包括2021年7月28日美国总统拜登签署的国家安全备忘录在内的美国关键基础设施攻击和美国政府的几项行动,都显示了工业控制系统(ICS)现代网络安全功能的紧迫性。
90%的美国关键行业基础设施是私有的。目前,勒索软件攻击和基础设施探索仍然活跃。因此,尽管备忘录强调公私伙伴关系和自愿合作,但信息非常清楚:鉴于美国关键基础设施的安全性和脆弱性,我希望基础设施所有者和运营商能够达到美国国家标准和技术研究所(NIST)网络安全和基础设施安全(CISA)为控制系统带来可见性、风险管理和检测功能,实现各种技术。
本文旨在提供首席信息安全官,帮助关键基础设施企业(CISO)他的团队加强了他们自己的工业网络安全计划。包括询问供应商的几个关键问题,确保企业获得必要的工业环境可见性,了解需要保护什么,采取具体措施掌握和降低风险,以及如何评估威胁检测和响应能力。
在本文中,我们将工业网络安全问题放在企业的背景下,研究如何全面确保安全。利用本文中的方法,企业不仅可以利用现有资源和人员最大化投资回报,而且可以显著提高效率,实现覆盖整个企业的综合风险管理。
连接IT与OT挑战
工业网络促进了业务的顺利进行。但在许多情况下,保护和优化这些网络的工作往往与其他业务链接几乎完全脱节。任何业务决策都应关注风险因素。然而,考虑到运营场所的复杂性和必须克服的独特困难,企业风险管理计划通常忽略了工业网络的风险。
运营技术(OT)网络安全与其他业务的脱节可以归咎于难以实现OT环境可见性、缺乏工业网络安全专业知识,以及不兼容IT安全工具。由于材料需要不同的技术集和工具,许多企业开始设置单独的工具OT治理过程和安全运营中心(SOC)。
这样做会导致几个问题:
- 招聘和留住OT安全专家既难又贵。
- 对手可不把IT和OT分开看。攻击是联动的,所以你当然不想设置两个独立的SOC或者两个独立的团队错过了这种联系。
- 现有的治理流程和双重投资协调资源的重复建设纯粹是浪费时间和精力。
单个SOC构建统一战线
最好的网络防御战略是建立统一的战线来抵御IT和OT威胁。因此,关键基础设施公司需要从整体上考虑网络安全SOC统一保护这些曾经独立的环境。在规划前进路线时,可以考虑以下成功的关键:
- 将保护工业环境安全的职责纳入CISO身体。这样做可以确保企业的工业网络安全计划,以及将工业网络安全与其他业务联系起来的计划,从上到下驱动,满足企业的独特需求。IT/OT SOC只服从唯一的领导,有明确定义的岗位和职责,可以交付覆盖整个攻击领域的跨工作流连续性。企业可以采用相同的流程和报告指标进行治理,实现全面的风险管理和合规。
- 任命其他领导小组成员。指定一个IT/OT网络安全项目经理将在项目实施中发挥核心作用。此外,他还必须理解和尊重选择注重细节的强大领导者来监督这项工作IT和OT团队工作的重点差异。IT的团队通常优先考虑数据的机密性、完整性和可用性,而维持OT网络团队通常优先考虑工业流程和运营的可用性、可靠性和安全性。此外,每个人OT网站需要指定网络安全站负责人。此人将被视为现场。OT人员和SOC联络员之间,必要时负责事件响应。
- 确保现有集成IT安全资源。支持统一IT和OT网络威胁防御,企业的工业网络安全解决方案必须尽可能与现有IT集成安全系统和工作流程。这些集成应涵盖广泛的用例,包括安全信息和事件管理(SIEM),工作流管理、安全安排、自动化和响应(SOAR),以及网络基础设施工具。手头有丰富的有效集成,有助于核心IT扩展到网络安全控制OT,同时降低现有工具的总成本(TCO),平滑OT网络安全学习曲线。现有的团队有机会培养各种有价值的技能,企业不需要聘请额外的技能OT SOC分析师了。
世界各地的工业网络安全领导人都面临着加强OT网络安全运行的压力。CISO总揽安全责任,统一设置SOC,创建IT和OT团队可以使用解决方案,企业可以制定自己的工业网络安全计划和IT计划与其他业务相关联。这不仅可以优化企业的资源(人才、预算和时间),还可以获得覆盖整个攻击领域的连续性。企业的最终目标是查看治理、风险和合规计划,实施覆盖整个企业的风险管理战略。