在开发基于风险的网络安全方法时,为什么需要网络卫生
没有基本网络卫生的基于风险的网络安全方法,会给那些试图确保网络安全的公司带来许多长期问题。
在没有基本网络卫生的情况下,基于风险的网络安全方法是徒劳无益的,会导致短期的优先排序和抢椅子游戏,你希望自己不是音乐停止时唯一一个站着的人。没有风险的卫生是一份长达3000页的网络安全政策的配方,它会导致效率低下,导致怨恨,导致失败。
我是一名网络安全和风险专家.这就是我20多年来所接受的训练。从一家投资者所有的公用事业公司的数据中心开始,我做了四年的信息系统审计员,包括执行NERC CIP项目。在过去的10年里,我在不同的行业和财富40强公司、高等教育公司和公用事业市场的公司担任职位,进一步完善了我的网络安全和风险管理技能。
我学到的最大的一课是什么?人类在风险中是可怕的,没有什么比缺乏风险推理更快地破坏网络安全计划了。
没有网络卫生的基于风险的方法是徒劳的
人们用风险来保护各种工作和成本规避。我们对概率的理解也很糟糕。引用一位伟大的风险专家Peter Sandman的话,风险=危险+愤怒。以佛罗里达州的oldsmart水厂为例(风险)。业界最初关注的风险向量(愤怒)是远程访问失败,尽管它只涵盖了控制失败的一个向量。关于异常检测是否有帮助的文章并不缺乏,这就是为什么你需要这个远程访问产品或另一个。实际上,当我与控制专家交谈时,他们对这种可能性同样感到恐惧,如果不是更可怕的话在人机界面(HMI)设计中缺乏输入验证或设定点控制在可编程逻辑控制器(plc)本身。为什么?因为远程访问是一个控制点。它阻止了一种威胁。输入验证和设定值可以降低多变量风险,但这不是明显的中断点。你需要知道更多才能到达那里。
我还遇到过许多审计方面的挑战,其中有一些荒谬的说法,比如:“为什么我们要在这些新防火墙后面进行存储区域网络审计?”我:“嗯,因为你所有的关键业务和客户数据都在这些阵列上,只要一次密码更改失误,就会导致你的数据全部丢失,这需要几周,而不是几天的时间来恢复。顺便说一下,其中一个阵列刚刚更换了主板,密码也没有从默认值更新。”
这些评论来自非常受人尊敬的专业人士,我今天仍然尊重他们,因为我不能指责人类在风险中表现不好。
Zaila Foster,人类因素工程专家(也是我们的用户体验设计师)说得最好,“当人类被迫在没有基本指导的情况下做出决定时,他们倾向于依赖直觉,但依赖直觉可能非常个人化。考虑到人们无法用一刀切的方法来降低网络安全风险,依靠个人经验来做出网络安全风险决策是一种灾难。”
人类需要护栏。我们需要被迫做一些平凡的基本工作。作为一名风险专业人士,如果你想被吓到,那就接受一份帮助一家非上市公司首次上市的合同吧。缺乏基本的控制会让你震惊。这基本上是当今大多数工业控制系统(ICS)所处的位置。他们没有享受到30年来信息技术(IT)所拥有的强制性监管和合同义务的好处。我们的系统中没有基本的、持续执行的网络安全基础。
没有风险的网络卫生是一个注定要失败的过程
另一方面,没有风险的卫生或合规是一个注定要失败的过程。你可以阅读NERC CIP的舞蹈这是其中一个故事。让我们考虑一下最近在一些ICS安全博客中出现的补丁问题。有人认为,运营技术(OT)运营商盲目地应用每一个网络安全补丁,这是荒谬的。据我所知,没有任何标准要求每个补丁都要使用。NERC CIP是有史以来最卫生、最不注重风险的框架,甚至不需要这些。它所要求的是用户了解和评估安全风险补丁,并根据您自己对该风险的评估,应用它或制定缓解计划。
现在,哪里出了问题,什么可能导致一些人采取极端的观点,不在于需求的精神,而在于需求的应用。在早期,审计人员最终要求的是一个详细的、个性化的风险缓解计划,针对实体知道后70天内未应用的任何补丁,不考虑漏洞的严重性,不默认依赖NERC CIP本身要求的控制,什么都没有。这是荒谬的。我不怪审计人员;他们按照宪章的要求解释标准的通俗语言。
然而,围绕补丁缓解计划出现的家庭手工业,或者不惜一切代价修补补丁的感觉,才是造成真正问题的原因。正式的缓解计划应保留给那些严重到需要特别注意的脆弱性。所有其他的都应该被允许依赖框架本身提供的固有控制,即强分段、访问控制等,所有这些都要定期审计。
检查表,卫生和合规盲目应用,没有风险是一个谬论。它会导致糟糕的决策,不符合企业、客户或所有者的长期利益。
当其中任何一个元素与另一个元素失去平衡时,问题就出现了。如果没有成熟的网络安全控制基础所带来的结构和严谨性,就会导致对底层控制操作的过度自信。如果没有来自“网络卫生”的定期监控和监督,你的风险评估就会失败。通过创建不受风险限制的繁重控制需求,您将在您寻求实现的结构和纪律中创建失败,因为资源不是无限的,而人就是人。
对于那些希望人工智能/机器学习(AI/ML)能够拯救他们的人来说,需要记住这些系统摄取的数据必须是准确的。准确的数据通常来自健全的网络安全卫生控制结构。
-这篇文章最初出现在工业卫士网站.工业的后卫是CFE Media内容合作伙伴。编辑克里斯·瓦夫拉,网站内容经理,CFE媒体,cvavra@cfemedia.com.
原创内容可在www.industrialdefender.com.
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
