近20年來,保護(hù)自動化系統(tǒng)(尤其是關(guān)鍵基礎(chǔ)設(shè)施中的自動化系統(tǒng))免受網(wǎng)絡(luò)攻擊,一直是當(dāng)務(wù)之急。很多行業(yè)協(xié)會和組織已經(jīng)制定了相關(guān)標(biāo)準(zhǔn)、實(shí)踐和指南。一些國家的政府機(jī)構(gòu)和國家實(shí)驗(yàn)室,也制定了相關(guān)的框架、指南和法規(guī)。
傳統(tǒng)的自動化公司已經(jīng)對其產(chǎn)品和服務(wù)進(jìn)行了重組,以更加關(guān)注安全性。新的公司則提供技術(shù)和服務(wù)來滿足預(yù)期需求。盡管進(jìn)行了所有這些活動和投資,但很多專家表示,距離確保這些關(guān)鍵系統(tǒng)的安全,我們還有很長的路要走。到底是什么阻礙了我們?
問題的答案,與具體情況一樣多。但是,它們?nèi)杂幸恍┕餐黝}。許多資產(chǎn)所有者發(fā)現(xiàn),如果沒有具體和緊迫風(fēng)險的證據(jù),很難定義改變其安全實(shí)踐的商業(yè)案例。可用的指南集,看起來龐大、令人困惑且可能相互矛盾,其他人可能難以從中進(jìn)行選擇。許多中、小型公司根本沒有必要的員工或?qū)I(yè)知識,來充分滿足對網(wǎng)絡(luò)安全計(jì)劃的需求。
01
通用標(biāo)準(zhǔn)還是行業(yè)特定標(biāo)準(zhǔn)?
其中一個更有趣的討論主題是:標(biāo)準(zhǔn)和指南應(yīng)該是廣泛而通用的,還是應(yīng)針對特定行業(yè)量身定制。多年來,它一直在工業(yè)網(wǎng)絡(luò)安全界引起激烈的爭論?;谛袠I(yè)相似性多于差異性的現(xiàn)狀,應(yīng)制定適用于各個行業(yè)的標(biāo)準(zhǔn)和實(shí)踐,這一主張已經(jīng)引發(fā)了一系列回應(yīng),具體取決于個人的觀點(diǎn)。這里有一個與 Kübler-Ross 模型的有趣類比,也被稱為“悲傷階段”,它描述了與創(chuàng)傷相關(guān)的情緒狀態(tài)的不同階段(圖 1)。
▲圖 1:對共同標(biāo)準(zhǔn)和實(shí)踐的回應(yīng)。
雖然這個模型可能并不完全適合這種情況,但它確實(shí)提供了一個背景和步驟,使討論超越了特定指南的適用性問題,轉(zhuǎn)向降低網(wǎng)絡(luò)風(fēng)險需求。目標(biāo)必須是從可用的指導(dǎo)和實(shí)際案例中獲取最大價值,而不是僅僅因?yàn)檫@些信息來自不同行業(yè)就被忽視。
02
類似的風(fēng)險和后果
行業(yè)之間當(dāng)然存在差異,但與潛在網(wǎng)絡(luò)攻擊或缺陷相關(guān)的風(fēng)險卻相當(dāng)相似。風(fēng)險,通常被定義為威脅、脆弱性和后果的函數(shù),還有對可能性的估計(jì)。為了全面評估行業(yè)和公司之間的相似性,有必要研究每個因素。
對工業(yè)系統(tǒng)的威脅有多種形式,從直接攻擊到利用這些系統(tǒng)的特性及其通過互聯(lián)網(wǎng)的可用性或可訪問性而進(jìn)行的非特定攻擊。雖然許多資產(chǎn)所有者認(rèn)為,他們并不是什么知名的公司,沒人會攻擊他們,但當(dāng)互聯(lián)網(wǎng)上出現(xiàn)惡意軟件時,他們很容易成為附帶受害人。最近勒索軟件攻擊的案例,就非常清楚地說明了這一點(diǎn)。發(fā)布此軟件的人可能并沒有考慮個人目標(biāo),而只是尋找可以利用的漏洞,來加密數(shù)據(jù)并要求為其付費(fèi)。
計(jì)算風(fēng)險的另外一個主要因素是脆弱性。正是在這里,我們看到了不同應(yīng)用之間最大程度的共性。幾乎所有基于計(jì)算機(jī)或自動化系統(tǒng)的行業(yè)都使用來自相同主流供應(yīng)商的產(chǎn)品。近年來,主要供應(yīng)商的數(shù)量有所減少,它們基本上都使用相同的商用現(xiàn)成技術(shù)來生產(chǎn)數(shù)據(jù)庫、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備等組件。這就造成了單一技術(shù),因此自動化解決方案固有的漏洞對所有用戶來講往往都是共同的。
漏洞緩解,要求資產(chǎn)所有者盡快更新或修補(bǔ)其已安裝的系統(tǒng)。在修補(bǔ)不可行甚至不可能的情況下,通常需要采用補(bǔ)償性對策或控制措施來緩解漏洞。案例包括使用各種隔離方法,直至將系統(tǒng)與網(wǎng)絡(luò)斷開連接。工業(yè)防火墻和單向網(wǎng)關(guān)等產(chǎn)品可實(shí)現(xiàn)此功能。
▲圖 2:美國國家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)絡(luò)安全框架 (NISTCSF)已被廣泛接受為表征有效網(wǎng)絡(luò)安全響應(yīng)的通用框架。
在威脅計(jì)算中,最重要的組成部分也許是系統(tǒng)受損的潛在后果。這些后果可能遠(yuǎn)遠(yuǎn)超過自動化系統(tǒng)停機(jī),甚至?xí)?dǎo)致無法查看或控制受控過程。在某些情況下,如果沒有自動化,就很難或不可能安全地操作這些過程,這樣就會依賴自動化安全系統(tǒng),將其移至安全狀態(tài)或?qū)崿F(xiàn)安全停機(jī)。正如最近的事件所表明的那樣,即使是安全系統(tǒng)本身也容易受到網(wǎng)絡(luò)攻擊。
盡管這些后果的細(xì)節(jié)因行業(yè)而異,但它們的性質(zhì)即使不同,通常也是相似的:從損失產(chǎn)品或服務(wù),到爆炸、釋放有毒材料直至設(shè)備損壞。也許最常見的基于潛在后果的行業(yè)分組,是所謂的關(guān)鍵基礎(chǔ)設(shè)施組成部門。
基于上述分析,不同行業(yè)面臨的風(fēng)險似乎比人們想象的更相似,這反過來又會讓人們得出結(jié)論:更多的跨行業(yè)共享可能是有益的。
03
自動化系統(tǒng)的共同挑戰(zhàn)
還有很多因素經(jīng)常限制為工業(yè)系統(tǒng)創(chuàng)建有效的網(wǎng)絡(luò)安全計(jì)劃。這在很多行業(yè)應(yīng)用中都很常見。
標(biāo)準(zhǔn)的復(fù)雜性:通常行業(yè)標(biāo)準(zhǔn)都是使用非常精確的結(jié)構(gòu)和術(shù)語來編寫的,以允許創(chuàng)建合適的一致性規(guī)范。對于那些不是該主題專家的人來說,這種語言晦澀難懂。不幸的是,這意味著對那些試圖在實(shí)際情況中應(yīng)用這些文件的人來講,這些文件令人生畏,甚至難以理解。這反過來會影響接受和采用程度。很明顯單憑標(biāo)準(zhǔn)本身,不足以促進(jìn)采用經(jīng)過驗(yàn)證的有效做法。
缺乏實(shí)際案例:盡管標(biāo)準(zhǔn)通常記錄已被接受的工程實(shí)踐,但它們也是收集案例研究和用例的起點(diǎn)。案例研究描述特定應(yīng)用的方法和結(jié)果;而用例則側(cè)重于主題的特定方面。在這兩種情況下,重要的是要識別和描述構(gòu)成有效響應(yīng)基礎(chǔ)的共同原則和基本概念,而不管所涉及的是哪個行業(yè)。
不幸的是在自動化系統(tǒng)中,通常很難找到實(shí)用且具有代表性的案例研究。資產(chǎn)所有者可能不愿分享他們認(rèn)為是專有或其它敏感的信息,或者他們可能只是沒有時間和資源來準(zhǔn)備和發(fā)布此類文件。最常見的情況是供應(yīng)商發(fā)布案例研究,其中大部分識別信息被編輯,但這些可能被視為特定產(chǎn)品和解決方案的隱晦廣告。
需要工作流程指導(dǎo):有一種特定類型的指南,似乎有特別高的需求。資產(chǎn)所有者和其它希望建立有效網(wǎng)絡(luò)安全計(jì)劃的人,非常希望了解他們的同行是如何將此類計(jì)劃整合到正常工作流程中的。有充分的證據(jù)和經(jīng)驗(yàn)表明,使用項(xiàng)目來實(shí)現(xiàn)網(wǎng)絡(luò)安全的方法,長期來看是不可持續(xù)的。就像其它安全策略一樣,網(wǎng)絡(luò)安全必須成為正常流程和程序的一個組成部分。
多重能力:還有一個問題是需要哪些技能或能力來充分應(yīng)對網(wǎng)絡(luò)安全風(fēng)險。顯而易見的需求包括:管理和保護(hù)信息,以及信息所在的系統(tǒng)和網(wǎng)絡(luò)方面的專業(yè)知識。但在處理自動化系統(tǒng)時,這些還不夠。還必須徹底了解受控過程以及用于影響控制的策略和邏輯。這種專業(yè)知識只能從自動化和類似的工程專業(yè)中獲得。信息、系統(tǒng)和網(wǎng)絡(luò)安全與工程專業(yè)知識的結(jié)合,是全面解決問題所必需的。
到目前為止,風(fēng)險的威脅和脆弱性對每個企業(yè)來說基本相同,雖然詳細(xì)后果可能有所不同,但對于被認(rèn)為是關(guān)鍵基礎(chǔ)設(shè)施一部分的部門,潛在影響非常相似。那些試圖有效應(yīng)對網(wǎng)絡(luò)風(fēng)險的人所面臨的挑戰(zhàn)也大致相同。此外,通過更多地分享實(shí)踐和經(jīng)驗(yàn),也可以更有效地應(yīng)對絕大部分挑戰(zhàn)。
04
應(yīng)對措施的要素
鑒于行業(yè)之間存在如此多的共性,很明顯,更多的合作將有助于解決改善操作系統(tǒng)網(wǎng)絡(luò)安全的需求。這種合作應(yīng)包括幾個基本的要素:
背景信息:首先,必須有共同背景信息,用其來確定響應(yīng)的組成部分,并建立彼此之間的關(guān)系。
概念和術(shù)語:必須有一套共同的概念和術(shù)語,跨行業(yè)和跨專業(yè)的有效協(xié)作和合作才有可能。盡管對于自動化行業(yè)中的功能元素以及網(wǎng)絡(luò)和安全專業(yè)中的系統(tǒng)元素已經(jīng)存在,但當(dāng)各專業(yè)必須協(xié)同工作時,有時會遇到困難。隨著他們彼此之間變得更熟悉,這種情況正在改善。
規(guī)范性要求:只有對期望的未來狀態(tài)有清晰明確的描述,才能做出有效的響應(yīng)。通常,這以一組規(guī)范性要求和相關(guān)補(bǔ)充指南的形式出現(xiàn)。重要的是,這些要求僅限于定義要做什么,而不對如何實(shí)現(xiàn)做出假設(shè)或斷言。
推薦實(shí)踐:要求(即使附有支持或解釋性的理由)也是是不夠的,因?yàn)樗鼈兘?jīng)常以允許定義一致性標(biāo)準(zhǔn)的形式使用廣義或通用術(shù)語。推薦的做法是遵循這些要求,并使用更適合特定環(huán)境的術(shù)語來重新定義。因此,可能存在基于單一標(biāo)準(zhǔn)的多種實(shí)踐,每種實(shí)踐都針對特定場景。
案例研究和用例:對于系統(tǒng)集成商和資產(chǎn)所有者來說,這可能是最有用的資源,因?yàn)樗鼈兠枋隽嗽谙惹暗墓r下哪些是有效的,哪些是無效的。
在創(chuàng)建、審查和共享上述資源時,所有相關(guān)專業(yè)和利益相關(guān)者都必須參與其中。供應(yīng)商必須與系統(tǒng)集成商、資產(chǎn)所有者和服務(wù)提供商密切合作,以應(yīng)對生命周期各個階段的活動:從規(guī)范和開發(fā)到實(shí)施、運(yùn)營和支持。利用所有相關(guān)和受影響專業(yè)的專業(yè)知識也很重要。例如,自動化系統(tǒng)的風(fēng)險評估,必須包括熟悉底層流程和可能后果的工程師和運(yùn)行人員的輸入。
上述大部分內(nèi)容已經(jīng)存在,盡管來源不唯一。這可能會導(dǎo)致需求信息的人缺乏意識和理解。需要更多的合作才能將各個部分組合在一起,并提供全方位的必要指導(dǎo)。此外,還需要提高對現(xiàn)成資源的認(rèn)識和了解。
美國國家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)絡(luò)安全框架 (NIST CSF) 已推出數(shù)年。盡管它是美國推出的,但它也反映了世界其它地區(qū)的貢獻(xiàn),并已被廣泛接受為表征有效網(wǎng)絡(luò)安全響應(yīng)的一般框架。此外,NIST 還發(fā)布了符合制造業(yè)目標(biāo)和行業(yè)最佳實(shí)踐的網(wǎng)絡(luò)安全框架制造配置文件的實(shí)施指南。
一些組織以各種形式處理了工業(yè)網(wǎng)絡(luò)安全概念、模型和術(shù)語;然而,ISA 和 IEC 聯(lián)合開發(fā)了可以說是該領(lǐng)域最全面的標(biāo)準(zhǔn)集。ISA/IEC 62443 標(biāo)準(zhǔn)不是針對某個行業(yè),而是基于活動、資產(chǎn)和后果標(biāo)準(zhǔn)的組合來定義其范圍(圖 3)。
▲ISA/IEC 62443 范圍標(biāo)準(zhǔn)。
ISA/IEC 62443標(biāo)準(zhǔn)的優(yōu)勢在于:這些標(biāo)準(zhǔn)不受特定行業(yè)或部門的約束或限制。雖然最初是針對過程工業(yè)開發(fā)的,但它們已成功應(yīng)用于軌道交通和采礦等行業(yè)。開發(fā)這些應(yīng)用最常見的方法,涉及在相關(guān)行業(yè)背景下解釋概念和要求,并將這種解釋用作更集中的推薦實(shí)踐的基礎(chǔ)。
網(wǎng)絡(luò)安全風(fēng)險在各個行業(yè)都很常見,尤其是在自動化系統(tǒng)中。對這種風(fēng)險的有效應(yīng)對應(yīng)當(dāng)是建立在多學(xué)科知識基礎(chǔ)上的。意識到挑戰(zhàn),并在解決方案上進(jìn)行合作,是確保當(dāng)前和未來關(guān)鍵資產(chǎn)安全的有效方式。