關鍵基礎設施運營商和供應商需要網絡-物理網絡安全戰略

概述

社會依賴於電力和供水係統、醫療保健、交通和建築等關鍵基礎設施的安全、可靠和安全運行，以及包括食品、燃料和化學品在內的基本商品生產者。任何中斷的重大影響都需要全麵的網絡安全戰略，涵蓋自動化和控製這些基礎設施的係統和設備。

嚴重關鍵基礎設施網絡事件的風險顯著增加。關鍵基礎設施已成為一個勒索軟件和複雜國家攻擊的主要目標。與此同時，作戰技術(OT)、信息技術(IT)和雲係統的集成正在增加攻擊路徑。隨著物聯網(IoT)和工業物聯網(IIoT)設備的普及以及遠程訪問的廣泛使用，漏洞也在爆炸式增長。

雖然許多關鍵基礎設施運營已經有了網絡防禦，但大多數都是針對過去的技術和威脅環境而建立的。如今，這些資產由集成了IT、OT、物聯網和工業物聯網的複雜係統控製，需要更全麵的網絡安全計劃來管理這些技術之間的風險。

最近，ARC谘詢集團與德勤(Deloitte)的高管討論了這些問題。這證明了該公司在關鍵基礎設施安全方麵的深刻理解和經驗，以及幫助運營商和供應商解決OT、IT、物聯網和工業物聯網安全風險的廣泛能力。本報告簡要介紹了他們的安全產品。

網絡物理安全風險正在增長

能源公司投資於新的能力，以滿足對清潔能源和可持續資源日益增長的需求。製造商投資於新的實踐，以滿足客戶對低成本、環保產品的需求。物流公司建立新的自動化設施，以跟上全球商業的變化。生命科學和醫療保健公司投資於新的診斷和交付係統，以滿足隱私要求並確保適當的患者護理。設施和智能城市管理者使用新技術升級係統，以保證人們的安全和舒適。

這些發展有什麼共同之處?它們都依賴於與物理世界互動或控製物理世界的信息物理係統。此外，這些係統容易受到網絡事件的影響，對健康、安全、環境和業務連續性造成嚴重後果。

信息物理係統(CPS)是一種智能網絡係統，具有嵌入式傳感器、處理器和執行器，旨在感知物理世界(包括人類用戶)並與之交互，並在安全關鍵應用程序中支持實時、有保證的性能。[1]從大局來看，CPS包含IT、OT和物聯網係統的元素。其他名稱可能用於描述這些領域中的特定應用程序，如智能醫療設備、機器人或建築管理係統。無論如何，它們都屬於CPS的一般類別。

CPS的安全性尤其重要，因為任何因素的妥協都可能導致安全事故、設備損壞和代價高昂的操作中斷。與此同時，CPS的複雜性和廣泛使用給網絡安全團隊帶來了新的挑戰。例如，一些關鍵行業，如醫療保健和智能城市，可能沒有OT安全團隊，其IT安全團隊往往缺乏保護傳統和嵌入式控製係統的專業知識。擁有OT安全團隊的行業可能缺乏資源和專業知識來支持CPS中使用的新技術。大多數網絡安全團隊也可能缺乏在CPS中使用的許多物聯網設備中控製安全性的能力。

關鍵基礎設施運營商和供應商需要全麵的安全策略來管理這些日益增長的CPS安全風險。需要確定每一項資產和溝通路徑，並製定計劃以確保相關風險得到適當減輕。組織還需要解決通常圍繞孤立的網絡安全項目產生的文化障礙，以幫助確保網絡安全防禦的效率和有效性。還需要與CPS生態係統中的供應商製定治理和安全協議，以確保在關鍵生命周期階段執行安全政策，包括:

• 網絡物理設備和產品的設計。
• CPS的製造和銷售。
• CPS與係統和生態係統的整合。
• 內部和外部係統和服務的支持。

製定這樣一項全麵的計劃可能令人望而生畏，但其重要性怎麼強調都不為過。關鍵基礎設施運營商麵臨的風險太大，不能忽視或因缺乏資源而拖延。

德勤CPS安全產品

德勤以其IT網絡安全能力以及幫助企業開發、維護和管理網絡安全項目的廣泛服務而聞名。鮮為人知的是，德勤為OT、物聯網和工業物聯網等網絡物理產品和係統提供了類似的網絡安全能力。

德勤的OT、物聯網和產品安全業務專注於幫助客戶識別和管理CPS風險。在全球範圍內，我們擁有超過400名CPS、OT、物聯網和產品安全網絡安全主題專家，他們在各個行業擁有實際的工業控製係統(ICS)、產品安全和物聯網經驗。德勤CPS網絡安全團隊成員還擔任OT和物聯網網絡安全標準開發工作的領導者，包括ISA/IEC 62443、API 1164和NIST網絡安全框架。他們還積極參加有關產品安全、OT和物聯網網絡安全的行業協會和會議。

該公司向ARC表示，在過去5年裏，他們已經執行了1000多個OT或物聯網網絡安全項目，OT/物聯網可見性和監控解決方案已部署在全球270多個站點。他們還表示，95%的財富500強能源公司是德勤的客戶，他們已經與OT和物聯網網絡安全供應商建立了20多個聯盟。

德勤CPS網絡安全業務是基於製定企業範圍戰略的框架，以應對客戶在網絡物理係統安全方麵麵臨的許多挑戰。以下OT安全框架是德勤框架廣泛性質的一個例子。該公司在物聯網和產品安全方麵也有類似的框架。

德勤為關鍵基礎設施運營商和CPS開發人員提供廣泛的服務，以開發、實施和管理其運營和產品的安全性。這包括:

CPS的使用者

• OT/IoT安全項目成熟度評估
• OT/IoT安全方案設計、開發、實施和運營
• OT/IoT監控技術的選擇、部署、優化和管理
• OT/IoT管理的安全服務
• OT/IoT安全風險評估
• OT/IoT攻擊路徑分析
• OT/IoT漏洞合理化和管理
• OT/IoT法規遵從性和就緒性支持
• OT/IoT係統安全測試

網絡物理設備和產品的開發者

• 產品安全方案成熟度評估
• 產品安全方案的設計、開發、實施和運行
• 安全的開發支持
• 產品安全風險評估
• 產品安全測試
• 區域合規支持
• 產品安全管理器™定製、部署和支持
• 監管意見書支持
• 事後市場安全風險管理

結論

CPS安全性不足對全球關鍵基礎設施的安全性和盈利能力構成嚴重威脅。這些係統中使用的物理和網絡資產的多樣性已經超過了大多數內部網絡安全計劃的能力。任何公司都不能忽視這些日益嚴重的網絡事件風險。

這份ARC報告討論了CPS安全的挑戰，以及需要新的、全麵的戰略，以確保跨網絡物理供應鏈的安全得到妥善解決。運營商可能無法控製所有的組件，但一旦發生事故，他們將首當其衝。

正如德勤對IT、OT、IoT和IIoT網絡安全能力的討論所表明的那樣，有些公司了解全麵的風險，可以幫助您建立和實施有效的戰略。因此，關鍵基礎設施運營商麵臨的最大風險是忽視了解決這些關鍵安全問題的緊迫性。

ARC谘詢集團客戶可在ARC客戶端門戶

如果您想購買這份報告或獲取如何成為客戶的信息，請聯係我們

關鍵詞:關鍵基礎設施，網絡物理係統，網絡安全，德勤，ARC谘詢集團。