海外丨构建工控网络安全的几点思考

埃森哲高级ICS经理Graham Speake在本周于新奥尔良举行的（ISC）²安全大会上发表演讲时说，物联网正在发展，现在正在进入工业领域。因此，安全专业人员必须考虑保护其系统处理的数据。

 “有些行业信息化发展有点慢，”他解释说，并指出以石油和天然气行业为例。Speake说，如果你在六到七年前告诉那些公司，他们会将数据发送到云端，他们会对此表示怀疑。但现在，情况不同了，工业互联网正在迎头赶上。

他继续说，联网设备的数量每年都在增加10%，预计到2020年全球将拥有200多亿台设备。虽然许多联网设备将用于个人，但在工业领域，将会有越来越多的设备与云连接，更多的员工使用可穿戴设备，这既是为了提高生产率，也是为了安全。

例如，Speake描述了通过员工佩戴的设备跟踪其活动路径，以便控制室人员可以监控他们的位置。如果有人暂时没有移动，那可能表明他们遇到了问题。如果进行疏散，系统可以确定是否有人处于危险境地。

他说:“在一个大型炼油厂，或一个大型工厂，很难清晰地定位某个人的具体位置，许多行业（以化工行业为例），越来越多地将机器人技术应用到企业生产当中，作为提高生产效率的手段。

然而，工业控制系统与其他网络的连接产生了新的安全问题。例如，在工业领域，某些组件的使用寿命为5到30年并不罕见 - 远远超过一般设备的使用寿命。控制这些设备的软件更新部署缓慢，这些脆弱的设备连接到其他网络，使工控系统的脆弱性完全暴露。

Dragos威胁运营中心主任本米勒(Ben Miller)在演讲中阐述了工控系统如何应对入侵。

 “ICS安全的关注度并不高，一般企业中，通常是由一个负责安全的工程师，或者是一个负责控制系统网络的安全人员来进行ICS安全管理。”他指出，这两种方法都不可能完全有效，因为培养具备ICS安全技能的人员需要数年时间。”

这是工业组织面临的三大挑战之一。另一个原因是缺乏对ICS环境的可见性，并且缺乏在工业环境中使用IT工具的相关技能。然而，最大的障碍是威胁。

米勒说，我们还不清楚工业环境中的威胁情况。我们大部分关于工控系统的知识都是听别人讲述的;企业并没有建立 ICS威胁相关的数据。缺乏这些安全威胁数据使安全成为一项挑战：如果你不知道安全防护目标是什么，就无法分配资源保护这些系统。

Speake强调说，企业必须综合考虑工控领域既有的安全威胁，又要在使用原有系统和系统上云之间做出选择。

以杀毒软件为例:“它确实有效，但它不会阻止一切。防火墙也是如此。公司通常有这样一种心态——如果我们只是把东西向数据流连接到防火墙，会起到安全防护作用，但防火墙也存在很多问题，也就是说，即使配置了防火墙，也会存在安全问题。” Speake说。

密码安全是另一个例子，在IT部门中，管理员提倡设置复杂的密码并经常更改它们。管理工业控制系统ICS的员工通常不使用密码，因为他们知道谁在使用它们，并且认为自己的系统是安全的，不会受到外界的攻击。

供应商之间也缺乏产品测试和安全培训，因为它们优先考虑的是运行速度。

他补充道:“在这个领域，我们更感兴趣的是将产品推向市场，而不是试图建立安全和弹性。“供应商的问题是，他们不培训安全人员”。虽然有些人开始这样做，但他指出，“这已经晚了几年。”

Speake建议从一开始就建立安全体系，这样系统就会受到默认保护。这意味着不仅要测试设备，还要评估通信的可靠性。如果你必须要求一定程度的安全性，并威胁说如果不提供，就要更换供应商。

采购文件应该明确提出某种级别安全需求，供应商如果不能满足安全需求，就需要寻找其它有能力满足安全需求的供应商。