企業(yè)需要采用基于風險的方法為未來做好準備，遵循一些方法和步驟可能會有所幫助。

[[319190]]

調(diào)研機構(gòu)Garner公司最近發(fā)布的一份調(diào)查報告表明，首席信息安全官(CISO)的角色正在迅速發(fā)生變化，其中包括管理安全風險以及保護敏感信息。這種轉(zhuǎn)變是由網(wǎng)絡(luò)物理系統(tǒng)(CPS)的部署所驅(qū)動的，例如建筑管理系統(tǒng)和醫(yī)療保健設(shè)施中使用的物聯(lián)網(wǎng)(IoT)設(shè)備，制造工廠、石油和天然氣行業(yè)中使用的運營技術(shù)(OT)設(shè)備，以及天然氣設(shè)施、能源和水務(wù)、交通、采礦和其他重要的工業(yè)基礎(chǔ)設(shè)施。

因為網(wǎng)絡(luò)物理系統(tǒng)(CPS)涵蓋了數(shù)字世界和物理世界，所以它們是尋求造成重大安全和環(huán)境事件和運營中斷的攻擊者的主要目標。例如，對石油化工設(shè)施中的安全系統(tǒng)進行TRITON攻擊、烏克蘭電網(wǎng)攻擊、NotPetya和Norsk Hydro勒索軟件攻擊。

此外，微軟公司在去年8月發(fā)布的調(diào)查報告表示，觀察到一個由激進國家資助的威脅團體將物聯(lián)網(wǎng)設(shè)備作為企業(yè)網(wǎng)絡(luò)的入口點，他們試圖從中提升權(quán)限，以發(fā)動進一步的網(wǎng)絡(luò)攻擊。最近，還看到網(wǎng)絡(luò)攻擊者破壞物聯(lián)網(wǎng)構(gòu)建的訪問控制系統(tǒng)，以攻擊企業(yè)網(wǎng)絡(luò)。

行業(yè)分析師估計，不久將在全球范圍內(nèi)部署約500億臺物聯(lián)網(wǎng)設(shè)備，從而大幅增加攻擊面。由于這些嵌入式設(shè)備無法受到基于代理的技術(shù)的保護，并且通常未打補丁或配置錯誤，因此首席信息安全官(CISO)需要新的戰(zhàn)略來減輕物聯(lián)網(wǎng)安全風險。否則不難想象，監(jiān)管機構(gòu)和企業(yè)責任律師將很快追究企業(yè)高管的過失和個人責任，原因是他們未能實施與安全相關(guān)的安全控制措施。

緩解網(wǎng)絡(luò)物理系統(tǒng)(CPS)和物聯(lián)網(wǎng)風險的五個步驟

美國愛達荷州國家實驗室(INL)已開發(fā)出一種解決方案，以解決網(wǎng)絡(luò)物理系統(tǒng)(CPS)和物聯(lián)網(wǎng)/ 運營技術(shù)風險，即結(jié)果驅(qū)動型網(wǎng)絡(luò)信息工程(CCE)。基于這種方法，以下是企業(yè)在不久的將來都應(yīng)該優(yōu)先考慮的五個步驟：

(1)保護重要的事物：企業(yè)不能一直保護所有事物，但是可以在大多數(shù)時間保護最重要的事物。因此，對其故障將導致重大安全或環(huán)境事件或運營中斷的功能進行優(yōu)先排序是關(guān)鍵。通過與業(yè)務(wù)所有者、基礎(chǔ)設(shè)施經(jīng)理和運營技術(shù)人員的對話，確定最需要預(yù)先保護的內(nèi)容。

(2)繪制數(shù)字地圖：識別和分類組織中的所有連接資產(chǎn)，無論它們被認為是IT、物聯(lián)網(wǎng)、樓宇管理系統(tǒng)(BMS)、運營技術(shù)或智能個人設(shè)備。這包括了解信息如何在企業(yè)的網(wǎng)絡(luò)中移動以及與誰接觸設(shè)備，其中包括具有遠程訪問連接的第三方供應(yīng)商和維護承包商。

(3)闡明最可能的攻擊路徑：分析網(wǎng)絡(luò)中的風險和漏洞，以確定對企業(yè)的寶貴資產(chǎn)和流程最可能的攻擊媒介。可以使用自動威脅建模識別其他切入點，例如社會工程學和對網(wǎng)絡(luò)設(shè)施的物理訪問，來完成此任務(wù)。

(4)緩解和保護：一旦企業(yè)對最可能的攻擊路徑有所了解，就應(yīng)制定優(yōu)先級降低風險的方法。這可以包括以下步驟，例如減少全球互聯(lián)網(wǎng)可訪問的入口點的數(shù)量，使用零信任度微細分策略將物聯(lián)網(wǎng)和運營技術(shù)設(shè)備與其他網(wǎng)絡(luò)隔離，以及修補最有可能的攻擊路徑中存在的關(guān)鍵漏洞。持續(xù)進行的補償控制主要圍繞利用連續(xù)的網(wǎng)絡(luò)安全監(jiān)控和無代理安全性來立即識別可疑或未經(jīng)授權(quán)的行為，例如采用攝像頭瀏覽Active Directory。

(5)消除IT、運營技術(shù)(OT)、物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng)(CPS)之間的孤島：作為首席信息安全官(CISO)，保護企業(yè)安全意味著要對所有數(shù)字安全負責，無論是IT、運營技術(shù)(OT)、物聯(lián)網(wǎng)還是網(wǎng)絡(luò)物理系統(tǒng)(CPS)。創(chuàng)建統(tǒng)一的安全監(jiān)控和治理需要對人員、流程和技術(shù)采取整體方法。技術(shù)方面包括將所有物聯(lián)網(wǎng)/運營技術(shù)安全警報轉(zhuǎn)發(fā)到安全運營中心，并利用現(xiàn)有安全信息和事件管理(SIEM)、業(yè)務(wù)流程自動化和響應(yīng)(SOAR)以及預(yù)防機制(防火墻和網(wǎng)絡(luò)訪問控制系統(tǒng))來快速響應(yīng)物聯(lián)網(wǎng)和運營技術(shù)事件，例如快速隔離已被檢測為惡意流量源頭的物聯(lián)網(wǎng)設(shè)備。

積極為未來做好準備

如今，從激進國家到網(wǎng)絡(luò)犯罪分子以及黑客，都有強烈的動機、決心、能力進行破壞。

行業(yè)專家一致認為，堅定的網(wǎng)絡(luò)攻擊者最終將找到侵入企業(yè)網(wǎng)絡(luò)的方法，因此，更好的策略是部署監(jiān)視以在攻擊鏈的早期偵察階段發(fā)現(xiàn)他們，以便在網(wǎng)絡(luò)攻擊可能造成重大破壞之前減輕攻擊。例如，在TRITON對一家石化工廠安全控制系統(tǒng)的攻擊中，由于該工廠控制系統(tǒng)有一個存在幾年的漏洞，該漏洞導致這家工廠關(guān)閉一周。

企業(yè)的董事會和管理團隊必須認識到物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng)(CPS)帶來的新安全風險，并使用基于風險的方法積極地做好準備。