今日頭條
官方微信
官方抖音
資訊頻道前言:在新奧爾良召開的(ISC)2安全大會上,安全專家開始討論工業(yè)控制系統(tǒng)連接到云和物聯(lián)網(wǎng)所需面對的安全問題。
埃森哲高級ICS經(jīng)理Graham Speake在本周于新奧爾良舉行的(ISC)2安全大會上發(fā)表演講時說,物聯(lián)網(wǎng)正在發(fā)展,現(xiàn)在正在進入工業(yè)領(lǐng)域。因此,安全專業(yè)人員必須考慮保護其系統(tǒng)處理的數(shù)據(jù)。
“有些行業(yè)信息化發(fā)展有點慢,”他解釋說,并指出以石油和天然氣行業(yè)為例。Speake說,如果你在六到七年前告訴那些公司,他們會將數(shù)據(jù)發(fā)送到云端,他們會對此表示懷疑。但現(xiàn)在,情況不同了,工業(yè)互聯(lián)網(wǎng)正在迎頭趕上。
他繼續(xù)說,聯(lián)網(wǎng)設(shè)備的數(shù)量每年都在增加10%,預計到2020年全球?qū)碛?00多億臺設(shè)備。雖然許多聯(lián)網(wǎng)設(shè)備將用于個人,但在工業(yè)領(lǐng)域,將會有越來越多的設(shè)備與云連接,更多的員工使用可穿戴設(shè)備,這既是為了提高生產(chǎn)率,也是為了安全。
例如,Speake描述了通過員工佩戴的設(shè)備跟蹤其活動路徑,以便控制室人員可以監(jiān)控他們的位置。如果有人暫時沒有移動,那可能表明他們遇到了問題。如果進行疏散,系統(tǒng)可以確定是否有人處于危險境地。
他說:“在一個大型煉油廠,或一個大型工廠,很難清晰地定位某個人的具體位置,許多行業(yè)(以化工行業(yè)為例),越來越多地將機器人技術(shù)應(yīng)用到企業(yè)生產(chǎn)當中,作為提高生產(chǎn)效率的手段。
然而,工業(yè)控制系統(tǒng)與其他網(wǎng)絡(luò)的連接產(chǎn)生了新的安全問題。例如,在工業(yè)領(lǐng)域,某些組件的使用壽命為5到30年并不罕見 - 遠遠超過一般設(shè)備的使用壽命。控制這些設(shè)備的軟件更新部署緩慢,這些脆弱的設(shè)備連接到其他網(wǎng)絡(luò),使工控系統(tǒng)的脆弱性完全暴露。
Dragos威脅運營中心主任本米勒(Ben Miller)在演講中闡述了工控系統(tǒng)如何應(yīng)對入侵。
“ICS安全的關(guān)注度并不高,一般企業(yè)中,通常是由一個負責安全的工程師,或者是一個負責控制系統(tǒng)網(wǎng)絡(luò)的安全人員來進行ICS安全管理。”他指出,這兩種方法都不可能完全有效,因為培養(yǎng)具備ICS安全技能的人員需要數(shù)年時間。”
這是工業(yè)組織面臨的三大挑戰(zhàn)之一。另一個原因是缺乏對ICS環(huán)境的可見性,并且缺乏在工業(yè)環(huán)境中使用IT工具的相關(guān)技能。然而,最大的障礙是威脅。
米勒說,我們還不清楚工業(yè)環(huán)境中的威脅情況。我們大部分關(guān)于工控系統(tǒng)的知識都是聽別人講述的;企業(yè)并沒有建立 ICS威脅相關(guān)的數(shù)據(jù)。缺乏這些安全威脅數(shù)據(jù)使安全成為一項挑戰(zhàn):如果你不知道安全防護目標是什么,就無法分配資源保護這些系統(tǒng)。
Speake強調(diào)說,企業(yè)必須綜合考慮工控領(lǐng)域既有的安全威脅,又要在使用原有系統(tǒng)和系統(tǒng)上云之間做出選擇。
以殺毒軟件為例:“它確實有效,但它不會阻止一切。防火墻也是如此。公司通常有這樣一種心態(tài)——如果我們只是把東西向數(shù)據(jù)流連接到防火墻,會起到安全防護作用,但防火墻也存在很多問題,也就是說,即使配置了防火墻,也會存在安全問題。” Speake說。
密碼安全是另一個例子,在IT部門中,管理員提倡設(shè)置復雜的密碼并經(jīng)常更改它們。管理工業(yè)控制系統(tǒng)ICS的員工通常不使用密碼,因為他們知道誰在使用它們,并且認為自己的系統(tǒng)是安全的,不會受到外界的攻擊。
供應(yīng)商之間也缺乏產(chǎn)品測試和安全培訓,因為它們優(yōu)先考慮的是運行速度。
他補充道:“在這個領(lǐng)域,我們更感興趣的是將產(chǎn)品推向市場,而不是試圖建立安全和彈性。“供應(yīng)商的問題是,他們不培訓安全人員”。雖然有些人開始這樣做,但他指出,“這已經(jīng)晚了幾年。”
Speake建議從一開始就建立安全體系,這樣系統(tǒng)就會受到默認保護。這意味著不僅要測試設(shè)備,還要評估通信的可靠性。如果你必須要求一定程度的安全性,并威脅說如果不提供,就要更換供應(yīng)商。
采購文件應(yīng)該明確提出某種級別安全需求,供應(yīng)商如果不能滿足安全需求,就需要尋找其它有能力滿足安全需求的供應(yīng)商。
來源: e安在線
北京市公安局海淀分局備案號:11010802023656號