新思路
现在我们必须停止对数字复杂性与互联性的完全依赖,设计并采用完全不同的网络防御体系。为此,组织必须找出最核心的流程和功能,然后减少或消除可能被攻击者利用的数字通路。
爱达荷国立工程实验室(INL)已开发出一种实用性强的解决方案,即“结果导向、充分考虑网络状况的工程设计”(CCE)。CCE的目标不是进行一次性的风险评估,而是永久改变领导者对于公司网络风险的思考和评估方式。这项方法目前还在试点阶段,但已产生良好效果。我们计划在2019年全面推进CCE,并在2020年授权一些服务公司提供这项解决方案。但CCE的一些核心规范现在就已适用于任何组织。INL为此还开发了一个辅助框架,即“充分考虑网络状况的工程设计”(CIE)。CIE在很多方面类似CCE,同时提供在整个工程生命周期中防范网络风险的方法。
CCE方法包含四个步骤,需要以下人员密切协作:
·CCE专家——现在来自INL,未来则来自INL提供培训的工程服务公司
·所有负责合规、诉讼和风险防控的领导者,包括CEO、COO、CFO、首席风险官、总法律顾问和首席安全官
·负责核心运营部门的管理者
·安全系统专家,以及最熟悉公司核心流程的操作员和工程师
·了解系统和设备可能如何被恶意操纵的网络专家和工艺工程师
对于部分参与者,实施CCE可能会带来压力。例如,新暴露出的重大风险,一开始肯定会让首席安全官很紧张。但这种压力需要克服。面对装备精良的攻击者,首席安全官不可能指望公司万无一失。
1. 找出“皇冠宝石”流程
CCE的第一个阶段是INL定义的“结果优先排序”:模拟灾难性场景或产生严重后果的事件。这要求参与者找出可能影响企业存续的核心功能和流程。例如,如果变压器遭受攻击,电力公司或许一个月无法正常供电;又如,压气站停止工作,燃气公司将无法向用户供气。此外,化工厂或炼油厂安全系统遭受重点攻击,将可能由于压力超过临界值而引发爆炸,导致大量人员伤亡,以及天价诉讼、股价动荡,让领导者丢掉工作。
熟悉高水平黑客行动方式的分析师,将能帮助团队设想潜在攻击者的最终目标。通过思考“如果想扰乱流程或破坏公司,你会怎么做”“突破防御后你会先攻击哪些设施”等问题,团队将能找到攻击后果最严重且最易被攻击的目标,并模拟相关场景,交由公司高层讨论。根据公司规模不同,这一阶段可能需要数周到数月时间。
2. 测绘数字领地
下一项任务一般需要一周,但也可能更长:统计“末日场景”中的所有硬件、软件、通信工具、支持人员和流程,包括第三方服务和供应商。参与者应列出每个生产步骤,详细记录所有控制和自动化系统的部署位置,以及所有与核心功能和流程相关的手动操作或数据输入。这些关联都可能成为攻击者的通路,而企业通常并不完全了解它们。
关于这些要素的现有统计资料总会跟不上现实。诸如“谁能接触你的设备”“信息如何在你的内部网络中流动,你如何保护信息”等问题,总会带来意外发现。例如,某位网络架构师或控制工程师可能会告诉团队,一个关键系统不仅与运营系统相连,还与处理应收付款项、支付和客户信息的商务网络相连,因此实际上接入互联网。通过询问负责供应商事务的管理者,团队可能发现,供应商为进行远程分析和诊断,保留了直接通向关键系统的无线连接。某家安全系统供应商可能声称无法直接与设备通信,而对技术细节和升级流程的仔细检查可能发现实际可以直接通信。任何这种发现都很有价值。
3. 标明潜在攻击路径
下一步,运用洛克希德马丁公司设计的一系列方法,团队找到黑客攻击核心目标最短、最可能的路径,并根据攻击难度排序。主导这个阶段工作的是CCE专家和其他外部专家,包括掌握关于黑客及其攻击方法等敏感信息的人士。他们共享政府情报,了解世界各地发生的针对类似系统的攻击事件。公司对安全系统、处理网络威胁的能力和流程等方面的其他投入,也能帮助团队锁定最可能的攻击路径。在下一阶段,团队据此向领导者推荐防御方案。
4. 制定风险控制和保护方案
在这个阶段,团队针对最高等级的网络风险设计防御方案。假设一个目标的10条潜在攻击路径都经过某个节点,那么无疑应在这里布设“绊网”——一个受到密切监控的传感器,在反常情况刚出现时就向公司的快速反应团队发出警报。
有些防御方案其实很容易实施,而且成本很低。例如,一种纯硬件振动传感器,可以使遭到网络攻击的单元减速或停止运行,防止其自我损害或自毁。其他方案则需要更多资金和时间成本,例如建立与主系统略有差异的冗余系统,以备在受损情况下也能维持核心功能。很多防御方案不会对运营效率和商业机会造成负面影响,但有些确实会。因此企业领导者最终需要考虑,哪些风险能接受、哪些必须避免、哪些可以转移、哪些需要控制,并据此决定下一步行动。
如果某项关键流程必须具备用于跟踪和发送控制信号的数字通道,防御方案应将进出双向的通道数量限制在最少,并让识别异常通信变得更容易。此外,企业可以增加保护装置,在系统接收恶意指令时防止出现灾难性事件。例如,机械阀门或开关可以防止系统的压力或温度超过临界值。有些情况下,企业也可以让可信赖的员工介入,例如监控机械温度计或压力表的读数,确保数字仪表真实准确。如果你的公司未曾经历严重的网络安全事件,尽可能断连、安装过时的机械设备、在自动化流程中安排人工操作等做法,可能会显得是一种退步。但这些实际上是主动的风险管理措施。这些措施可能降低效率,但如果增加的成本能显著降低灾难性事件发生的概率、防御传统方案无法抵挡的攻击,那就是值得的。
不难想象,读到这里的CEO和COO们会持怀疑态度。在任何变革管理计划中,让人们的情感和心智告别已经坚持几十年的观念,都是巨大的挑战。领导者应预想到阻力,尤其在早期阶段。公开大量公司信息,并承认那些原本不知道或不愿去想的缺陷,会给管理者带来很大心理负担。在接下来的步骤中,随着CCE团队仔细探查技术系统和实践中的漏洞,工程师们的韧性将受到考验。即便在对系统进行最严苛的评估时,也一定要让员工感到安全。最终,你将详细了解潜在攻击者的行动方式和可能结果、预见到公司可能遭到攻击的具体方式,这会很有启发性。一旦认识到风险并了解控制风险的最佳方式,对新方案最抗拒的人也会转而支持。
现在能做什么
你必须学着像对手一样思考。你甚至可以建立一个内部团队,让成员定期尝试攻击关键目标,以持续评估公司网络防御的强度。这个团队应包括核心流程、控制和安全系统、运营网络方面的专家。
即便能够保持很高的网络健康度,你也必须防范入侵。最好的方法是效仿重要化工厂和核电站,建立网络安全文化。从最资深到最初级的所有员工都必须知道,当自己操作的计算机系统或机器开始出现异常,一定要快速做出反应。这也许只是设备故障,但也有可能是网络攻击。
最后,考虑到你和防御团队可能被迫放弃核心功能的支持系统,一定要有备用方案。即便达不到最佳状态,备用系统也应能保证公司维持核心运营,而且最好不依赖数字技术、不接入网络(尤其是互联网)。至少,备用系统不应与主系统完全相同,原因很明显:如果攻击者能成功入侵主系统,也能轻松入侵一个完全相同的系统。
每一个依赖数字技术和互联网的组织,都有遭受毁灭性网络攻击的危险。即使是最周密的传统防御措施,也无法抵挡敌对国家、强大犯罪组织或恐怖组织的攻击。保护你的公司的唯一方法,是主动在技术上“后退”一步——其实是工程上的进步。新防御思路的目标是,减少或消除关键部门对数字技术的依赖及与互联网的连接。这样做有时会增加成本,但相比保持现状可能带来的灾难性结果,一定是值得的。(王晨 | 译 刘铮筝 | 校 时青靖| 编辑)
------------------
我并不是一个危言耸听的人。实际上,我尽量不随便说话。”安迪·伯赫曼说。不过,他也许是最有理由“危言耸听”的人。作为爱达荷国立工程实验室(INL)的资深系统网络策略师,伯赫曼观察过美国最危险的网络安全隐患,也见证过很多针对这些隐患的攻击造成的结果。但经验告诉他,发出警告只会适得其反,最好直接干活。
伯赫曼认为,本文介绍的网络安全框架是一面镜子,帮助企业看清“皇帝的新装”。“好的一面是,这面镜子也显示出一些实用方法,帮助你和你的公司快速提升装备水平。”他说。
伯赫曼的整体防御观念并非来自编程或当黑客的经验,而是来自对自然和谈话的热爱。幼年时,他从电视片《野生动物王国》(Wild Kingdom)和自然杂志Ranger Rick得到这方面的启蒙。对环境的关注引领他通过哈佛拓展学院(HarvardExtension School)晚间课程获得环境管理硕士,当时他白天还在美国空军从事计算机方面的工作。他对能源可持续性和安全话题深感兴趣,开设了专门探讨智能系统网络安全的博客(现已停更)。他惊讶地发现志趣相同的人很多,因此相信找到了属于自己的事业。加入INL之前,伯赫曼是IBM全球能源与公用事业安全业务负责人。他现在从事网络安全方面的演讲和写作,并参与新防御思路的研究,本文即成果之一。
虽然伯赫曼认为网络安全威胁组织的发展,而且其严重性正在上升,但他希望避免制造恐慌。他力图帮助人们了解到全部风险,同时提供防范风险的实用指导。“在网络安全领域,英特尔前CEO安迪·格罗夫(Andy Grove)的名言值得牢记——只有偏执狂才能生存。”他说,“随着企业越来越信赖自动化和人工智能,我的偏执也越来越强烈。这些技术当然会带来重大益处,但也会造成极大的依赖性。而正如网络安全‘桂冠诗人’丹尼尔·吉尔(DanielGeer)最近指出的——依赖是风险的源泉。”(王晨 | 译 刘铮筝 | 校 时青靖| 编辑)
安迪·伯赫曼(ANDYBOCHMAN)是爱达荷国立工程实验室(INL)国家和国土安全处,资深系统网络策略师
已有0人发表了评论
哈佛网友评论