趋势与观点 | 如何创建企业操作技术(OT)网络安全计划
随着网络安全重要性的日益上升,许多组织正在考虑实施操作技术(OT)网络安全计划来提升其安全态势。有无数的专家和文献可以帮助企业建立一个IT网络安全计划,但对于OT网络安全来说,情况不容乐观。OT包括一系列与物理环境互动的可编程系统和设备(例如,工业控制系统[ICS]、建筑自动化系统、运输系统、环境监测系统)。IT从业人员可以依靠美国国家技术研究所(NIST)的网络安全框架(CSF)或许多其他标准之一,反观OT网络安全从业人员,往往难以找到制定强大网络安全计划的标准框架。然而,有几个原则可以作为OT网络安全计划的基础。
OT独特的关注点
OT环境带来了异于IT的关注。例如,OT的首要问题是确保数据的可用性、完整性和保密性。由于OT的重点是控制和监测物理过程和环境,可用性发挥着关键作用。OT系统必须持续可用,并能对事件和警报做出实时响应。此外,任何未经授权的修改(即数据完整性的丧失)都会使控制系统失效,并导致灾难的发生。
此外,使用寿命长、淘汰、健康、安全和环境问题都是推动OT决策的因素,而这些因素在IT领域并不总是发挥重要作用。IT的重点按顺序分别是保密性、完整性和可用性。这是因为IT强烈强调用户隐私,使得保密性特别重要。
构建操作技术网络安全计划
网络安全计划的主要目的是为管理企业的网络安全风险提供一个有组织、一致和全面的方法。在部署时,网络安全计划应该为管理层提供对安全水平的合理信心。一个OT网络安全计划应该解决所提到的OT问题,这些问题最终会给企业带来风险。
如下的安全原则和标准可以作为一个有效的网络安全计划的基础:
-
国际电工委员会(IEC)的IEC 62443系列标准,包括专门为确保ICS安全而制定的标准。
-
NIST的CSF,一个专门为减轻组织的网络安全风险而建立的框架
-
网络安全能力成熟度模型(C2M2),一个专门用于指导OT相关网络安全能力和活动的成熟度模型。
-
普渡企业参考架构(PERA),在OT行业大量使用的功能架构
-
NIST特别出版物(SP)800-82,一个OT最佳实践
-
ICS供应商,他们经常发布白皮书和其他支持资源,可用于建立网络安全计划
在创建和实施有效的OT网络安全计划方面,不存在一个一劳永逸或一刀切的方法。应结合使用所列选项来创建一个有效的、有目的的OT网络安全计划。像C2M2这样的成熟度模型是一个很好的起点。C2M2是为OT定制的,提供了OT网络安全计划应支持的能力和活动。与其他成熟度模型不同,C2M2还提供了一种衡量网络安全成熟度能力的方法,从而量化了项目的成熟度。这提供了一个不断改进的途径。可以创建与C2M2网络安全领域相一致的治理文件,以确保所有能力和活动都得到关注。
此外,以C2M2为基础建立的网络安全计划可以映射到IEC 62443网络安全控制,以确保实施人员、过程和技术(PPT)控制,进一步丰富C2M2中规定的活动。这种双向的方法解决了高层次的能力和低层次的技术控制。例如,在C2M2 v2.1中,在第三方风险管理领域的管理第三方风险目标中,描述了与识别和实施网络安全要求有关的活动。IEC 62443-2-4提供了指导,在实施时,可以实现C2M2的活动。
结论
对OT基础设施的攻击正在增加,企业必须开始解决OT网络安全的需求,以减轻和对抗攻击。应采用有组织、一致、可扩展和标准驱动的方法来制定OT网络安全计划。应利用特定的OT标准、框架或成熟度模型建立OT网络安全计划。理想情况下,从业人员应从具有测量方法的特定OT成熟度模型开始。这将有助于组织确定其当前的安全态势并计划未来的改进。此外,从业人员应采用特定于OT的标准和控制措施,以启用和实施成熟度模型中的活动。
编者注:本文首次发表于2022年10月20日ISACA官网News and Trends /Industry News。尾注略。文章内容仅代表作者本人观点。
作者:Sri Mallur, CISM, CRISC,是一名ICS网络安全顾问,负责监督一家大型石油和天然气公司的网络安全治理和风险。他曾在汽车、保险、化工、卫生、技术和娱乐部门管理应用(app)安全、治理和风险项目和团队。他目前正在研究使用机器学习(ML)来解决OT网络安全的可扩展性问题。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理。