今日頭條
官方微信
官方抖音
資訊頻道前言:在新奧爾良召開的(ISC)2安全大會(huì)上,安全專家開始討論工業(yè)控制系統(tǒng)連接到云和物聯(lián)網(wǎng)所需面對(duì)的安全問題。
埃森哲高級(jí)ICS經(jīng)理Graham Speake在本周于新奧爾良舉行的(ISC)2安全大會(huì)上發(fā)表演講時(shí)說,物聯(lián)網(wǎng)正在發(fā)展,現(xiàn)在正在進(jìn)入工業(yè)領(lǐng)域。因此,安全專業(yè)人員必須考慮保護(hù)其系統(tǒng)處理的數(shù)據(jù)。
“有些行業(yè)信息化發(fā)展有點(diǎn)慢,”他解釋說,并指出以石油和天然氣行業(yè)為例。Speake說,如果你在六到七年前告訴那些公司,他們會(huì)將數(shù)據(jù)發(fā)送到云端,他們會(huì)對(duì)此表示懷疑。但現(xiàn)在,情況不同了,工業(yè)互聯(lián)網(wǎng)正在迎頭趕上。
他繼續(xù)說,聯(lián)網(wǎng)設(shè)備的數(shù)量每年都在增加10%,預(yù)計(jì)到2020年全球?qū)碛?00多億臺(tái)設(shè)備。雖然許多聯(lián)網(wǎng)設(shè)備將用于個(gè)人,但在工業(yè)領(lǐng)域,將會(huì)有越來越多的設(shè)備與云連接,更多的員工使用可穿戴設(shè)備,這既是為了提高生產(chǎn)率,也是為了安全。
例如,Speake描述了通過員工佩戴的設(shè)備跟蹤其活動(dòng)路徑,以便控制室人員可以監(jiān)控他們的位置。如果有人暫時(shí)沒有移動(dòng),那可能表明他們遇到了問題。如果進(jìn)行疏散,系統(tǒng)可以確定是否有人處于危險(xiǎn)境地。
他說:“在一個(gè)大型煉油廠,或一個(gè)大型工廠,很難清晰地定位某個(gè)人的具體位置,許多行業(yè)(以化工行業(yè)為例),越來越多地將機(jī)器人技術(shù)應(yīng)用到企業(yè)生產(chǎn)當(dāng)中,作為提高生產(chǎn)效率的手段。
然而,工業(yè)控制系統(tǒng)與其他網(wǎng)絡(luò)的連接產(chǎn)生了新的安全問題。例如,在工業(yè)領(lǐng)域,某些組件的使用壽命為5到30年并不罕見 - 遠(yuǎn)遠(yuǎn)超過一般設(shè)備的使用壽命。控制這些設(shè)備的軟件更新部署緩慢,這些脆弱的設(shè)備連接到其他網(wǎng)絡(luò),使工控系統(tǒng)的脆弱性完全暴露。
Dragos威脅運(yùn)營(yíng)中心主任本米勒(Ben Miller)在演講中闡述了工控系統(tǒng)如何應(yīng)對(duì)入侵。
“ICS安全的關(guān)注度并不高,一般企業(yè)中,通常是由一個(gè)負(fù)責(zé)安全的工程師,或者是一個(gè)負(fù)責(zé)控制系統(tǒng)網(wǎng)絡(luò)的安全人員來進(jìn)行ICS安全管理。”他指出,這兩種方法都不可能完全有效,因?yàn)榕囵B(yǎng)具備ICS安全技能的人員需要數(shù)年時(shí)間。”
這是工業(yè)組織面臨的三大挑戰(zhàn)之一。另一個(gè)原因是缺乏對(duì)ICS環(huán)境的可見性,并且缺乏在工業(yè)環(huán)境中使用IT工具的相關(guān)技能。然而,最大的障礙是威脅。
米勒說,我們還不清楚工業(yè)環(huán)境中的威脅情況。我們大部分關(guān)于工控系統(tǒng)的知識(shí)都是聽別人講述的;企業(yè)并沒有建立 ICS威脅相關(guān)的數(shù)據(jù)。缺乏這些安全威脅數(shù)據(jù)使安全成為一項(xiàng)挑戰(zhàn):如果你不知道安全防護(hù)目標(biāo)是什么,就無法分配資源保護(hù)這些系統(tǒng)。
Speake強(qiáng)調(diào)說,企業(yè)必須綜合考慮工控領(lǐng)域既有的安全威脅,又要在使用原有系統(tǒng)和系統(tǒng)上云之間做出選擇。
以殺毒軟件為例:“它確實(shí)有效,但它不會(huì)阻止一切。防火墻也是如此。公司通常有這樣一種心態(tài)——如果我們只是把東西向數(shù)據(jù)流連接到防火墻,會(huì)起到安全防護(hù)作用,但防火墻也存在很多問題,也就是說,即使配置了防火墻,也會(huì)存在安全問題。” Speake說。
密碼安全是另一個(gè)例子,在IT部門中,管理員提倡設(shè)置復(fù)雜的密碼并經(jīng)常更改它們。管理工業(yè)控制系統(tǒng)ICS的員工通常不使用密碼,因?yàn)樗麄冎勒l在使用它們,并且認(rèn)為自己的系統(tǒng)是安全的,不會(huì)受到外界的攻擊。
供應(yīng)商之間也缺乏產(chǎn)品測(cè)試和安全培訓(xùn),因?yàn)樗鼈儍?yōu)先考慮的是運(yùn)行速度。
他補(bǔ)充道:“在這個(gè)領(lǐng)域,我們更感興趣的是將產(chǎn)品推向市場(chǎng),而不是試圖建立安全和彈性。“供應(yīng)商的問題是,他們不培訓(xùn)安全人員”。雖然有些人開始這樣做,但他指出,“這已經(jīng)晚了幾年。”
Speake建議從一開始就建立安全體系,這樣系統(tǒng)就會(huì)受到默認(rèn)保護(hù)。這意味著不僅要測(cè)試設(shè)備,還要評(píng)估通信的可靠性。如果你必須要求一定程度的安全性,并威脅說如果不提供,就要更換供應(yīng)商。
采購(gòu)文件應(yīng)該明確提出某種級(jí)別安全需求,供應(yīng)商如果不能滿足安全需求,就需要尋找其它有能力滿足安全需求的供應(yīng)商。
來源: e安在線
北京市公安局海淀分局備案號(hào):11010802023656號(hào)