評(píng)估工業(yè)安全風(fēng)險(xiǎn)為什么這么難？

6月21日訊 網(wǎng)絡(luò)威脅影響日益引起政企事業(yè)單位甚至個(gè)人的關(guān)注和重視，確保工業(yè)控制系統(tǒng)（ICS）安全從未像如今這般緊迫。

缺乏自動(dòng)化管理難以全面評(píng)估真實(shí)風(fēng)險(xiǎn)

英國(guó)制造商組織 EEF 和 美國(guó)國(guó)際集團(tuán)AIG（美國(guó)國(guó)際性跨過(guò)保險(xiǎn)金融服務(wù)機(jī)構(gòu)）最近聯(lián)合發(fā)布的一份制造商網(wǎng)絡(luò)安全報(bào)告顯示，41%的企業(yè)認(rèn)為其未獲得足夠的信息和建議來(lái)評(píng)估真實(shí)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。原因在于許多 ICS 網(wǎng)絡(luò)缺乏一項(xiàng)重要的安全功能，即自動(dòng)化資產(chǎn)管理。

自動(dòng)化資產(chǎn)管理的優(yōu)勢(shì)有哪些？

企業(yè) ICS 網(wǎng)絡(luò)缺乏自動(dòng)化資產(chǎn)管理這一點(diǎn)并不令人意外，因?yàn)?ICS 系統(tǒng)是在幾十年前設(shè)計(jì)并實(shí)現(xiàn)的，當(dāng)時(shí)的人根本想象不到如今互聯(lián)網(wǎng)科技這么繁榮，網(wǎng)絡(luò)犯罪活動(dòng)也沒(méi)有出現(xiàn)過(guò)，并且這些系統(tǒng)與網(wǎng)絡(luò)的其它部分是隔離的。

若缺乏準(zhǔn)確的最新 ICS 資產(chǎn)清單（包括負(fù)責(zé)管理物理過(guò)程的自動(dòng)化控制器），幾乎不可能評(píng)估風(fēng)險(xiǎn)并應(yīng)用有效的防御措施。自動(dòng)化資產(chǎn)管理對(duì)于運(yùn)營(yíng)可靠性和安全性至關(guān)重要，因?yàn)樗勺尮芾砣藛T跟蹤對(duì)設(shè)備的更改變化，優(yōu)先考慮威脅緩解工作，將錯(cuò)誤配置的設(shè)備恢復(fù)到“已知的良好”狀態(tài)，并規(guī)劃維護(hù)和替換安排。

消除人為錯(cuò)誤、節(jié)約時(shí)間

使用手動(dòng)流程管理資產(chǎn)既費(fèi)時(shí)，還容易出現(xiàn)人為出錯(cuò)，從而造成信息缺失、過(guò)期或出現(xiàn)錯(cuò)誤。

此外，手動(dòng)流程無(wú)法準(zhǔn)確有效地處理持續(xù)進(jìn)入網(wǎng)絡(luò)的新資產(chǎn)，而不準(zhǔn)確的數(shù)據(jù)會(huì)引發(fā)安全缺陷和漏洞，可被網(wǎng)絡(luò)犯罪分子輕易利用實(shí)施入侵。

確保資產(chǎn)清單完整且準(zhǔn)確的唯一方法是，將持續(xù)的發(fā)現(xiàn)過(guò)程自動(dòng)化。自動(dòng)化可提高效率，并將繁瑣任務(wù)簡(jiǎn)單化，例如編譯和維護(hù)電子表格。通過(guò)自動(dòng)化解決方案，工程師可將時(shí)間和知識(shí)投入到更重要的任務(wù)當(dāng)中。

劃分關(guān)鍵資產(chǎn)，簡(jiǎn)化合規(guī)性監(jiān)管

如今對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊逐漸增多，美國(guó)已制定新的標(biāo)準(zhǔn)和法規(guī)，按照規(guī)定，相關(guān)方必須部署基本的網(wǎng)絡(luò)安全措施，以最大限度地降低關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)，確保公共安全和運(yùn)營(yíng)連續(xù)性。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）制定的網(wǎng)絡(luò)安全框架提供了一套工業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，以幫助組織機(jī)構(gòu)管理并降低關(guān)鍵基礎(chǔ)設(shè)施及 ICS 的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。為了全面了解關(guān)鍵控制資產(chǎn)及其相關(guān)活動(dòng)，NIST 要求組織機(jī)構(gòu)采用資產(chǎn)管理功能，以便識(shí)別、盤(pán)點(diǎn)和管理所有物理設(shè)備和系統(tǒng)。

北美電力可靠性公司關(guān)鍵基礎(chǔ)設(shè)施保護(hù)（NERC CIP）標(biāo)準(zhǔn)提出一系列要求，旨在確保北美電力系統(tǒng)運(yùn)作所需資產(chǎn)的安全性。NIST 網(wǎng)絡(luò)安全框架和 NERC CIP 均要求確定關(guān)鍵資產(chǎn)和關(guān)鍵網(wǎng)絡(luò)資產(chǎn)。

滿足 NIST 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、NERC CIP 以及全球類似法規(guī)的合規(guī)性，組織機(jī)構(gòu)須采用部署有效的自動(dòng)化資產(chǎn)發(fā)現(xiàn)措施，并持續(xù)管理資產(chǎn)清單。

確定優(yōu)先級(jí)、提升效率

自動(dòng)化資產(chǎn)發(fā)現(xiàn)與管理對(duì)滿足 ICS 網(wǎng)絡(luò)的安全性至關(guān)重要，但大部分組織機(jī)構(gòu)卻不清楚工廠的設(shè)備。典型的 ICS 網(wǎng)絡(luò)包含不同廠商（例如 GE、羅克韋爾自動(dòng)化、西門(mén)子、施耐德電氣）的各種控制器，包括 PLC（可編程邏輯控制器）、RTU（遠(yuǎn)程終端單元）或DCS（集散控制系統(tǒng)）控制器。

要構(gòu)建有效的安全策略，組織機(jī)構(gòu)需了解網(wǎng)絡(luò)中每項(xiàng)資產(chǎn)的制造商、型號(hào)、固件版本、最新補(bǔ)丁和當(dāng)前配置。這項(xiàng)工作相當(dāng)繁重且乏味。

自動(dòng)化資產(chǎn)發(fā)現(xiàn)和管理系統(tǒng)可幫助組織機(jī)構(gòu)優(yōu)先處理需要升級(jí)、維護(hù)和其它操作計(jì)劃的資產(chǎn)，例如識(shí)別最新發(fā)布的漏洞影響的設(shè)備。這些信息可幫助組織機(jī)構(gòu)優(yōu)先修復(fù)最嚴(yán)重的漏洞。

確保運(yùn)營(yíng)連續(xù)性

如果因網(wǎng)絡(luò)攻擊或人為錯(cuò)誤引起故障，組織機(jī)構(gòu)應(yīng)將受影響的設(shè)備恢復(fù)到“已知的良好”狀態(tài)，以最大限度減少故障影響。若要快速恢復(fù)設(shè)備，組織機(jī)構(gòu)有必要掌握設(shè)備相關(guān)的準(zhǔn)確的最新信息，包括完整的更改歷史記錄，以便了解何時(shí)發(fā)生何種情況以及誰(shuí)可能負(fù)有責(zé)任等問(wèn)題。

自動(dòng)化資產(chǎn)清單可提供恢復(fù)設(shè)備所需的大量歷史信息，便于組織機(jī)構(gòu)更快速地從網(wǎng)絡(luò)攻擊和未經(jīng)授權(quán)的設(shè)備更改中恢復(fù)過(guò)來(lái)，從而最大限度地降低運(yùn)營(yíng)和安全影響。

資產(chǎn)管理在綜合工業(yè)網(wǎng)絡(luò)安全計(jì)劃中扮演著至關(guān)重要的角色，組織機(jī)構(gòu)不夠充分了解情況，很可能失去抵御網(wǎng)絡(luò)攻擊的先機(jī)。