IT安全与ICS产业融合

Black Hat USA虽然传统上是一个信息技术(IT)安全会议，但仍在继续接触工业控制系统(ICS)行业。只有当安全市场在整个It行业中不断增长时，它才有意义，而且它在ICS领域仍然是一个初出茅庐的新贵。这一切都在改变，因为攻击者正在侵入ICS系统的“唾手可得的果实”，运营商们正争先恐后地，首先，了解这个问题，其次，找出从哪里开始。

在ICS环境中，关键在于理解安全意味着什么，然后适应和采用一种文化，就像该行业40年前在安全方面所做的那样。

PAS创始人兼首席执行官埃迪·哈比比(Eddie Habibi)今年首次参加了在内华达州拉斯维加斯举行的2017年美国黑帽大会，并坐下来分享了他对不断发展的ICS安全运动的看法，他说:“这一切都是关于文化的变化。”沿着这些路线，PAS正在大力推动ICS安全环境，他亲眼目睹了他已经知道的事情:OT安全正处于起飞的边缘。

哈比比说，安全需要在很大程度上模仿安全给行业带来的影响。

他说:“你今天走进一家工厂，他们说他们在x天内没有发生任何事故。“当我们看到这与网络有关时，我们就成功了。我们需要利用安全方面的经验。”

技术和流程对制造自动化公司至关重要，但哈比比认为安全，就像安全一样，是人类的挑战。

他说:“归根结底，没有什么事件不是人为失误造成的。”“安全事故是人为失误或疏忽造成的。安全也是一样。”

这一切都来自于制造商了解他们有什么库存，以及他们的系统上有什么。哈比比说，令人惊讶的是，用户甚至不知道他们拥有什么。他提到一家炼油公司的首席信息安全官说，他觉得他们有大约500个终点，但经过进一步调查，他们发现了26000个。

“知道自己拥有什么”

他说:“网络安全的第一条规则是知道你拥有什么。”“如果我不知道我的终点，我就无法确保它们。我们正在努力提高人们对库存的认识。你不可能知道你拥有的99%，你需要知道一切。”

当你谈论安全的时候，成本的概念总是会发挥作用。

安全被认为是一种保险策略和一种成本，而不是一种允许公司保持运行并生产更多产品的业务推动者。

现在，这个行业是一种以成本为中心的文化，结果是目光短浅和误入歧途。

“我们需要从安全问题上吸取教训，”他说。“在过去的40年里，这一直是一种培养意识、把(安全)放在首位的文化。”

创造和强制安全环境的一种方法是制定法规，迫使公司有一个底线。不过，哈比比并不认为这是可行之道。

“我们需要制定最佳做法，”他说。“我们不需要更多的法规，我们只需要最佳实践。法规有助于激励落后者将安全作为优先事项。然而，这并不是行业领导者需要做的正确事情。”

格雷戈里·黑尔是《工业安全与保安资源》(ISSSource.com)是一个新闻及资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．ISSSource是CFE Media的内容合作伙伴。Chris Vavra编辑，CFE Media制作编辑，cvavra@cfemedia.com．

在线额外

参见下面链接的ISSSource的相关故事。

原创内容可在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。