压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

工業(yè)控制系統(tǒng)(ICS)安全是當(dāng)今公司企業(yè)的重要考慮。卡巴斯基實(shí)驗(yàn)室非常了解這一點(diǎn)。在其《2018工業(yè)網(wǎng)絡(luò)安全狀態(tài)》報(bào)告中，3/4的受訪者確認(rèn)ICS安全是他們公司的首要考慮。

但該俄羅斯安全公司發(fā)現(xiàn)，很多公司企業(yè)其實(shí)并未采取有效措施來解決這一焦慮。比如說，適用于ICS網(wǎng)絡(luò)安全的行業(yè)和政府指南及規(guī)定，就只有不到1/4(23%)的調(diào)查參與者遵從了其中強(qiáng)制性的那一小部分。10%的公司企業(yè)依然沒有監(jiān)測其遭遇的網(wǎng)絡(luò)安全事件和數(shù)據(jù)泄露。

該調(diào)查研究的調(diào)查結(jié)果凸顯出公司企業(yè)須做更多工作來強(qiáng)化其ICS安全。最好的方法之一就是不要采用零散的安全措施來保護(hù)其工業(yè)控制系統(tǒng)。隨著IT-OT的不斷融合，如今的工業(yè)環(huán)境對(duì)于這種臨時(shí)組成的方法而言太過復(fù)雜了。相反，公司企業(yè)應(yīng)在正式的ICS安全項(xiàng)目框架內(nèi)組織自己所有的力量以護(hù)衛(wèi)其工業(yè)控制系統(tǒng)。

ICS安全項(xiàng)目是什么？

ICS安全項(xiàng)目就是幫助公司企業(yè)保護(hù)其ICS技術(shù)的計(jì)劃。這類項(xiàng)目想要有效，就必須反映出現(xiàn)代工業(yè)環(huán)境的復(fù)雜性。因此，公司企業(yè)應(yīng)遵從安全公司火眼的指南，確保其項(xiàng)目將IT和OT資產(chǎn)都納入了考慮。

當(dāng)然，網(wǎng)絡(luò)安全項(xiàng)目不是病態(tài)的。正如威脅也在不斷發(fā)展變化，公司企業(yè)應(yīng)審查和更新其計(jì)劃，以反映出自身面對(duì)新的運(yùn)營、監(jiān)管和業(yè)務(wù)需求改變時(shí)的安全需求。只有這樣，他們才能獲得自身IT和ICS資產(chǎn)風(fēng)險(xiǎn)的全面可見性。

具體步驟

公司企業(yè)該如何打造有效的ICS安全計(jì)劃呢？

1. 說服高管

只有獲得公司高層的重視，ICS安全項(xiàng)目才有可能獲得成功。而為了說服這些高層管理人員，就必須為ICS安全項(xiàng)目打造一個(gè)商業(yè)案例。該案例應(yīng)探索創(chuàng)建此類項(xiàng)目的好處，強(qiáng)調(diào)沒有創(chuàng)建該計(jì)劃可能導(dǎo)致的損失和潛在傷害，討論創(chuàng)建和維護(hù)該框架所需的步驟，指明相關(guān)的開銷與資源，同時(shí)還要反映出高層的商業(yè)考慮。為了拿出這么一個(gè)案例，安全人員應(yīng)尋求企業(yè)公關(guān)等內(nèi)部主要團(tuán)隊(duì)的幫助，借助熟悉適用規(guī)則的外部專家的力量。

然后，安全人員應(yīng)將該案例嵌入成功第三方樣例上下文，并將完整商業(yè)案例呈現(xiàn)給公司高管。正如NIST《工業(yè)控制系統(tǒng)(ICS)安全指南》中闡述的，該方法有助于引起公司高管對(duì)企業(yè)所面臨挑戰(zhàn)及其相應(yīng)解決方案的興趣。得到公司高層的支持后，安全團(tuán)隊(duì)就能獲得初步的投資，用以創(chuàng)建該計(jì)劃，并編制出為該項(xiàng)目的未來分配必要資金的路線圖。

2. 集結(jié)團(tuán)隊(duì)

打造安全項(xiàng)目的時(shí)候，安全人員常犯的巨大錯(cuò)誤之一就是缺乏統(tǒng)籌的單干。安全人員需要確保自己納入了其他人的幫助，最好是信息安全經(jīng)理，有權(quán)監(jiān)管整個(gè)項(xiàng)目的那種。有了統(tǒng)籌和監(jiān)管，安全人員就可以開始在由IT人員、控制工程師、控制系統(tǒng)操作員、安全問題專家和企業(yè)風(fēng)險(xiǎn)管理人員組成的動(dòng)態(tài)團(tuán)隊(duì)之間分配任務(wù)了。

3. 定義范圍與安全策略

拉起整個(gè)隊(duì)伍之后，安全人員可以開始構(gòu)筑項(xiàng)目本身了。首先應(yīng)采用被動(dòng)和主動(dòng)掃描工具，整理出所有需要保護(hù)的IT和ICS系統(tǒng)清單。不過，由于掃描PLC和SCADA單元之類資源有可能造成工業(yè)過程中斷，摸查ICS資產(chǎn)時(shí)應(yīng)特別小心，最好聽從NIST的建議，在OT環(huán)境中使用掃描工具前先進(jìn)行工具運(yùn)行機(jī)制的評(píng)估。然后將掃描結(jié)果饋送至自動(dòng)化管理平臺(tái)，保持該資產(chǎn)清單持續(xù)更新。

接下來，安全團(tuán)隊(duì)需定義出ICS安全項(xiàng)目的范圍。信息安全經(jīng)理或其他具有監(jiān)管權(quán)限的人應(yīng)編制寫明該項(xiàng)目目標(biāo)的策略，指定必要的預(yù)算和資源，劃分重要部門職責(zé)。該策略還應(yīng)參考現(xiàn)有信息安全計(jì)劃中可以借鑒的操作。信息安全經(jīng)理可在執(zhí)行了ICS環(huán)境風(fēng)險(xiǎn)評(píng)估之后再作出自己的決策。

4. 測試ICS環(huán)境

至此，安全人員可以開始測試ICS環(huán)境了。理想狀態(tài)下，該測試過程應(yīng)在安全風(fēng)險(xiǎn)管理框架之內(nèi)進(jìn)行，參與人員和團(tuán)隊(duì)各司其職。安全團(tuán)隊(duì)可以幫助信息安全經(jīng)理選擇合適的安全控制——既能反映出ICS環(huán)境風(fēng)險(xiǎn)評(píng)估的結(jié)果，又能補(bǔ)足ICS安全計(jì)劃的項(xiàng)目管理控制。然后，參與其中的每個(gè)人盡職盡責(zé)支持這些ICS安全控制的實(shí)現(xiàn)即可。

上述四步過程并不很難。如果公司企業(yè)可以投資可信解決方案來實(shí)現(xiàn)重要安全控制，該過程還能更簡單一些。該解決方案應(yīng)能提供可以強(qiáng)化客戶公司工業(yè)環(huán)境安全所需的控制和功能。

卡巴斯基《2018工業(yè)網(wǎng)絡(luò)安全狀態(tài)》報(bào)告地址：

https://ics-cert.kaspersky.com/reports/2018/06/28/the-state-of-industrial-cybersecurity-2018-findings-of-joint-survey-by-kaspersky-lab-and-pac/

火眼安全指南：

https://www.fireeye.com/blog/executive-perspective/2016/08/developing_a_securit.html

NIST《工業(yè)控制系統(tǒng)指南》地址：

https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-82r2.pdf