首席信息安全官的角色將會被物聯(lián)網(wǎng)怎樣改變

企業(yè)需要采用基于風(fēng)險的方法為未來做好準(zhǔn)備，遵循一些方法和步驟可能會有所幫助。

調(diào)研機(jī)構(gòu)Garner公司最近發(fā)布的一份調(diào)查報告表明，首席信息安全官（CISO）的角色正在迅速發(fā)生變化，其中包括管理安全風(fēng)險以及保護(hù)敏感信息。這種轉(zhuǎn)變是由網(wǎng)絡(luò)物理系統(tǒng)（CPS）的部署所驅(qū)動的，例如建筑管理系統(tǒng)和醫(yī)療保健設(shè)施中使用的物聯(lián)網(wǎng)（IoT）設(shè)備，制造工廠、石油和天然氣行業(yè)中使用的運營技術(shù)（OT）設(shè)備，以及天然氣設(shè)施、能源和水務(wù)、交通、采礦和其他重要的工業(yè)基礎(chǔ)設(shè)施。

因為網(wǎng)絡(luò)物理系統(tǒng)（CPS）涵蓋了數(shù)字世界和物理世界，所以它們是尋求造成重大安全和環(huán)境事件和運營中斷的攻擊者的主要目標(biāo)。例如，對石油化工設(shè)施中的安全系統(tǒng)進(jìn)行TRITON攻擊、烏克蘭電網(wǎng)攻擊、NotPetya和Norsk Hydro勒索軟件攻擊。

此外，微軟公司在去年8月發(fā)布的調(diào)查報告表示，觀察到一個由激進(jìn)國家資助的威脅團(tuán)體將物聯(lián)網(wǎng)設(shè)備作為企業(yè)網(wǎng)絡(luò)的入口點，他們試圖從中提升權(quán)限，以發(fā)動進(jìn)一步的網(wǎng)絡(luò)攻擊。最近，還看到網(wǎng)絡(luò)攻擊者破壞物聯(lián)網(wǎng)構(gòu)建的訪問控制系統(tǒng)，以攻擊企業(yè)網(wǎng)絡(luò)。

行業(yè)分析師估計，不久將在全球范圍內(nèi)部署約500億臺物聯(lián)網(wǎng)設(shè)備，從而大幅增加攻擊面。由于這些嵌入式設(shè)備無法受到基于代理的技術(shù)的保護(hù)，并且通常未打補(bǔ)丁或配置錯誤，因此首席信息安全官（CISO）需要新的戰(zhàn)略來減輕物聯(lián)網(wǎng)安全風(fēng)險。否則不難想象，監(jiān)管機(jī)構(gòu)和企業(yè)責(zé)任律師將很快追究企業(yè)高管的過失和個人責(zé)任，原因是他們未能實施與安全相關(guān)的安全控制措施。

緩解網(wǎng)絡(luò)物理系統(tǒng)（CPS）和物聯(lián)網(wǎng)風(fēng)險的五個步驟

美國愛達(dá)荷州國家實驗室（INL）已開發(fā)出一種解決方案，以解決網(wǎng)絡(luò)物理系統(tǒng)（CPS）和物聯(lián)網(wǎng)/ 運營技術(shù)風(fēng)險，即結(jié)果驅(qū)動型網(wǎng)絡(luò)信息工程（CCE）?；谶@種方法，以下是企業(yè)在不久的將來都應(yīng)該優(yōu)先考慮的五個步驟：

（1）保護(hù)重要的事物：企業(yè)不能一直保護(hù)所有事物，但是可以在大多數(shù)時間保護(hù)最重要的事物。因此，對其故障將導(dǎo)致重大安全或環(huán)境事件或運營中斷的功能進(jìn)行優(yōu)先排序是關(guān)鍵。通過與業(yè)務(wù)所有者、基礎(chǔ)設(shè)施經(jīng)理和運營技術(shù)人員的對話，確定最需要預(yù)先保護(hù)的內(nèi)容。

（2）繪制數(shù)字地圖：識別和分類組織中的所有連接資產(chǎn)，無論它們被認(rèn)為是IT、物聯(lián)網(wǎng)、樓宇管理系統(tǒng)（BMS）、運營技術(shù)或智能個人設(shè)備。這包括了解信息如何在企業(yè)的網(wǎng)絡(luò)中移動以及與誰接觸設(shè)備，其中包括具有遠(yuǎn)程訪問連接的第三方供應(yīng)商和維護(hù)承包商。

（3）闡明最可能的攻擊路徑：分析網(wǎng)絡(luò)中的風(fēng)險和漏洞，以確定對企業(yè)的寶貴資產(chǎn)和流程最可能的攻擊媒介?？梢允褂米詣油{建模識別其他切入點，例如社會工程學(xué)和對網(wǎng)絡(luò)設(shè)施的物理訪問，來完成此任務(wù)。

（4）緩解和保護(hù)：一旦企業(yè)對最可能的攻擊路徑有所了解，就應(yīng)制定優(yōu)先級降低風(fēng)險的方法。這可以包括以下步驟，例如減少全球互聯(lián)網(wǎng)可訪問的入口點的數(shù)量，使用零信任度微細(xì)分策略將物聯(lián)網(wǎng)和運營技術(shù)設(shè)備與其他網(wǎng)絡(luò)隔離，以及修補(bǔ)最有可能的攻擊路徑中存在的關(guān)鍵漏洞。持續(xù)進(jìn)行的補(bǔ)償控制主要圍繞利用連續(xù)的網(wǎng)絡(luò)安全監(jiān)控和無代理安全性來立即識別可疑或未經(jīng)授權(quán)的行為，例如采用攝像頭瀏覽Active Directory。

（5）消除IT、運營技術(shù)（OT）、物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng)（CPS）之間的孤島：作為首席信息安全官（CISO），保護(hù)企業(yè)安全意味著要對所有數(shù)字安全負(fù)責(zé)，無論是IT、運營技術(shù)（OT）、物聯(lián)網(wǎng)還是網(wǎng)絡(luò)物理系統(tǒng)（CPS）。創(chuàng)建統(tǒng)一的安全監(jiān)控和治理需要對人員、流程和技術(shù)采取整體方法。技術(shù)方面包括將所有物聯(lián)網(wǎng)/運營技術(shù)安全警報轉(zhuǎn)發(fā)到安全運營中心，并利用現(xiàn)有安全信息和事件管理（SIEM）、業(yè)務(wù)流程自動化和響應(yīng)（SOAR）以及預(yù)防機(jī)制（防火墻和網(wǎng)絡(luò)訪問控制系統(tǒng)）來快速響應(yīng)物聯(lián)網(wǎng)和運營技術(shù)事件，例如快速隔離已被檢測為惡意流量源頭的物聯(lián)網(wǎng)設(shè)備。

積極為未來做好準(zhǔn)備

如今，從激進(jìn)國家到網(wǎng)絡(luò)犯罪分子以及黑客，都有強(qiáng)烈的動機(jī)、決心、能力進(jìn)行破壞。

行業(yè)專家一致認(rèn)為，堅定的網(wǎng)絡(luò)攻擊者最終將找到侵入企業(yè)網(wǎng)絡(luò)的方法，因此，更好的策略是部署監(jiān)視以在攻擊鏈的早期偵察階段發(fā)現(xiàn)他們，以便在網(wǎng)絡(luò)攻擊可能造成重大破壞之前減輕攻擊。例如，在TRITON對一家石化工廠安全控制系統(tǒng)的攻擊中，由于該工廠控制系統(tǒng)有一個存在幾年的漏洞，該漏洞導(dǎo)致這家工廠關(guān)閉一周。

企業(yè)的董事會和管理團(tuán)隊必須認(rèn)識到物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng)（CPS）帶來的新安全風(fēng)險，并使用基于風(fēng)險的方法積極地做好準(zhǔn)備。