近20年来,保护自动化系统(尤其是关键基础设施中的自动化系统)免受网络攻击,一直是当务之急。很多行业协会和组织已经制定了相关标准、实践和指南。一些国家的政府机构和国家实验室,也制定了相关的框架、指南和法规。
传统的自动化公司已经对其产品和服务进行了重组,以更加关注安全性。新的公司则提供技术和服务来满足预期需求。尽管进行了所有这些活动和投资,但很多专家表示,距离确保这些关键系统的安全,我们还有很长的路要走。到底是什么阻碍了我们?
问题的答案,与具体情况一样多。但是,它们仍有一些共同主题。许多资产所有者发现,如果没有具体和紧迫风险的证据,很难定义改变其安全实践的商业案例。可用的指南集,看起来庞大、令人困惑且可能相互矛盾,其他人可能难以从中进行选择。许多中、小型公司根本没有必要的员工或专业知识,来充分满足对网络安全计划的需求。
01
通用标准还是行业特定标准?
其中一个更有趣的讨论主题是:标准和指南应该是广泛而通用的,还是应针对特定行业量身定制。多年来,它一直在工业网络安全界引起激烈的争论。基于行业相似性多于差异性的现状,应制定适用于各个行业的标准和实践,这一主张已经引发了一系列回应,具体取决于个人的观点。这里有一个与Kübler-Ross模型的有趣类比,也被称为“悲伤阶段”,它描述了与创伤相关的情绪状态的不同阶段(图1)。
▲图1:对共同标准和实践的回应。
虽然这个模型可能并不完全适合这种情况,但它确实提供了一个背景和步骤,使讨论超越了特定指南的适用性问题,转向降低网络风险需求。目标必须是从可用的指导和实际案例中获取最大价值,而不是仅仅因为这些信息来自不同行业就被忽视。
02
类似的风险和后果
行业之间当然存在差异,但与潜在网络攻击或缺陷相关的风险却相当相似。风险,通常被定义为威胁、脆弱性和后果的函数,还有对可能性的估计。为了全面评估行业和公司之间的相似性,有必要研究每个因素。
对工业系统的威胁有多种形式,从直接攻击到利用这些系统的特性及其通过互联网的可用性或可访问性而进行的非特定攻击。虽然许多资产所有者认为,他们并不是什么知名的公司,没人会攻击他们,但当互联网上出现恶意软件时,他们很容易成为附带受害人。最近勒索软件攻击的案例,就非常清楚地说明了这一点。发布此软件的人可能并没有考虑个人目标,而只是寻找可以利用的漏洞,来加密数据并要求为其付费。
计算风险的另外一个主要因素是脆弱性。正是在这里,我们看到了不同应用之间最大程度的共性。几乎所有基于计算机或自动化系统的行业都使用来自相同主流供应商的产品。近年来,主要供应商的数量有所减少,它们基本上都使用相同的商用现成技术来生产数据库、操作系统和网络设备等组件。这就造成了单一技术,因此自动化解决方案固有的漏洞对所有用户来讲往往都是共同的。
漏洞缓解,要求资产所有者尽快更新或修补其已安装的系统。在修补不可行甚至不可能的情况下,通常需要采用补偿性对策或控制措施来缓解漏洞。案例包括使用各种隔离方法,直至将系统与网络断开连接。工业防火墙和单向网关等产品可实现此功能。
▲图2:美国国家标准与技术研究院网络安全框架(NISTCSF)已被广泛接受为表征有效网络安全响应的通用框架。
在威胁计算中,最重要的组成部分也许是系统受损的潜在后果。这些后果可能远远超过自动化系统停机,甚至会导致无法查看或控制受控过程。在某些情况下,如果没有自动化,就很难或不可能安全地操作这些过程,这样就会依赖自动化安全系统,将其移至安全状态或实现安全停机。正如最近的事件所表明的那样,即使是安全系统本身也容易受到网络攻击。
尽管这些后果的细节因行业而异,但它们的性质即使不同,通常也是相似的:从损失产品或服务,到爆炸、释放有毒材料直至设备损坏。也许最常见的基于潜在后果的行业分组,是所谓的关键基础设施组成部门。
基于上述分析,不同行业面临的风险似乎比人们想象的更相似,这反过来又会让人们得出结论:更多的跨行业共享可能是有益的。
03
自动化系统的共同挑战
还有很多因素经常限制为工业系统创建有效的网络安全计划。这在很多行业应用中都很常见。
标准的复杂性:通常行业标准都是使用非常精确的结构和术语来编写的,以允许创建合适的一致性规范。对于那些不是该主题专家的人来说,这种语言晦涩难懂。不幸的是,这意味着对那些试图在实际情况中应用这些文件的人来讲,这些文件令人生畏,甚至难以理解。这反过来会影响接受和采用程度。很明显单凭标准本身,不足以促进采用经过验证的有效做法。
缺乏实际案例:尽管标准通常记录已被接受的工程实践,但它们也是收集案例研究和用例的起点。案例研究描述特定应用的方法和结果;而用例则侧重于主题的特定方面。在这两种情况下,重要的是要识别和描述构成有效响应基础的共同原则和基本概念,而不管所涉及的是哪个行业。
不幸的是在自动化系统中,通常很难找到实用且具有代表性的案例研究。资产所有者可能不愿分享他们认为是专有或其它敏感的信息,或者他们可能只是没有时间和资源来准备和发布此类文件。最常见的情况是供应商发布案例研究,其中大部分识别信息被编辑,但这些可能被视为特定产品和解决方案的隐晦广告。
需要工作流程指导:有一种特定类型的指南,似乎有特别高的需求。资产所有者和其它希望建立有效网络安全计划的人,非常希望了解他们的同行是如何将此类计划整合到正常工作流程中的。有充分的证据和经验表明,使用项目来实现网络安全的方法,长期来看是不可持续的。就像其它安全策略一样,网络安全必须成为正常流程和程序的一个组成部分。
多重能力:还有一个问题是需要哪些技能或能力来充分应对网络安全风险。显而易见的需求包括:管理和保护信息,以及信息所在的系统和网络方面的专业知识。但在处理自动化系统时,这些还不够。还必须彻底了解受控过程以及用于影响控制的策略和逻辑。这种专业知识只能从自动化和类似的工程专业中获得。信息、系统和网络安全与工程专业知识的结合,是全面解决问题所必需的。
到目前为止,风险的威胁和脆弱性对每个企业来说基本相同,虽然详细后果可能有所不同,但对于被认为是关键基础设施一部分的部门,潜在影响非常相似。那些试图有效应对网络风险的人所面临的挑战也大致相同。此外,通过更多地分享实践和经验,也可以更有效地应对绝大部分挑战。
04
应对措施的要素
鉴于行业之间存在如此多的共性,很明显,更多的合作将有助于解决改善操作系统网络安全的需求。这种合作应包括几个基本的要素:
背景信息:首先,必须有共同背景信息,用其来确定响应的组成部分,并建立彼此之间的关系。
概念和术语:必须有一套共同的概念和术语,跨行业和跨专业的有效协作和合作才有可能。尽管对于自动化行业中的功能元素以及网络和安全专业中的系统元素已经存在,但当各专业必须协同工作时,有时会遇到困难。随着他们彼此之间变得更熟悉,这种情况正在改善。
规范性要求:只有对期望的未来状态有清晰明确的描述,才能做出有效的响应。通常,这以一组规范性要求和相关补充指南的形式出现。重要的是,这些要求仅限于定义要做什么,而不对如何实现做出假设或断言。
推荐实践:要求(即使附有支持或解释性的理由)也是是不够的,因为它们经常以允许定义一致性标准的形式使用广义或通用术语。推荐的做法是遵循这些要求,并使用更适合特定环境的术语来重新定义。因此,可能存在基于单一标准的多种实践,每种实践都针对特定场景。
案例研究和用例:对于系统集成商和资产所有者来说,这可能是最有用的资源,因为它们描述了在先前的工况下哪些是有效的,哪些是无效的。
在创建、审查和共享上述资源时,所有相关专业和利益相关者都必须参与其中。供应商必须与系统集成商、资产所有者和服务提供商密切合作,以应对生命周期各个阶段的活动:从规范和开发到实施、运营和支持。利用所有相关和受影响专业的专业知识也很重要。例如,自动化系统的风险评估,必须包括熟悉底层流程和可能后果的工程师和运行人员的输入。
上述大部分内容已经存在,尽管来源不唯一。这可能会导致需求信息的人缺乏意识和理解。需要更多的合作才能将各个部分组合在一起,并提供全方位的必要指导。此外,还需要提高对现成资源的认识和了解。
美国国家标准与技术研究院网络安全框架(NISTCSF)已推出数年。尽管它是美国推出的,但它也反映了世界其它地区的贡献,并已被广泛接受为表征有效网络安全响应的一般框架。此外,NIST还发布了符合制造业目标和行业最佳实践的网络安全框架制造配置文件的实施指南。
一些组织以各种形式处理了工业网络安全概念、模型和术语;然而,ISA和IEC联合开发了可以说是该领域最全面的标准集。ISA/IEC62443标准不是针对某个行业,而是基于活动、资产和后果标准的组合来定义其范围(图3)。
▲ISA/IEC62443范围标准。
ISA/IEC62443标准的优势在于:这些标准不受特定行业或部门的约束或限制。虽然最初是针对过程工业开发的,但它们已成功应用于轨道交通和采矿等行业。开发这些应用最常见的方法,涉及在相关行业背景下解释概念和要求,并将这种解释用作更集中的推荐实践的基础。
网络安全风险在各个行业都很常见,尤其是在自动化系统中。对这种风险的有效应对应当是建立在多学科知识基础上的。意识到挑战,并在解决方案上进行合作,是确保当前和未来关键资产安全的有效方式。