一个人的手在笔记本电脑上打字的特写,图像上叠加蓝色网络安全图标插图

网络安全

管控网络风险与威胁:回归基本原则

主讲:Mike Lester



 

网络攻击每天都在上演。今年早些时候的 SolarWinds 黑客攻击,影响了包括 Microsoft、Intel、Cisco 等大公司;而后 Colonial Pipeline 为预防攻击事件紧急关闭运营,中断了石油和天然气供应;还有最近影响到全球咨询公司 Accenture 的LockBit 勒索软件攻击,这些事件屡见不鲜。随着独立犯罪组织和国家支持的团体进行的黑客行为不断浮现,一些公司董事会、政府主管部门和立法机构越来越重视这方面的问题。

这类网络攻击不一定使用新的攻击技术,但越来越严重,越来越频繁。一个制造企业虽然无法保证永远不会受到网络攻击的影响,但企业和网络安全负责人完全可以采取一些基本措施,消除数据孤岛,整体运作并采取最佳实践,减少这类威胁造成的风险。

这些问题是行业达成共识的头等大事,需要在日常与客户合作,打下坚实基础,将风险降到最低。以下是我们最建议生产客户落实的基本准则。

进行业务运营筹划
制造商必须将业务和制造系统详细安排到每个职能部门、营收来源或任务。这样有助于了解并掌握每个流程,在网络攻击面前实现业务连续性和灵活性,类似于商业危机管理。一般来说,业务运营筹划需要高级行政管理对跨职能利益相关者给予支持,其中涵盖生产运营、工厂网络安全、IT 安全、生产系统、企业系统等。这是个重头戏,需要大量学习并寻求指导,才能形成框架。

全面分析威胁
制造商应对威胁进行全面彻底的分析。此过程的最佳实践是熟悉 MITRE ATT&CK 矩阵,特别是最近开发的 MITRE ICS ATT&CK 矩阵,它以现实世界攻击中对手使用的战术和技术的全球知识库为基础。

评估网络安全防护
必须进行网络安全评估或审计,确定并评估目前实行的网络安全控制与操作。其中应包括对三大支柱的评估:人员、流程和技术,以人员为主,并进行新技术和新流程的技能提升。技术的作用需要人员促成。评估时最好与艾默生这类拥有领域专业技能、熟悉工业控制系统与运营的自动化供应商合作。

制定防御战略
公司应利用威胁分析和网络安全评估掌握的知识,制定一套纵深防御战略,弥补弱点,缓解可能由直接网络攻击、间接网络攻击或运营能力下降对所有运营造成的风险。战略中,应当对或缺漏或威胁进行风险排序,优先解决最高风险,维持控制的灵活性。

我们观察到,在进行人员、流程和技术三大支柱的评估时,客户在寻求外部资源;培训人员或提高人员技能;为建立强有力的防御而改变特定流程、技术控制、系统或架构的过程中,常常有很大收获。 行动计划还要对标组织的业务连续性和灾难恢复计划——正如应对系统错误或硬件故障而中断业务,网络攻击响应计划需要明确、积极的流程,并以遏制力和恢复时间为目标。

这类防御战略要考虑到最坏的情况。例如,针对生产设施,我们要准确备份计算机系统以防故障,还要硬拷贝订单、标签和联系人,以便计算机停用时转为人工操作。并非每次都会出现这种情况,不断更新备份和连续性计划是为了使公司处于最好状态,即使在发生网络攻击时也能保持运营。

定期审核和更新保证有效性
确定了纵深防御战略后,还应有条理、有目的、有规律地测试和审核,保证其有效性,并且不影响正在进行的运营或引发其他风险。实施新的实践和技术时,应当更新职位、职责和员工培训。

制造商应立即采取行动,了解公司面临的网络威胁规模和类型。威胁和网络攻击不但真实存在,甚至愈演愈烈。网络安全应该是制造商和所有公司的首要任务,要确定适当的积极性和防御性网络安全运营与控制,保护重要的数据、流程和业务。企业领导应与网络安全负责人保持联系,了解后者的需求,在董事会层面确定紧迫程度、给予支持,帮助评估、掌握并管控网络风险。

请启用 JavaScript 以使用此网站。