覺得過去10年的IT網(wǎng)絡(luò)安全世界很糟糕?那是你還沒認(rèn)識到更令人絕望的深層因素。被盜知識產(chǎn)權(quán)損失達(dá)數(shù)十億，OPM之類的大規(guī)模情報(bào)泄露頻發(fā)，億萬身份失竊——網(wǎng)絡(luò)空間失敗案例多如繁星。盡管如此，從安全控制角度出發(fā)，依然有著明顯的重大進(jìn)展。無數(shù)創(chuàng)新——人力財(cái)力的巨大投入、產(chǎn)業(yè)/次產(chǎn)業(yè)的誕生和發(fā)展、對新興威脅的響應(yīng)能力(盡管不能預(yù)見)，描繪出了損失背后蘊(yùn)藏的大量積極因素。重點(diǎn)在于，為什么我們當(dāng)前擁有一個(gè)約2000個(gè)安全解決方案的市場。而其市場價(jià)值就是另一個(gè)討論話題了。

[[209033]]

關(guān)鍵基礎(chǔ)設(shè)施/工業(yè)控制系統(tǒng)(ICS)這一安全細(xì)分領(lǐng)域，雖然圍繞噩夢般的網(wǎng)絡(luò)攻擊場景和后果有近20年的討論，過去10年卻可被標(biāo)記為“信息安全缺失的10年”。

可以說，在網(wǎng)絡(luò)安全準(zhǔn)備度上，我們現(xiàn)在也沒比10年前好多少。隨著威脅態(tài)勢明顯日漸活躍和危險(xiǎn)，這種形勢簡直讓人夜不能寐。威脅場景討論正演變?yōu)楝F(xiàn)實(shí)，然而我們卻尚未準(zhǔn)備好應(yīng)對即將到來的威脅。

令人振奮的是，過去2年中，尤其是剛剛過去的這幾個(gè)月，我們見證了ICS安全意識和優(yōu)先級的快速上升。業(yè)內(nèi)新初創(chuàng)公司的涌現(xiàn)，對老牌安全公司的新關(guān)注，CISO與董事間討論層次的上升，吹散了安全領(lǐng)域的一絲陰霾。而令人沮喪的是，上述所有，都是網(wǎng)絡(luò)空間里不斷增多滿溢的針對性攻擊的結(jié)果。

一、我們錯(cuò)在哪兒了?

1. 沒能彌合IT與ICS(工程)人員之間的距離

這兩種團(tuán)隊(duì)背景不同，任務(wù)不同，看待世界的角度也完全不同。ICS做出的每一個(gè)決策都以安全和正常運(yùn)行時(shí)間為核心考慮，他們對有所影響的安全控制的引入零容忍。即便是補(bǔ)丁修復(fù)這么基礎(chǔ)的概念，在他們看來也是有問題的，因?yàn)闀?huì)給生產(chǎn)帶來停機(jī)時(shí)間。

這些團(tuán)隊(duì)在相互協(xié)作上已有大幅進(jìn)步，但I(xiàn)CS專用解決方案的缺乏，那種不破壞正常運(yùn)行和安全，并對兩種團(tuán)隊(duì)都有明顯價(jià)值的解決方案的缺乏，造成了大多數(shù)情況下的閉關(guān)自守政策。“我管著車間，我得保持生產(chǎn)運(yùn)行。我要保證不出故障，不引發(fā)我們團(tuán)隊(duì)或公眾的安全顧慮。你不能在我網(wǎng)絡(luò)里部署那個(gè)，絕對不行。”

2. 淪為規(guī)定指令/標(biāo)準(zhǔn)必須被實(shí)現(xiàn)的受害者

關(guān)注ICS安全很好;發(fā)展NERC CIP之類規(guī)定，強(qiáng)制該領(lǐng)域安全控制也很好。但是，雖然IEC 62443這樣的標(biāo)準(zhǔn)很好地描繪了“可以”被應(yīng)用的控制措施，實(shí)際運(yùn)營這些網(wǎng)絡(luò)的人就知道，規(guī)范不是那么容易實(shí)施的。理論上實(shí)現(xiàn)規(guī)范是正確的事，但只要考慮到業(yè)務(wù)需求，這些建議中很多都不現(xiàn)實(shí)。而且，基本上所有標(biāo)準(zhǔn)/合規(guī)類體系中，原本應(yīng)該是地板的東西，往往最終會(huì)成為天花板。

3. 試圖將IT安全“方釘”強(qiáng)行塞進(jìn)ICS網(wǎng)絡(luò)的“圓孔”中

IT安全工具部署為脆弱的ICS網(wǎng)絡(luò)設(shè)計(jì)的。主動(dòng)掃描、主動(dòng)查詢和其他“標(biāo)準(zhǔn)IT工具”都會(huì)讓PLC崩潰，會(huì)中斷正常運(yùn)行，會(huì)導(dǎo)致嚴(yán)重問題。現(xiàn)實(shí)世界里我們所知的一個(gè)例子，就是近期某廣泛應(yīng)用的網(wǎng)絡(luò)掃描工具，導(dǎo)致了停電。

4. 因?yàn)?ldquo;攻擊只是理論上而非即將發(fā)生”就推遲安全投入

邏輯上，過去10年的網(wǎng)絡(luò)安全預(yù)算都投入到了損失正在發(fā)生的領(lǐng)域。不知道誰在你的網(wǎng)絡(luò)內(nèi)部?完整數(shù)據(jù)包捕獲和取證工具。處理百萬終端解決方案?SIEM和編配工具。深受魚叉式網(wǎng)絡(luò)釣魚之苦?高級終端解決方案等等。這很合乎邏輯，而且你也不能真埋怨人們這么投資。然而，這種救火隊(duì)員式的網(wǎng)絡(luò)威脅處理方式，導(dǎo)致了嚴(yán)重資金不足的ICS安全項(xiàng)目。這種短視行為很快就會(huì)讓我們自食惡果。我們已經(jīng)討論了20年的理論上的攻擊，正在一一顯現(xiàn)，比如震網(wǎng)、2015和2016年末的烏克蘭大斷電，WannaCry和Petya/NotPetya勒索軟件大蔓延。

5. 相信“物理隔離”網(wǎng)絡(luò)從來就不現(xiàn)實(shí)/會(huì)影響業(yè)務(wù)和效率需求

“我們會(huì)設(shè)計(jì)網(wǎng)絡(luò)，讓它不能從外部訪問/不與IT網(wǎng)絡(luò)互通。”一度聽起來不錯(cuò)，但業(yè)務(wù)需求徹底破除了“物理隔離”ICS網(wǎng)絡(luò)的概念。維護(hù)要求，與供應(yīng)鏈的連接，遠(yuǎn)程分析，從上到下的KPI管理，驅(qū)動(dòng)預(yù)測分析的渴望——所有這些需求都讓“物理隔離”像恐龍一樣走向了衰亡。如今，物理隔離與獨(dú)角獸有一個(gè)共同點(diǎn)——他們都不存在。

6. 難以實(shí)現(xiàn)，難以消費(fèi)，難以維護(hù)前代ICS專用解決方案

過去的時(shí)光中出現(xiàn)過一些ICS專用網(wǎng)絡(luò)安全解決方案，雖有前景卻未獲得主流關(guān)注。實(shí)現(xiàn)上的困難(比如在每塊PLC前安個(gè)防火墻)，消費(fèi)上的困難(大規(guī)模安裝工程，大量前端配置時(shí)間)，以及難控制/不現(xiàn)實(shí)的維護(hù)需求，讓這些前景都煙消云散了。它們僅僅是沒能理解ICS消費(fèi)者的特殊需求。

二、跨越ICS信息安全那缺失的10年

我們失去了10年時(shí)間，而現(xiàn)在威脅已在敲門。我們顯然沒有時(shí)間像IT安全過去10年做的那樣從分層/深度防御策略做起。那緩慢的進(jìn)化過程不會(huì)有用——我們需要革命。

于是，老實(shí)說，現(xiàn)在，我們可以采取什么行動(dòng)，來實(shí)現(xiàn)ICS安全跨越式發(fā)展呢?

首先，我們得停止“研究”該問題。最近發(fā)布的總統(tǒng)行政命令號召審查關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全準(zhǔn)備度，于是我們研究、分析、審查了全球無數(shù)建議。現(xiàn)在我們需要來自政府、董事會(huì)、CIO/CISO、ICS擁有者/運(yùn)營者、安全廠商和ICS設(shè)備制造商，對我們所面臨問題的關(guān)注與投入。

我們需要一個(gè)能帶來最大收益和最快安全準(zhǔn)備度成長的基準(zhǔn)體系結(jié)構(gòu)。一個(gè)簡單而快速(比如幾個(gè)月而不是幾年)的實(shí)現(xiàn)框架——重點(diǎn)放在風(fēng)險(xiǎn)評估、實(shí)時(shí)監(jiān)視、高風(fēng)險(xiǎn)漏洞管理、威脅情報(bào)、高級終端防護(hù)和快速響應(yīng)上。

與兩三年前不同，今天的技術(shù)可被ICS和安全團(tuán)隊(duì)接受。作為利益相關(guān)者，我們需停止討論，著手行動(dòng)。威脅很現(xiàn)實(shí)，且即將到來。