跨越工控安全缺失的十年
覺得過去10年的IT網絡安全世界很糟糕?那是你還沒認識到更令人絕望的深層因素。被盜知識產權損失達數十億,OPM之類的大規模情報泄露頻發,億萬身份失竊——網絡空間失敗案例多如繁星。盡管如此,從安全控制角度出發,依然有著明顯的重大進展。無數創新——人力財力的巨大投入、產業/次產業的誕生和發展、對新興威脅的響應能力(盡管不能預見),描繪出了損失背后蘊藏的大量積極因素。重點在于,為什么我們當前擁有一個約2000個安全解決方案的市場。而其市場價值就是另一個討論話題了。
關鍵基礎設施/工業控制系統(ICS)這一安全細分領域,雖然圍繞噩夢般的網絡攻擊場景和后果有近20年的討論,過去10年卻可被標記為“信息安全缺失的10年”。
可以說,在網絡安全準備度上,我們現在也沒比10年前好多少。隨著威脅態勢明顯日漸活躍和危險,這種形勢簡直讓人夜不能寐。威脅場景討論正演變為現實,然而我們卻尚未準備好應對即將到來的威脅。
令人振奮的是,過去2年中,尤其是剛剛過去的這幾個月,我們見證了ICS安全意識和優先級的快速上升。業內新初創公司的涌現,對老牌安全公司的新關注,CISO與董事間討論層次的上升,吹散了安全領域的一絲陰霾。而令人沮喪的是,上述所有,都是網絡空間里不斷增多滿溢的針對性攻擊的結果。
一、我們錯在哪兒了?
1. 沒能彌合IT與ICS(工程)人員之間的距離
這兩種團隊背景不同,任務不同,看待世界的角度也完全不同。ICS做出的每一個決策都以安全和正常運行時間為核心考慮,他們對有所影響的安全控制的引入零容忍。即便是補丁修復這么基礎的概念,在他們看來也是有問題的,因為會給生產帶來停機時間。
這些團隊在相互協作上已有大幅進步,但ICS專用解決方案的缺乏,那種不破壞正常運行和安全,并對兩種團隊都有明顯價值的解決方案的缺乏,造成了大多數情況下的閉關自守政策。“我管著車間,我得保持生產運行。我要保證不出故障,不引發我們團隊或公眾的安全顧慮。你不能在我網絡里部署那個,絕對不行。”
2. 淪為規定指令/標準必須被實現的受害者
關注ICS安全很好;發展NERC CIP之類規定,強制該領域安全控制也很好。但是,雖然IEC 62443這樣的標準很好地描繪了“可以”被應用的控制措施,實際運營這些網絡的人就知道,規范不是那么容易實施的。理論上實現規范是正確的事,但只要考慮到業務需求,這些建議中很多都不現實。而且,基本上所有標準/合規類體系中,原本應該是地板的東西,往往最終會成為天花板。
3. 試圖將IT安全“方釘”強行塞進ICS網絡的“圓孔”中
IT安全工具部署為脆弱的ICS網絡設計的。主動掃描、主動查詢和其他“標準IT工具”都會讓PLC崩潰,會中斷正常運行,會導致嚴重問題。現實世界里我們所知的一個例子,就是近期某廣泛應用的網絡掃描工具,導致了停電。
4. 因為“攻擊只是理論上而非即將發生”就推遲安全投入
邏輯上,過去10年的網絡安全預算都投入到了損失正在發生的領域。不知道誰在你的網絡內部?完整數據包捕獲和取證工具。處理百萬終端解決方案?SIEM和編配工具。深受魚叉式網絡釣魚之苦?高級終端解決方案等等。這很合乎邏輯,而且你也不能真埋怨人們這么投資。然而,這種救火隊員式的網絡威脅處理方式,導致了嚴重資金不足的ICS安全項目。這種短視行為很快就會讓我們自食惡果。我們已經討論了20年的理論上的攻擊,正在一一顯現,比如震網、2015和2016年末的烏克蘭大斷電,WannaCry和Petya/NotPetya勒索軟件大蔓延。
5. 相信“物理隔離”網絡從來就不現實/會影響業務和效率需求
“我們會設計網絡,讓它不能從外部訪問/不與IT網絡互通。”一度聽起來不錯,但業務需求徹底破除了“物理隔離”ICS網絡的概念。維護要求,與供應鏈的連接,遠程分析,從上到下的KPI管理,驅動預測分析的渴望——所有這些需求都讓“物理隔離”像恐龍一樣走向了衰亡。如今,物理隔離與獨角獸有一個共同點——他們都不存在。
6. 難以實現,難以消費,難以維護前代ICS專用解決方案
過去的時光中出現過一些ICS專用網絡安全解決方案,雖有前景卻未獲得主流關注。實現上的困難(比如在每塊PLC前安個防火墻),消費上的困難(大規模安裝工程,大量前端配置時間),以及難控制/不現實的維護需求,讓這些前景都煙消云散了。它們僅僅是沒能理解ICS消費者的特殊需求。
二、跨越ICS信息安全那缺失的10年
我們失去了10年時間,而現在威脅已在敲門。我們顯然沒有時間像IT安全過去10年做的那樣從分層/深度防御策略做起。那緩慢的進化過程不會有用——我們需要革命。
于是,老實說,現在,我們可以采取什么行動,來實現ICS安全跨越式發展呢?
首先,我們得停止“研究”該問題。最近發布的總統行政命令號召審查關鍵基礎設施網絡安全準備度,于是我們研究、分析、審查了全球無數建議。現在我們需要來自政府、董事會、CIO/CISO、ICS擁有者/運營者、安全廠商和ICS設備制造商,對我們所面臨問題的關注與投入。
我們需要一個能帶來最大收益和最快安全準備度成長的基準體系結構。一個簡單而快速(比如幾個月而不是幾年)的實現框架——重點放在風險評估、實時監視、高風險漏洞管理、威脅情報、高級終端防護和快速響應上。
與兩三年前不同,今天的技術可被ICS和安全團隊接受。作為利益相關者,我們需停止討論,著手行動。威脅很現實,且即將到來。
