概述
人們普遍認為,保護工業控製係統(ICS)免受各種類型的惡意軟件和故意攻擊應該是所有資產所有者的優先事項。標準機構、供應商和資產所有者已經在各種行業中響應了這一迫切需要,提供了幾種類型的指導和方向,包括
框架、標準和實踐。上述每一種反應都很重要,甚至是必要的,但坊間證據表明,即使把它們綜合起來使用,也是不夠的。它們必須以實際經驗為基礎的實際例子加以補充。
大多數人可能會同意,從別人的經驗中學習有真正的好處,特別是如果有機會觀察在類似情況下哪些措施有效或無效。考慮到用於安全程序的資源通常是有限的,避免錯誤步驟是非常重要的。這是在許多其他領域進行基準測試的基礎。不幸的是,人們往往不願分享有關網絡安全風險的某些要素的信息。雖然威脅和漏洞由供應商和研究人員共享,但資產所有者可能不願意或無法共享他們的響應細節,因為擔心這些信息會落入攻擊者之手。雖然個案研究作為實際指導來源的需要比以往任何時候都更加重要,但它們的數量仍然有限。
有用指導的狀態
多年來,對於改善工業係統網絡安全所需的實際指導和方向的需求已經確立。隨著對問題本質的理解和理解水平的發展,可用指導的數量、性質和質量也有所提高。不幸的是,這也導致這類信息的潛在來源的數目增加。具有諷刺意味的是,這反過來可能會產生不確定性,即哪一種來源是最好的,以及到哪裏去尋找最適用和最實用的指導。
提高意識
隨著更多的部門認識到其潛在風險的性質和嚴重性,對挑戰性質的認識水平有所提高。這證明了許多個人和組織努力將通常被視為模糊和不具體的安全風險轉化為解決違規或妥協的潛在影響的術語。增加對實際事件的報道和認識有助於提高這種認識。
公布潛在威脅和事件也提高了資產所有者和其他利益相關者的意識。盡管這些可能有時會被忽視,甚至因為發生概率低而被否定,但它們確實為改進網絡安全響應提供了理由。與那些可能被視為模糊或不具體的威脅相比,漏洞更難被忽視。它們的存在是在特定情況下使用的特定技術的功能。
從意識到理解
理想情況下,提高意識可以更好地理解風險的本質。不幸的是,情況並非總是如此,因為這需要詳細了解所有風險因素,包括潛在後果。隻有對所考慮的係統有詳細的了解,才能充分了解結果。網絡安全風險的潛在後果可能與更傳統的風險(如與過程安全相關的風險)相同。重要的是要承認潛在的風險——不管是否采取了緩解措施——以及某些風險可以簡單地接受,而不管是否采取了任何緩解措施。
可用的資源
對於那些負責定義和實施網絡安全計劃的人來說,有各種有用的資源可用。標準可從幾種來源獲得。在某些情況下,它們是由特定行業組織開發的,並為相關行業或部門量身定製的。能源部門的NERC CIP標準就是這樣一個例子。更廣泛的標準,如ISA/IEC 62443和ISO-27000係列中的標準,可以通過使用概要文件或推薦的實踐應用於一係列行業。
盡管框架經常與標準混淆,但它們是完全不同的。框架不是指定有效網絡安全的詳細要求,而是描述定義網絡安全響應的方法,引用一個或多個標準作為更詳細要求的來源。也許這種類型最著名的來源是NIST網絡安全框架(NIST CSF)。
雖然實踐可以有多種形式,但它們的目的是提供基於經驗的實際指導。雖然它們可能是最有用的,但往往也是最難找到的。可以開發用例來描述如何執行特定的操作,案例研究描述特定的應用程序或解決方案,以及經驗教訓的總結。
是什麼阻礙了我們?
雖然有大量關於有效的工業網絡安全實踐的信息,但以綜合計劃的形式實施仍然沒有達到應有的水平。毫無疑問,造成這種情況的詳細原因與個別情況一樣多,但障礙和緩解因素可分為幾大類。
ARC谘詢集團客戶可在ARC客戶端門戶
如果您想購買這份報告或獲取如何成為客戶的信息,請聯係我們
關鍵詞:基準測試,案例研究,網絡安全計劃,工業網絡安全,IT/OT,用例,ARC谘詢小組