前言:在新奧爾良召開的(ISC)2安全大會上,安全專家開始討論工業控制系統連接到云和物聯網所需面對的安全問題。
埃森哲高級ICS經理Graham Speake在本周于新奧爾良舉行的(ISC)2安全大會上發表演講時說,物聯網正在發展,現在正在進入工業領域。因此,安全專業人員必須考慮保護其系統處理的數據。
“有些行業信息化發展有點慢,”他解釋說,并指出以石油和天然氣行業為例。Speake說,如果你在六到七年前告訴那些公司,他們會將數據發送到云端,他們會對此表示懷疑。但現在,情況不同了,工業互聯網正在迎頭趕上。
他繼續說,聯網設備的數量每年都在增加10%,預計到2020年全球將擁有200多億臺設備。雖然許多聯網設備將用于個人,但在工業領域,將會有越來越多的設備與云連接,更多的員工使用可穿戴設備,這既是為了提高生產率,也是為了安全。
例如,Speake描述了通過員工佩戴的設備跟蹤其活動路徑,以便控制室人員可以監控他們的位置。如果有人暫時沒有移動,那可能表明他們遇到了問題。如果進行疏散,系統可以確定是否有人處于危險境地。
他說:“在一個大型煉油廠,或一個大型工廠,很難清晰地定位某個人的具體位置,許多行業(以化工行業為例),越來越多地將機器人技術應用到企業生產當中,作為提高生產效率的手段。
然而,工業控制系統與其他網絡的連接產生了新的安全問題。例如,在工業領域,某些組件的使用壽命為5到30年并不罕見 - 遠遠超過一般設備的使用壽命。控制這些設備的軟件更新部署緩慢,這些脆弱的設備連接到其他網絡,使工控系統的脆弱性完全暴露。
Dragos威脅運營中心主任本米勒(Ben Miller)在演講中闡述了工控系統如何應對入侵。
“ICS安全的關注度并不高,一般企業中,通常是由一個負責安全的工程師,或者是一個負責控制系統網絡的安全人員來進行ICS安全管理。”他指出,這兩種方法都不可能完全有效,因為培養具備ICS安全技能的人員需要數年時間。”
這是工業組織面臨的三大挑戰之一。另一個原因是缺乏對ICS環境的可見性,并且缺乏在工業環境中使用IT工具的相關技能。然而,最大的障礙是威脅。
米勒說,我們還不清楚工業環境中的威脅情況。我們大部分關于工控系統的知識都是聽別人講述的;企業并沒有建立 ICS威脅相關的數據。缺乏這些安全威脅數據使安全成為一項挑戰:如果你不知道安全防護目標是什么,就無法分配資源保護這些系統。
Speake強調說,企業必須綜合考慮工控領域既有的安全威脅,又要在使用原有系統和系統上云之間做出選擇。
以殺毒軟件為例:“它確實有效,但它不會阻止一切。防火墻也是如此。公司通常有這樣一種心態——如果我們只是把東西向數據流連接到防火墻,會起到安全防護作用,但防火墻也存在很多問題,也就是說,即使配置了防火墻,也會存在安全問題。” Speake說。
密碼安全是另一個例子,在IT部門中,管理員提倡設置復雜的密碼并經常更改它們。管理工業控制系統ICS的員工通常不使用密碼,因為他們知道誰在使用它們,并且認為自己的系統是安全的,不會受到外界的攻擊。
供應商之間也缺乏產品測試和安全培訓,因為它們優先考慮的是運行速度。
他補充道:“在這個領域,我們更感興趣的是將產品推向市場,而不是試圖建立安全和彈性。“供應商的問題是,他們不培訓安全人員”。雖然有些人開始這樣做,但他指出,“這已經晚了幾年。”
Speake建議從一開始就建立安全體系,這樣系統就會受到默認保護。這意味著不僅要測試設備,還要評估通信的可靠性。如果你必須要求一定程度的安全性,并威脅說如果不提供,就要更換供應商。
采購文件應該明確提出某種級別安全需求,供應商如果不能滿足安全需求,就需要尋找其它有能力滿足安全需求的供應商。
來源: e安在線
