物聯(lián)網的興起將如何改變首席信息安全官的角色
企業(yè)需要采用基于風險的方法為未來做好準備,遵循一些方法和步驟可能會有所幫助。
調研機構Garner公司最近發(fā)布的一份調查報告表明,首席信息安全官(CISO)的角色正在迅速發(fā)生變化,其中包括管理安全風險以及保護敏感信息。這種轉變是由網絡物理系統(tǒng)(CPS)的部署所驅動的,例如建筑管理系統(tǒng)和醫(yī)療保健設施中使用的物聯(lián)網(IoT)設備,制造工廠、石油和天然氣行業(yè)中使用的運營技術(OT)設備,以及天然氣設施、能源和水務、交通、采礦和其他重要的工業(yè)基礎設施。
因為網絡物理系統(tǒng)(CPS)涵蓋了數字世界和物理世界,所以它們是尋求造成重大安全和環(huán)境事件和運營中斷的攻擊者的主要目標。例如,對石油化工設施中的安全系統(tǒng)進行TRITON攻擊、烏克蘭電網攻擊、NotPetya和Norsk Hydro勒索軟件攻擊。
此外,微軟公司在去年8月發(fā)布的調查報告表示,觀察到一個由激進國家資助的威脅團體將物聯(lián)網設備作為企業(yè)網絡的入口點,他們試圖從中提升權限,以發(fā)動進一步的網絡攻擊。最近,還看到網絡攻擊者破壞物聯(lián)網構建的訪問控制系統(tǒng),以攻擊企業(yè)網絡。
行業(yè)分析師估計,不久將在全球范圍內部署約500億臺物聯(lián)網設備,從而大幅增加攻擊面。由于這些嵌入式設備無法受到基于代理的技術的保護,并且通常未打補丁或配置錯誤,因此首席信息安全官(CISO)需要新的戰(zhàn)略來減輕物聯(lián)網安全風險。否則不難想象,監(jiān)管機構和企業(yè)責任律師將很快追究企業(yè)高管的過失和個人責任,原因是他們未能實施與安全相關的安全控制措施。
緩解網絡物理系統(tǒng)(CPS)和物聯(lián)網風險的五個步驟
美國愛達荷州國家實驗室(INL)已開發(fā)出一種解決方案,以解決網絡物理系統(tǒng)(CPS)和物聯(lián)網/ 運營技術風險,即結果驅動型網絡信息工程(CCE)。基于這種方法,以下是企業(yè)在不久的將來都應該優(yōu)先考慮的五個步驟:
(1)保護重要的事物:企業(yè)不能一直保護所有事物,但是可以在大多數時間保護最重要的事物。因此,對其故障將導致重大安全或環(huán)境事件或運營中斷的功能進行優(yōu)先排序是關鍵。通過與業(yè)務所有者、基礎設施經理和運營技術人員的對話,確定最需要預先保護的內容。
(2)繪制數字地圖:識別和分類組織中的所有連接資產,無論它們被認為是IT、物聯(lián)網、樓宇管理系統(tǒng)(BMS)、運營技術或智能個人設備。這包括了解信息如何在企業(yè)的網絡中移動以及與誰接觸設備,其中包括具有遠程訪問連接的第三方供應商和維護承包商。
(3)闡明最可能的攻擊路徑:分析網絡中的風險和漏洞,以確定對企業(yè)的寶貴資產和流程最可能的攻擊媒介。可以使用自動威脅建模識別其他切入點,例如社會工程學和對網絡設施的物理訪問,來完成此任務。
(4)緩解和保護:一旦企業(yè)對最可能的攻擊路徑有所了解,就應制定優(yōu)先級降低風險的方法。這可以包括以下步驟,例如減少全球互聯(lián)網可訪問的入口點的數量,使用零信任度微細分策略將物聯(lián)網和運營技術設備與其他網絡隔離,以及修補最有可能的攻擊路徑中存在的關鍵漏洞。持續(xù)進行的補償控制主要圍繞利用連續(xù)的網絡安全監(jiān)控和無代理安全性來立即識別可疑或未經授權的行為,例如采用攝像頭瀏覽Active Directory。
(5)消除IT、運營技術(OT)、物聯(lián)網和網絡物理系統(tǒng)(CPS)之間的孤島:作為首席信息安全官(CISO),保護企業(yè)安全意味著要對所有數字安全負責,無論是IT、運營技術(OT)、物聯(lián)網還是網絡物理系統(tǒng)(CPS)。創(chuàng)建統(tǒng)一的安全監(jiān)控和治理需要對人員、流程和技術采取整體方法。技術方面包括將所有物聯(lián)網/運營技術安全警報轉發(fā)到安全運營中心,并利用現有安全信息和事件管理(SIEM)、業(yè)務流程自動化和響應(SOAR)以及預防機制(防火墻和網絡訪問控制系統(tǒng))來快速響應物聯(lián)網和運營技術事件,例如快速隔離已被檢測為惡意流量源頭的物聯(lián)網設備。
積極為未來做好準備
如今,從激進國家到網絡犯罪分子以及黑客,都有強烈的動機、決心、能力進行破壞。
行業(yè)專家一致認為,堅定的網絡攻擊者最終將找到侵入企業(yè)網絡的方法,因此,更好的策略是部署監(jiān)視以在攻擊鏈的早期偵察階段發(fā)現他們,以便在網絡攻擊可能造成重大破壞之前減輕攻擊。例如,在TRITON對一家石化工廠安全控制系統(tǒng)的攻擊中,由于該工廠控制系統(tǒng)有一個存在幾年的漏洞,該漏洞導致這家工廠關閉一周。
企業(yè)的董事會和管理團隊必須認識到物聯(lián)網和網絡物理系統(tǒng)(CPS)帶來的新安全風險,并使用基于風險的方法積極地做好準備。
