指出了IT和OT结合在一起的方向。
拜尔斯说:“我做了一项分析,主要的安全官员现在没有在工厂底层防火墙设置安全措施。“我们开始看到OT安全正在落入网络安全沙皇的手中。坏人用任何方法攻击,他们不在乎是OT还是it。你必须有安全协调OT和IT,你必须有人说,‘我有责任保持公司的安全。他说,我开始看到越来越多的人向董事会汇报,负责所有业务的网络安全。物理安全性也应该在同一组中。一个安全沙皇应该管理网站上发布的所有内容,并与你锁在门上的锁一起走向世界。”
可能存在IT和OT一起工作的形式,但这并不意味着它总是有效的。
“IT/OT的分歧仍然存在,”Cusimano说。“它正在改善,这是我们通过CyberPHA流程提供服务的一大重点,该流程旨在将It、OT运营和工程人员聚集在一起,作为一个团队共同解决和改善工业网络安全问题。我看到更多的是IT和OT人员的混合。随着董事会越来越意识到OT安全方面的风险,高管们正在推动这种关系。通常他们要求公司解决问题,大多数时候他们会依靠IT部门。首席执行官会去问首席信息官,‘我们在OT安全方面做了什么?传统上,首席信息官会说我不知道,这不是我的责任。现在,他们必须采取行动。在理想的情况下,CIO将接触到运营和工程人员,并与他们协作。如果CIO意识到IT并不真正了解生产网络和OT系统,那么理想情况下他们会一起工作。 I have seen a variety of situations where it can become a collaborative process and other times the CIO is heavy-handed and they will say I don’t’ care what operations and OT personnel think, I have my orders from the CEO. There are pitfalls to that approach.”
在制造业的新时代,一个互联的世界将把更多的人聚集在一起。
思考更聪明
Simonovich说:“我认为it和OT将会变得更加智能。”“这与连接设备的能力无关,因为安全将成为一个更大的问题。在物联网的实施中,安全性将成为一个变数。我们看到了开始的兴奋,但由于缺乏安全保障,这种兴奋慢了下来。现在,我们看到数字化项目有所增加,安全成为数字化运行的基本要素或支柱。”
另一方面,Langill对IT-OT融合的观点有更强硬的观点。
他说:“我接触过的每个OT系统都不允许任何不具备该系统使用资格的人碰它。”“我认为人们现在终于意识到IT和OT是不同的。它们在攻击级别上本质上是不同的。我们的想法是攻击特征是不同的。”
本内容最初出现在ISSSource.com.ISSSource是CFE Media的内容合作伙伴。由CFE媒体副主编克里斯·瓦夫拉编辑,cvavra@cfemedia.com.
原始内容可以在isssource.com.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
