盡管上面這些都是壞消息，但是現(xiàn)在，在過去的12-18個月中，運營技術(shù)(OT)網(wǎng)絡(luò)安全意識和行動發(fā)生了空前的轉(zhuǎn)變。從董事會到C級管理層再到工廠車間，越來越多的工業(yè)組織開始清醒地意識到自己的OT網(wǎng)絡(luò)正暴露于網(wǎng)絡(luò)攻擊威脅之下，并正在加緊采取行動搭上風(fēng)險管理的末班車。

 

        那么，驅(qū)動這種覺醒的動力是什么?為什么有些組織能夠先于其他組織采取行動呢?基于每天與這些組織的管理人員進(jìn)行的對話，我已經(jīng)列出了一些能夠驅(qū)動這種轉(zhuǎn)變的關(guān)鍵因素，并將其總結(jié)為“ABC”：

 

A即意識(Awareness)

 

        網(wǎng)絡(luò)安全行動的第一步始終始于能夠意識到組織存在重大風(fēng)險。而對于工業(yè)組織來說，這種意識主要分為三個方面：

 

        首先，在經(jīng)歷多年將網(wǎng)絡(luò)威脅視為簡單的IT問題之后，越來越多的組織開始意識到，由于OT網(wǎng)絡(luò)至關(guān)重要，威脅行為者已經(jīng)發(fā)現(xiàn)了破壞業(yè)務(wù)流程的價值。而無論是為了地緣政治優(yōu)勢還是存粹的財務(wù)目的，這種價值都會進(jìn)一步激化工業(yè)組織面臨的風(fēng)險形勢;其次，他們已經(jīng)意識到，即便不是作為主要攻擊目標(biāo)也同樣會給他們造成嚴(yán)重的損害，因為間接攻擊與直接攻擊一樣具有破壞性;以及第三，企業(yè)已經(jīng)意識到這些工控系統(tǒng)(ICS)環(huán)境嚴(yán)重的暴露程度，以及安全團(tuán)隊對于OT環(huán)境糟糕的可見化程度。

 

警示性案例

 

        大部分這些意識的形成都要得益于媒體和政府咨詢機(jī)構(gòu)頻繁發(fā)布的警示性案例：

 

        ? 惡意軟件迫使生產(chǎn)工廠停工——汽車制造商本田和雷諾都曾因為去年的WannaCry攻擊事件而被迫暫停生產(chǎn)線。正如我們所知，此次威脅并沒有直接針對工業(yè)控制系統(tǒng)，但惡意代碼仍然能夠從IT網(wǎng)絡(luò)擴(kuò)散到OT網(wǎng)絡(luò)中。

 

        ? 安全系統(tǒng)已經(jīng)成為攻擊目標(biāo)，旨在對工廠造成破壞——例如，2017年12月披露的Triton攻擊事件。該軟件瞄準(zhǔn)施耐德電氣公司Triconex安全儀表控制系統(tǒng)(Safety Instrumented System，SIS)控制器，最終造成一家能源工廠停運。此次事件是黑客成功入侵工控安全系統(tǒng)的第一起正式報告案例。

 

        ? 潛在損害的真實的，而且是難以估量的——在去年的NotPetya勒索軟件攻擊事件中，全球工業(yè)巨頭如聯(lián)邦快遞、Maersk、Merck、Mondelez、Reckitt Benckiser以及Saint-Gobain等都經(jīng)歷了總計近9億美元的巨大損害和財務(wù)損失。

 

        ? 政府公告正在承認(rèn)網(wǎng)絡(luò)風(fēng)險的范圍和嚴(yán)重性——今年早些時候，白宮發(fā)表了一份聲明，明確指出NotPetya攻擊事件為俄方所為，報告稱，“2017年6月，俄羅斯軍方發(fā)起了歷史上最具破壞性和代價高昂的網(wǎng)絡(luò)攻擊活動?！?

 

        ? 美國網(wǎng)絡(luò)司令部已經(jīng)認(rèn)識到網(wǎng)絡(luò)空間的新現(xiàn)實——上個月，美國網(wǎng)絡(luò)司令部全面更新了其軍事戰(zhàn)略，新戰(zhàn)略非常公開地承認(rèn)，隨著對手在網(wǎng)絡(luò)空間中已經(jīng)獲取了足夠的實力，美國在網(wǎng)絡(luò)空間領(lǐng)域正面臨著對方壓力，過去的“絕對優(yōu)勢”目前已經(jīng)無法保障。新戰(zhàn)略指出網(wǎng)絡(luò)空間領(lǐng)域內(nèi)有不同的個體，例如暴力極端主義組織、有組織犯罪團(tuán)體、黑客組織等，這些團(tuán)體在能力上參差不齊，但都有可能對美國在網(wǎng)絡(luò)空間的國家利益造成影響。此外，新戰(zhàn)略中最令人鼓舞的內(nèi)容是要擴(kuò)大與私營部門、學(xué)術(shù)界以及其他機(jī)構(gòu)等的伙伴關(guān)系，以滿足戰(zhàn)略實踐所需的相關(guān)資源。

 

        ? 俄羅斯的民族國家行為者被視為以工業(yè)系統(tǒng)為主要目標(biāo)——2018年3月，美國國土安全部(DHS)和聯(lián)邦調(diào)查局(FBI)一起，發(fā)布了名為“TA18-106A”的聯(lián)合技術(shù)警報，詳細(xì)介紹了俄羅斯國家支持行為者針對多個政府實體和關(guān)鍵基礎(chǔ)設(shè)施部門(包括能源、核能、商業(yè)設(shè)施、水務(wù)、航空以及關(guān)鍵制造部門等)實施的惡意網(wǎng)絡(luò)活動。

 

B即預(yù)算(Budget)

 

        基于對直接或間接攻擊真實風(fēng)險的認(rèn)識不斷加深，以及越來越多的人意識到工業(yè)系統(tǒng)暴露的嚴(yán)重程度，針對OT網(wǎng)絡(luò)安全方面的預(yù)算也正在不斷增加。董事會正在正視高管團(tuán)隊面臨的OT網(wǎng)絡(luò)威脅的迫切性，而CISO也開始將其IT預(yù)算分配擴(kuò)展到工業(yè)控制系統(tǒng)之中。

 

        工控系統(tǒng)(ICS)安全技術(shù)的銷售周期通常要比傳統(tǒng)的IT安全技術(shù)的銷售周期長得多，因為買家通常不得不為了這些采購活動而要求增量預(yù)算。一種很傳統(tǒng)的預(yù)算方法是，以當(dāng)期的預(yù)算或者業(yè)績作為基準(zhǔn)，通過調(diào)整增加來預(yù)測新一期的預(yù)算，這些調(diào)整包括考慮到通貨膨脹，計劃銷售價格或者成本的增加等等。由于這些買家主動將這些投資納入他們的年度計劃，所以現(xiàn)在我們看到的銷售周期已經(jīng)縮短了很多。

 

降低風(fēng)險的前瞻思維

 

        很長時間以來，工業(yè)系統(tǒng)幾乎是不受保護(hù)的，人們只是將一層又一層的安全技術(shù)應(yīng)用于其IT環(huán)境，因為他們認(rèn)為網(wǎng)絡(luò)威脅只是單純的IT問題。但是，具有前瞻性的公司開始換角度思考，那些始終關(guān)注IT和OT安全預(yù)算的人開始意識到，加強(qiáng)投資ICS安全性可能比為傳統(tǒng)IT安全庫增加另一種工具，會對整體風(fēng)險降低產(chǎn)生更為深遠(yuǎn)的影響。

 

C即IT和OT的協(xié)作(Collaboration)

 

        整合IT和OT安全預(yù)算計劃是令人鼓舞的事情，但是想要真正實現(xiàn)工業(yè)網(wǎng)絡(luò)安全的目標(biāo)，還需要IT和OT安全團(tuán)隊通力協(xié)作來降低風(fēng)險、檢測威脅，并在整個企業(yè)范圍內(nèi)實施全面響應(yīng)計劃。這聽起來似乎很明確，但是實踐起來卻困難得多。

 

        主要是因為隔行如隔山，兩個領(lǐng)域的工作人員都有自己不同的行為和思維方式。IT專業(yè)人員習(xí)慣在非常動態(tài)的環(huán)境中工作，對他們來說，頻繁地升級和更新補(bǔ)丁是常態(tài)，改變是為了實現(xiàn)“更新、更快、更好”的網(wǎng)絡(luò)環(huán)境;相比之下，OT專業(yè)人員則主要關(guān)注穩(wěn)定性、正常運行時間，以及在充斥著各種遺留系統(tǒng)和老舊協(xié)議的環(huán)境中保持生產(chǎn)力。對于OT人員來說，改變可能會阻礙生產(chǎn)力以及擾亂運營平衡，所以他們的宗旨是：只要它沒壞就不去修理它!

 

        現(xiàn)在，對他們兩個截然不同的團(tuán)隊來說，真正的困難是越來越多的組織正在意識到合作帶來的巨大好處，甚至開始從安全角度來整合這些團(tuán)隊。

 

        從風(fēng)險管理的角度來看，IT和ICS網(wǎng)絡(luò)的協(xié)作監(jiān)測和分析可以更好地了解異常情況和威脅指標(biāo)(IOC)，以及在事件從一個環(huán)境傳播到另一個環(huán)境，因為很少有OT網(wǎng)絡(luò)是真正意義上的物理隔離之前，就對事件做出更快的響應(yīng)的。而就運營效率而言，這種協(xié)作也為消除人員配置和分析工具冗余提供了機(jī)會。

 

總結(jié)

 

        盡管，地緣政治壓力以及外溢的勒索軟件攻擊等因素已經(jīng)改變了工業(yè)威脅形勢，但是對于公共和私營部門所采取的行為我還是感到萬分鼓舞。很顯然，工業(yè)網(wǎng)絡(luò)安全不會像“ABC”一樣那么簡單;針對大型問題的解決方案也效果有限。但是，隨著更廣泛的安全意識推動安全預(yù)算的重新優(yōu)化，再由預(yù)算推動更大規(guī)模的團(tuán)隊協(xié)作，可以更好地抵御OT網(wǎng)絡(luò)風(fēng)險威脅。這種OT網(wǎng)絡(luò)方面的行動將比以往任何時候都要多得多。也許工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施組織正在努力擺脫“落后幾十年”的形象，對于這一點，時間將會是最好的證明。