企业需要采用基于风险的方法来为未来做好准备,遵循一些方法和步骤可能会有所帮助。研究公司Garner最近发布的一份调查报告显示,首席信息安全官(CISO)的角色正在迅速变化,包括管理安全风险和保护敏感信息。这种转变是由网络物理系统(CPS)的部署推动的,例如医疗设施中使用的楼宇管理系统和物联网(IoT)设备、制造工厂中使用的运营技术(OT)以及石油和天然气行业设备,以及天然气设施、能源和水、交通、采矿和其他关键工业基础设施。由于网络物理系统(CPS)跨越数字世界和物理世界,因此它们是寻求造成重大安全和环境事件以及运营中断的攻击者的主要目标。示例包括针对石化设施安全系统的TRITON攻击、乌克兰电网攻击以及NotPetya和NorskHydro勒索软件攻击。此外,微软去年8月发布的一份调查报告称,它观察到一个由激进国家赞助的威胁组织使用物联网设备作为进入企业网络的入口,他们试图从这些设备提升权限以发起进一步的网络攻击。最近,网络攻击者还被发现破坏了物联网构建的访问控制系统来攻击公司网络。行业分析师估计,全球将很快部署约500亿台物联网设备,从而大大增加攻击面。由于这些嵌入式设备无法受到基于代理的技术的保护,并且通常未打补丁或配置错误,因此首席信息安全官(CISO)需要新的策略来降低物联网安全风险。否则,不难想象监管机构和企业责任律师会迅速认定企业高管疏忽大意,并因未能实施与安全相关的安全控制措施而承担个人责任。减轻网络物理系统(CPS)和物联网风险的五个步骤爱达荷国家实验室(INL)开发了一种解决方案来解决网络物理系统(CPS)和物联网/运营技术风险,即结果驱动的网络信息工程(CCE)。基于这种方法,以下是企业在不久的将来应该优先考虑的五个步骤:(1)保护重要的东西:你不能一直保护一切,但你可以在大多数时候保护重要的东西。因此,优先考虑那些故障会导致重大安全或环境事件或运营中断的功能是关键。通过与企业主、基础架构经理和运营技术人员的对话,确定最需要预先保护的内容。(2)创建数字地图:识别和分类组织中的所有连接资产,无论它们是IT、物联网、楼宇管理系统(BMS)、运营技术还是智能个人设备。这包括了解信息如何在企业网络中移动以及谁接触了设备,包括第三方供应商和具有远程访问连接的维护承包商。(3)阐明最有可能的攻击路径:分析网络中的风险和漏洞,以确定最有可能对企业有价值的资产和流程进行攻击的向量。这可以通过使用自动威胁建模来识别其他入口点来实现,例如社会工程和对网络设施的物理访问。(4)缓解和保护:一旦组织了解了最可能的攻击路径,就应该制定优先的方法来降低风险。这可能包括以下步骤,例如减少全球可访问互联网的入口点数量、使用零信任微分段策略将IoT和OT设备与其他网络隔离,以及修补最可能的攻击路径中存在的关键漏洞。持续的补偿控制围绕着利用持续的网络安全监控和无代理安全来立即识别可疑或未经授权的行为,例如网络摄像头浏览ActiveDirectory。(5)消除IT、运营技术(OT)、物联网和网络物理系统(CPS)之间的孤岛:作为首席信息安全官(CISO),确保企业安全意味着对所有数字安全负责,无论是IT、运营技术(OT)、物联网或网络物理系统(CPS)。创建统一的安全监控和治理需要对人员、流程和技术采取整体方法。技术方面包括将所有IoT/Optech安全警报转发到安全运营中心,并利用现有的安全信息和事件管理(SIEM)、业务流程自动化和响应(SOAR)以及预防机制(防火墙和网络访问控制系统)快速响应物联网和运营技术事件,例如快速隔离已检测为恶意流量来源的物联网设备。积极为未来做准备今天,从激进的国家到网络犯罪分子和黑客,都有强大的动机、决心和能力来肆虐。行业专家一致认为,坚定的网络攻击者最终会找到渗透企业网络的方法,因此更好的策略是部署监控以在攻击链的早期侦察阶段发现他们,以在网络攻击造成重大损害之前减轻网络攻击。.例如,在TRITON对石化工厂安全控制系统的攻击中,工厂控制系统中存在多年的漏洞导致工厂关闭一周。企业董事会和管理团队必须认识到物联网和网络物理系统(CPS)带来的新安全风险,并使用基于风险的方法主动做好准备。
