合理的推诿不是安全策略

最近，我注意到一些律师和法律部门建议经理们，除了供应商提供的具体信息外，不要对控制系统的网络漏洞一无所知。为什么?如果供应商声明系统是安全的，那么资产所有者和运营商可能会声称不知情，并避免与生命损失或关键资产不可用相关的法律责任。

出于几个原因，这种貌似合理的推诿不是一种安全策略。首先，许多ICS(工业控制系统)协议(如Modbus/TCP、DNP3、Profinet、EtherNet/IP、BACnet等)由于网络资产中没有身份验证、身份验证差、所有者选择的实现和供应商实现差而非常脆弱。考虑到Adam Crain和Chris Sistrunk最近发现的DNP3漏洞(ICSA-13-291-01和其他漏洞)，以及对Modbus/TCP的更多期望。其次，对“控制系统漏洞”进行快速谷歌搜索会得到240万个结果。第三，随着ICS- cert通知的迅速增加，新的ICS网络资产漏洞正在浮出水面。

所以问问你自己，你是应该进行尽职调查，努力建立足够的保护水平，还是应该希望躲在看似合理的推诿辩护背后?您的供应商可能不会在后者方面帮助您。现在许多公司发布免责声明，将责任推到你身上。他们警告说，他们的系统必须放置在您设施的安全区域内，并指出标准和组织，如NIST 800-82, ISA 99 / IEC 62443, IEEE, NEI, AGA, NNSA, ISO 27001, API, ChemITC，个别政府，以及其他一些我可能错过的组织。

躲起来，还是保护自己?

想想你在机构里的角色。大多数公司都希望通过安全、可靠和可用的操作来确保一定的盈利水平。你的个人愿望是食物、住所和一个安全的环境，为你和你的家人。随着威胁代理人的数量和能力的增加，世界已经发生了变化。其中一些是由主要军事大国赞助的。你可能不得不成为变革的推动者，使文化转变为严肃的防御策略。

我记得许多年前，当这个责任落在我身上时。我早期在美国能源部国家实验室推销网络安全的尝试以失败告终。我没有把我的努力与实验室的使命联系起来，也没有说服我们的诺贝尔奖得主科学家。科学家们想要高可用性的研究，这样他们就可以与世界合作，而我的防火墙正在干扰。最终，我们用他们理解的术语来描述安全。我们没有只关注网络攻击，而是解释说，“如果有人操纵你的数据，提前发布你的数据，或者以不同的品牌发布数据，怎么办?”

个人名誉扫地的想法引起了他们的注意，他们要求进行安全控制。教训是:每个控制系统环境都因公司动机和所有权而不同。您需要确定将安全性出售给您的组织的是什么。不要等待别人——你去做，现在就去做。

就在此刻，有人正准备对控制系统发动网络攻击。如果有人不站出来，你的公司和你的生计都可能处于危险之中。寻找一个开始改变的机会，如果不是在你的工作场所，也可以是在你生活的地方。许多控制系统会影响您的环境:淡水、天然气、电力、交通控制、汽车和食品供应。参加市议会会议，询问正在采取什么措施来保护当地的供水。向你的汽车修理工询问ECU或ABS的最新固件更新。

网络空间现在是一个战场，没有合理的方法来否认互连网络是脆弱的。采取措施保护你的资产:盘点你的资产，记录它们的通信模式和操作它们的逻辑。看看访问和管理它们的人。对运营、网络和物理活动是否有合理的限制?建立正常操作的基线可以帮助您确定何时出现异常。

基本的安全原则适用于物理安全或网络安全。一旦你有了这些工具，你就会开始对你的网络中发生的事情产生第六感。克服预算限制和政治阻力可能需要付出一些努力，但你可能是做出改变的那件事。

马特·卢艾伦(Matt Luallen)是安全培训和咨询机构Cybati的创始人。

在线

Control Engineering已经延长了Matt Luallen的13部分免费网络安全培训课程的时间，包括PDHs。

https://cybati.org

在https://ics-cert.us-cert.gov/standards-and-references上关注安全漏洞公告

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。