趋势与观点 | 网络安全中的“汉隆剃刀”思维

2021年2月,美国佛罗里达州坦帕市附近一个沿海城市的供水受到了极大关注。大约15000人的供水中氢氧化钠(碱液)含量从百万分之100(ppm)达到超过11100 ppm。碱液通常用于净化水供应,所以它的存在本身并不值得注意,但正如化学家经常说的那样:“剂量决定毒性”,就所示的碱液含量水平而言,这确实是一种危险的状态。那么,事情是怎么发生的呢?

调查显示,工业控制系统(ICS)上启用了某种类型的远程访问,该系统由五台计算机和几台iPad组成。这并没有立即引起人们的关注,因为管理员经常使用远程访问工具。然而,在一次大约五分钟的入侵过程中,有不法分子启动了非标准程序,改变了释放到供水中的碱液水平。

这一事件印证了世界各地网络安全专业人员的担忧,即与水、废水、粮食、农业和大坝等关键基础设施有关的网络安全工作资金不足。其中许多行业依赖于运营技术(OT)而不是IT。这种区分是为了表明IT在价值主张中的地位,将其从纯粹的信息资产提升为运营资产。OT系统的底层技术往往已经过时,或者被指定用于远程访问,以平衡资源的可用性和安全性。正是这一事实使供水事件成为一场可预见的网络悲剧,并对现实世界产生影响。值得庆幸的是,在受污染的水导致任何人生病或中毒之前,这一事件得到了制止。所有人从中得到的教训是,需要认真对待这一事件,需要调整预算以确保此类事件不再发生,这是人们经常听到的有关此类悲剧的老生常谈。

不过,整个事件的真相并非如此,或者至少,它背后的动机是假想的。根据最近的报道,这次事件中,内部工作人员访问系统,点击了错误的碱液添加量。他们立即纠正了错误,并尽职尽责地向主管报告。而媒体的报道却将这次事件与网络安全问题联系起来,并把它描绘成黑客攻击。这引发了美国联邦调查局(FBI)和美国特勤局为期4个月的调查。而调查结果并没有发现黑客入侵的证据。

网络安全专业人士很容易因为网络攻击的相关言论而兴奋。毕竟,如果我们是别人所说的网络捍卫者,那这就是我们存在的理由。然而,风险专业人士必须从概率角度看待问题,并理解,无论职业兴奋度有多高,都有必要将资源分配到最可能和最具影响力的关注领域。

汉隆剃刀是一句谚语,它的意思是:“能解释为愚蠢的就不要解释为恶意。”虽然在这种情况下有些刺耳(毕竟,每个人都会犯错),但它确实抓住了供水事件的本质。事件发生后,人们立即相信一定有某个不法分子在毒害成千上万的佛罗里达人。事实上,是有人点击了错误的按钮。虽然不那么令人兴奋,但可能性要大得多。我经常开玩笑说,随着年龄的增长,我的伤病与虚张声势的神奇壮举越来越没关系。我腿上的伤口不再是为了保护家人免遭野狼袭击而留下的,而是因为撞到了咖啡桌。然而,真正可笑的是,真相往往如此,谢天谢地。

在网络安全领域,我们很少关注如何防止用户犯错的方法。为什么要有一个按钮,允许用户在供水中分配致命剂量的碱液,而我们只希望这个按钮永远不会被按下?与之相反,为了完全避免这种情况,我们是否可以通过编程实现一些功能?我们永远不应该忽视网络安全方面的外部对手,但我们也不应该忽视来自我们内部的对手。
 

编者按: 本文于2023年5月17日首次发表于ISACA官网News and Trends/Newsletters/@isaca。文章内容仅代表作者本人观点。
作者:Jack Freund,博士,CISA、CISM、CRISC、CGEIT、CDPSE、NACD.DC,是BitSight的副总裁兼网络风险方法论负责人,《度量和管理信息风险》一书的合著者。
翻译:唐四宝(Jerry Tang),CISA, CDPSE,CZTP,ISACA微信公众号特邀通讯员。
校对:姚凯(Kevin Yao),CISA,CISM,CRISC,CGEIT,CDPSE,ISACA微信公众号特邀通讯员,关注IT安全,隐私保护和数字化。