傳統(tǒng) IT 與關鍵基礎設施網(wǎng)絡安全風險評估對比
?并非所有網(wǎng)絡安全風險都是平等的,而且由于威脅在不斷發(fā)展,因此定期執(zhí)行和更新風險評估至關重要。對于關鍵基礎設施尤其如此,網(wǎng)絡攻擊可能會造成危及生命的后果。關鍵基礎設施網(wǎng)絡風險評估與傳統(tǒng)的 IT 網(wǎng)絡風險評估有何不同?本文給出解答。
首先確定風險之間的差異非常重要:
- 傳統(tǒng)的 IT 網(wǎng)絡風險。威脅參與者控制組織敏感信息的可能性以及潛在的財務后果。
- 關鍵基礎設施網(wǎng)絡風險。威脅行為者控制社會最重要的系統(tǒng)和資產(chǎn)的可能性以及潛在的物理后果。
關鍵基礎設施網(wǎng)絡風險明顯高于傳統(tǒng)IT。例如,如果有人竊取你的身份并以你的名義開立信用卡,這肯定會擾亂你的個人生活,但你不太可能對欺詐性指控負責。相反,如果不良行為者關閉電網(wǎng),毒害當?shù)毓┧到y(tǒng)或破壞水庫大壩,你的家人可能會面臨危及生命的危險。足夠廣泛的關鍵基礎設施攻擊也可能對國家安全產(chǎn)生嚴重影響。
雖然強調(diào)關鍵基礎設施與傳統(tǒng)IT網(wǎng)絡風險之間的差異很重要,但同樣值得注意的是,現(xiàn)實風險評估師的專世界的事件并不總是那么容易解析。比如,盡管勒索軟件是希望勒索私營公司的犯罪分子的最愛,但勒索軟件攻擊也可能對國家安全產(chǎn)生影響。在另一個例子中,犯罪分子可能會對醫(yī)院發(fā)動勒索軟件攻擊以勒索金錢,但如果勒索軟件攻擊影響了患者護理的提供,人們可能會遭受痛苦并死亡。
1.關鍵基礎設施網(wǎng)絡風險評估與傳統(tǒng) IT 網(wǎng)絡風險評估
IT在工業(yè)環(huán)境中廣泛使用。因此,關鍵基礎設施網(wǎng)絡風險評估必須包括IT網(wǎng)絡風險評估的所有信息風險要素。他們還必須解決許多其他,比如物理風險因素。
傳統(tǒng)的IT網(wǎng)絡風險評估和關鍵基礎設施網(wǎng)絡風險評估都必須考慮以下后果:
· 收入損失
· 聲譽損失
· 股價虧損
· IT 事件響應成本
· IT 事件恢復成本
· 客戶影響 -- 例如,在欺詐的情況下
關鍵基礎設施網(wǎng)絡風險評估必須權(quán)衡以下額外的后果:
· 員工受傷、疾病和死亡;
· 社區(qū)傷害、疾病和死亡;
· 火災和爆炸;設備損壞;
· 對周圍社區(qū)的財產(chǎn)和基礎設施的損害;
· 對植物和野生動物的損害;
· 釋放威脅空氣、土地和水質(zhì)的毒素;
· 環(huán)境響應和回收成本;
· 供應鏈效應;
· 國家安全影響。
2.業(yè)知識
關鍵基礎設施網(wǎng)絡風險比傳統(tǒng)的IT網(wǎng)絡風險評估更加復雜和具有挑戰(zhàn)性,這主要是因為評估物理風險需要額外的知識,技能和方法。
傳統(tǒng)的IT網(wǎng)絡風險評估員和關鍵基礎設施網(wǎng)絡風險評估員需要以下領域的專業(yè)知識:
· IT
· 信息技術安全
· 金融
· 法律
· 公關
關鍵基礎設施網(wǎng)絡風險評估人員還必須具備以下主題的專業(yè)知識:
· 運營和現(xiàn)場技術
· 工業(yè)網(wǎng)絡安全
· 運營監(jiān)督管理
· 工業(yè)工程
· 過程安全管理
· 健康與安全管理
· 環(huán)境風險與合規(guī)
· 環(huán)境修復
· 工業(yè)監(jiān)管合規(guī)
· 物理安全
3.風險評估方法
這兩種類型的風險評估也使用不同的方法。傳統(tǒng)的 IT 風險評估依賴于以下框架:
· 信息風險因素分析
· COBIT
· ISO 31000 和 ISO/IEC 27005
· NIST 特別出版物 800-30
· 運營關鍵威脅、資產(chǎn)和漏洞評估快板
相比之下,關鍵基礎設施風險評估方法包括以下內(nèi)容:
· IEC 62443 和 61511
· 過程危害分析 (PHA)/危害和可操作性研究
· 網(wǎng)絡過程危害分析PHA
4.風險評估環(huán)境
這些評估分別涵蓋的環(huán)境也不同。傳統(tǒng)的 IT 風險評估包括以下內(nèi)容:
· 互聯(lián)網(wǎng)
· 云服務和應用程企業(yè)網(wǎng)絡
· 本地服務和應用
· 遠程訪問
· 信息和數(shù)據(jù)
· 帳戶、訪問權(quán)限和特權(quán)
5.關鍵基礎設施網(wǎng)絡風險評估還涵蓋以下環(huán)境:
· 運維現(xiàn)場區(qū)域
· 運維安全區(qū)
· 運維控制區(qū)域
· 中立區(qū)DMZ/歷史區(qū)域行動
· 運維遠程訪問區(qū)域
· 運維信息和數(shù)據(jù)
· 運維帳戶、訪問權(quán)限和權(quán)限
關鍵基礎設施網(wǎng)絡風險評估建議
最重要的一點是,關鍵基礎設施網(wǎng)絡風險評估比傳統(tǒng)的IT風險評估更復雜,因為它們既包括傳統(tǒng)的IT風險,也包括物理風險。
在進行關鍵基礎設施網(wǎng)絡風險評估時,請考慮以下建議:
· 獲取正確的第三方幫助。內(nèi)部工作人員可能缺乏必要的綜合專業(yè)知識來設計和進行全面的關鍵基礎設施網(wǎng)絡風險評估。與在關鍵基礎設施風險評估和保護準備方面具有豐富經(jīng)驗的外部組織(無論是公共組織還是私人組織)接洽。
· 讓合適的人員在內(nèi)部參與。雖然IT人員擁有數(shù)字技術威脅,但了解網(wǎng)絡威脅潛在物理影響的人來自組織中的其他地方。與來自運營、工藝工程、技術工程、環(huán)境健康和安全以及工藝安全的內(nèi)部專家合作。
· 向執(zhí)行團隊傳達正確的信息。高管們通常將網(wǎng)絡風險視為 IT 需要解決的技術問題。幫助他們了解,當涉及到現(xiàn)代網(wǎng)絡威脅時,還有更多的風險。IT 無法單獨解決關鍵基礎架構(gòu)風險問題 — 它將占用整個組織,從工廠車間到董事會。
原文鏈接:
https://www.techtarget.com/searchsecurity/tip/Traditional-IT-vs-critical-infrastructure-cyber-risk-assessments