觉得过去10年的IT网络安全世界很糟糕?那是你还没认识到更令人绝望的深层因素。被盗知识产权损失达数十亿,OPM之类的大规模情报泄露频发,亿万身份失窃——网络空间失败案例多如繁星。尽管如此,从安全控制角度出发,依然有着明显的重大进展。无数创新——人力财力的巨大投入、产业/次产业的诞生和发展、对新兴威胁的响应能力(尽管不能预见),描绘出了损失背后蕴藏的大量积极因素。重点在于,为什么我们当前拥有一个约2000个安全解决方案的市场。而其市场价值就是另一个讨论话题了。
关键基础设施/工业控制系统(ICS)这一安全细分领域,虽然围绕噩梦般的网络攻击场景和后果有近20年的讨论,过去10年却可被标记为“信息安全缺失的10年”。
可以说,在网络安全准备度上,我们现在也没比10年前好多少。随着威胁态势明显日渐活跃和危险,这种形势简直让人夜不能寐。威胁场景讨论正演变为现实,然而我们却尚未准备好应对即将到来的威胁。
令人振奋的是,过去2年中,尤其是刚刚过去的这几个月,我们见证了ICS安全意识和优先级的快速上升。业内新初创公司的涌现,对老牌安全公司的新关注,CISO与董事间讨论层次的上升,吹散了安全领域的一丝阴霾。而令人沮丧的是,上述所有,都是网络空间里不断增多满溢的针对性攻击的结果。
一、我们错在哪儿了?
1. 没能弥合IT与ICS(工程)人员之间的距离
这两种团队背景不同,任务不同,看待世界的角度也完全不同。ICS做出的每一个决策都以安全和正常运行时间为核心考虑,他们对有所影响的安全控制的引入零容忍。即便是补丁修复这么基础的概念,在他们看来也是有问题的,因为会给生产带来停机时间。
这些团队在相互协作上已有大幅进步,但ICS专用解决方案的缺乏,那种不破坏正常运行和安全,并对两种团队都有明显价值的解决方案的缺乏,造成了大多数情况下的闭关自守政策。“我管着车间,我得保持生产运行。我要保证不出故障,不引发我们团队或公众的安全顾虑。你不能在我网络里部署那个,绝对不行。”
2. 沦为规定指令/标准必须被实现的受害者
关注ICS安全很好;发展NERC CIP之类规定,强制该领域安全控制也很好。但是,虽然IEC 62443这样的标准很好地描绘了“可以”被应用的控制措施,实际运营这些网络的人就知道,规范不是那么容易实施的。理论上实现规范是正确的事,但只要考虑到业务需求,这些建议中很多都不现实。而且,基本上所有标准/合规类体系中,原本应该是地板的东西,往往最终会成为天花板。
3. 试图将IT安全“方钉”强行塞进ICS网络的“圆孔”中
IT安全工具部署为脆弱的ICS网络设计的。主动扫描、主动查询和其他“标准IT工具”都会让PLC崩溃,会中断正常运行,会导致严重问题。现实世界里我们所知的一个例子,就是近期某广泛应用的网络扫描工具,导致了停电。
4. 因为“攻击只是理论上而非即将发生”就推迟安全投入
逻辑上,过去10年的网络安全预算都投入到了损失正在发生的领域。不知道谁在你的网络内部?完整数据包捕获和取证工具。处理百万终端解决方案?SIEM和编配工具。深受鱼叉式网络钓鱼之苦?高级终端解决方案等等。这很合乎逻辑,而且你也不能真埋怨人们这么投资。然而,这种救火队员式的网络威胁处理方式,导致了严重资金不足的ICS安全项目。这种短视行为很快就会让我们自食恶果。我们已经讨论了20年的理论上的攻击,正在一一显现,比如震网、2015和2016年末的乌克兰大断电,WannaCry和Petya/NotPetya勒索软件大蔓延。
5. 相信“物理隔离”网络从来就不现实/会影响业务和效率需求
“我们会设计网络,让它不能从外部访问/不与IT网络互通。”一度听起来不错,但业务需求彻底破除了“物理隔离”ICS网络的概念。维护要求,与供应链的连接,远程分析,从上到下的KPI管理,驱动预测分析的渴望——所有这些需求都让“物理隔离”像恐龙一样走向了衰亡。如今,物理隔离与独角兽有一个共同点——他们都不存在。
6. 难以实现,难以消费,难以维护前代ICS专用解决方案
过去的时光中出现过一些ICS专用网络安全解决方案,虽有前景却未获得主流关注。实现上的困难(比如在每块PLC前安个防火墙),消费上的困难(大规模安装工程,大量前端配置时间),以及难控制/不现实的维护需求,让这些前景都烟消云散了。它们仅仅是没能理解ICS消费者的特殊需求。
二、跨越ICS信息安全那缺失的10年
我们失去了10年时间,而现在威胁已在敲门。我们显然没有时间像IT安全过去10年做的那样从分层/深度防御策略做起。那缓慢的进化过程不会有用——我们需要革命。
于是,老实说,现在,我们可以采取什么行动,来实现ICS安全跨越式发展呢?
首先,我们得停止“研究”该问题。最近发布的总统行政命令号召审查关键基础设施网络安全准备度,于是我们研究、分析、审查了全球无数建议。现在我们需要来自政府、董事会、CIO/CISO、ICS拥有者/运营者、安全厂商和ICS设备制造商,对我们所面临问题的关注与投入。
我们需要一个能带来最大收益和最快安全准备度成长的基准体系结构。一个简单而快速(比如几个月而不是几年)的实现框架——重点放在风险评估、实时监视、高风险漏洞管理、威胁情报、高级终端防护和快速响应上。
与两三年前不同,今天的技术可被ICS和安全团队接受。作为利益相关者,我们需停止讨论,着手行动。威胁很现实,且即将到来。
原文发布时间为:2017-11-08
本文作者:佚名
本文来自云栖社区合作伙伴51CTO,了解相关信息可以关注51CTO。
