查找网络安全漏洞，分析，然后修复:参见示例

一个网络安全研究人员专注于寻找漏洞，然后提供问题背后的分析，但一旦问题最终被发现，创建安全环境的下一个级别意味着用户需要能够正确地看待它。

安全研究公司WhiteScope的创始人比利·里奥斯(Billy Rios)周二在佛罗里达州劳德代尔堡举行的ICSJWG 2016秋季会议上发表了主题演讲，他说:“从研究人员的角度来看，如果你想展示漏洞是如何产生影响的，这是很困难的。”“当你给运营商带来漏洞时，他们需要看看会发生什么。他们需要知道所有的漏洞会产生什么影响。我们对分析的理解非常清楚。我们非常清楚这些漏洞。我们甚至可能知道一些影响，但我们知道它在系统中是如何运作的吗?这对整个行动会有什么影响。

一个典型的例子是2010年官员失去了与核武器的联系。空军高级官员以非常快的方式通知了参谋长联席会议主席，然后他通知了国防部长，然后国防部长通知了总统。当时，“总统问了一个简单的问题:这可能是由网络攻击引起的吗?没有人知道答案，”里奥斯说。

在那时，里奥斯最终被分配到寻找答案的网络安全任务中。“经过几个月的工作，我们学到了很多;我们学到了很多关于这个世界是如何运作的。我们对漏洞做了分析。但最终，这次任务不是关于漏洞或任何类型的分析，而是关于可能发生的后果。”

饮剂的角度来看

这个任务，或者说项目，让我们更清楚地意识到我们的三军统帅会带来什么。

“我们(以前)从未听过美国总统总统向其他国家谈论网络安全。”

这仅仅是个开始。

在另一个案例中，里奥斯在一个研究项目中发现了1418个医疗设备漏洞。

里奥斯和他的同事迈克·艾哈迈迪与CareFusion合作发现了这些漏洞。他们通过第三方获得了Pyxis SupplyStation，该第三方从医疗保健系统中转售退役系统，并使用自动化软件组成分析工具最终发现了漏洞。

在这些漏洞中，715个漏洞的CVSS范围为7到10，表明存在严重漏洞;606个在4 ~ 6.9之间，为中等脆弱性;97个在0 ~ 3.9之间，为低脆弱性。

无论脆弱性得分是7分或更高，当医疗出现问题时，你该怎么办?数字可能无法帮助你理解风险。

“你不能把网络安全放在钟形曲线上，”里奥斯说。这是一起“极端主义”事件。它不是自然发生的。很难策划。”

“极端主义”一词出自一本名为《黑天鹅》(The Black Swan)的书，作者纳西姆·尼古拉斯·塔勒布(Nassim Nicholas Taleb)在书中描述了“集体、常规、明显和可预测的暴政”或“平庸”与“单一、偶然、看不见和不可预测的暴政”或“极端主义”之间的区别。

里奥斯说:“你必须明白什么时候可以在曲线上绘制一些东西，什么时候不能。”“当你在做一件事或另一件事时，要知道。”

适当的前景

当您在医疗设备或流程的关键部分发现缺陷时，还会发生什么。是的，你需要知道有一个缺陷，你需要知道你必须做什么来修复它，但如果有人的生命依赖于它，或者如果它是一个持续过程的关键部分，你就不能停止使用设备。

另一个例子是投票机。

里奥斯说，他在eBay上花了100美元就买到了一台二手投票机。

里奥斯说:“我的办公室里有两台投票机。“我可以用这些机器做任何我想做的事情。我可以学习他们是如何工作的。我可以知道它们的折痕。我们可以把软件从设备上拿下来，了解这台机器。”

里奥斯说，虽然他可以了解漏洞并分析机器，但他不知道被黑客攻击的机器会带来什么影响，这更多是投票专家的事。“我们不知道(效果)，但如果你是这个系统的操作员，你就知道。”

这就是操作员如何帮助从研究人员那里收集信息。他们需要一起工作，以提供完整的上下文情况。

最后，无论是it和OT之间的讨论，还是美国的总统之间的讨论，都需要以您试图告知的对象的适当语言进行沟通。

“我们需要学习如何与他人交谈。(在核武器任务中)，我们不知道如何以总统应该理解的方式来安排我们的谈判。我们需要能够用和我们一起工作的人的语言交谈。”

格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．由CFE媒体制作编辑克里斯·瓦夫拉编辑，控制工程，cvavra@cfemedia.com．

在线额外

有关网络安全的相关报道链接如下。

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。