首席信息安全官的角色將會(huì)被物聯(lián)網(wǎng)怎樣改變

企業(yè)需要采用基于風(fēng)險(xiǎn)的方法為未來(lái)做好準(zhǔn)備，遵循一些方法和步驟可能會(huì)有所幫助。

調(diào)研機(jī)構(gòu)Garner公司最近發(fā)布的一份調(diào)查報(bào)告表明，首席信息安全官（CISO）的角色正在迅速發(fā)生變化，其中包括管理安全風(fēng)險(xiǎn)以及保護(hù)敏感信息。這種轉(zhuǎn)變是由網(wǎng)絡(luò)物理系統(tǒng)（CPS）的部署所驅(qū)動(dòng)的，例如建筑管理系統(tǒng)和醫(yī)療保健設(shè)施中使用的物聯(lián)網(wǎng)（IoT）設(shè)備，制造工廠、石油和天然氣行業(yè)中使用的運(yùn)營(yíng)技術(shù)（OT）設(shè)備，以及天然氣設(shè)施、能源和水務(wù)、交通、采礦和其他重要的工業(yè)基礎(chǔ)設(shè)施。

因?yàn)榫W(wǎng)絡(luò)物理系統(tǒng)（CPS）涵蓋了數(shù)字世界和物理世界，所以它們是尋求造成重大安全和環(huán)境事件和運(yùn)營(yíng)中斷的攻擊者的主要目標(biāo)。例如，對(duì)石油化工設(shè)施中的安全系統(tǒng)進(jìn)行TRITON攻擊、烏克蘭電網(wǎng)攻擊、NotPetya和Norsk Hydro勒索軟件攻擊。

此外，微軟公司在去年8月發(fā)布的調(diào)查報(bào)告表示，觀察到一個(gè)由激進(jìn)國(guó)家資助的威脅團(tuán)體將物聯(lián)網(wǎng)設(shè)備作為企業(yè)網(wǎng)絡(luò)的入口點(diǎn)，他們?cè)噲D從中提升權(quán)限，以發(fā)動(dòng)進(jìn)一步的網(wǎng)絡(luò)攻擊。最近，還看到網(wǎng)絡(luò)攻擊者破壞物聯(lián)網(wǎng)構(gòu)建的訪問(wèn)控制系統(tǒng)，以攻擊企業(yè)網(wǎng)絡(luò)。

行業(yè)分析師估計(jì)，不久將在全球范圍內(nèi)部署約500億臺(tái)物聯(lián)網(wǎng)設(shè)備，從而大幅增加攻擊面。由于這些嵌入式設(shè)備無(wú)法受到基于代理的技術(shù)的保護(hù)，并且通常未打補(bǔ)丁或配置錯(cuò)誤，因此首席信息安全官（CISO）需要新的戰(zhàn)略來(lái)減輕物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。否則不難想象，監(jiān)管機(jī)構(gòu)和企業(yè)責(zé)任律師將很快追究企業(yè)高管的過(guò)失和個(gè)人責(zé)任，原因是他們未能實(shí)施與安全相關(guān)的安全控制措施。

緩解網(wǎng)絡(luò)物理系統(tǒng)（CPS）和物聯(lián)網(wǎng)風(fēng)險(xiǎn)的五個(gè)步驟

美國(guó)愛(ài)達(dá)荷州國(guó)家實(shí)驗(yàn)室（INL）已開(kāi)發(fā)出一種解決方案，以解決網(wǎng)絡(luò)物理系統(tǒng)（CPS）和物聯(lián)網(wǎng)/ 運(yùn)營(yíng)技術(shù)風(fēng)險(xiǎn)，即結(jié)果驅(qū)動(dòng)型網(wǎng)絡(luò)信息工程（CCE）?；谶@種方法，以下是企業(yè)在不久的將來(lái)都應(yīng)該優(yōu)先考慮的五個(gè)步驟：

（1）保護(hù)重要的事物：企業(yè)不能一直保護(hù)所有事物，但是可以在大多數(shù)時(shí)間保護(hù)最重要的事物。因此，對(duì)其故障將導(dǎo)致重大安全或環(huán)境事件或運(yùn)營(yíng)中斷的功能進(jìn)行優(yōu)先排序是關(guān)鍵。通過(guò)與業(yè)務(wù)所有者、基礎(chǔ)設(shè)施經(jīng)理和運(yùn)營(yíng)技術(shù)人員的對(duì)話，確定最需要預(yù)先保護(hù)的內(nèi)容。

（2）繪制數(shù)字地圖：識(shí)別和分類(lèi)組織中的所有連接資產(chǎn)，無(wú)論它們被認(rèn)為是IT、物聯(lián)網(wǎng)、樓宇管理系統(tǒng)（BMS）、運(yùn)營(yíng)技術(shù)或智能個(gè)人設(shè)備。這包括了解信息如何在企業(yè)的網(wǎng)絡(luò)中移動(dòng)以及與誰(shuí)接觸設(shè)備，其中包括具有遠(yuǎn)程訪問(wèn)連接的第三方供應(yīng)商和維護(hù)承包商。

（3）闡明最可能的攻擊路徑：分析網(wǎng)絡(luò)中的風(fēng)險(xiǎn)和漏洞，以確定對(duì)企業(yè)的寶貴資產(chǎn)和流程最可能的攻擊媒介?？梢允褂米詣?dòng)威脅建模識(shí)別其他切入點(diǎn)，例如社會(huì)工程學(xué)和對(duì)網(wǎng)絡(luò)設(shè)施的物理訪問(wèn)，來(lái)完成此任務(wù)。

（4）緩解和保護(hù)：一旦企業(yè)對(duì)最可能的攻擊路徑有所了解，就應(yīng)制定優(yōu)先級(jí)降低風(fēng)險(xiǎn)的方法。這可以包括以下步驟，例如減少全球互聯(lián)網(wǎng)可訪問(wèn)的入口點(diǎn)的數(shù)量，使用零信任度微細(xì)分策略將物聯(lián)網(wǎng)和運(yùn)營(yíng)技術(shù)設(shè)備與其他網(wǎng)絡(luò)隔離，以及修補(bǔ)最有可能的攻擊路徑中存在的關(guān)鍵漏洞。持續(xù)進(jìn)行的補(bǔ)償控制主要圍繞利用連續(xù)的網(wǎng)絡(luò)安全監(jiān)控和無(wú)代理安全性來(lái)立即識(shí)別可疑或未經(jīng)授權(quán)的行為，例如采用攝像頭瀏覽Active Directory。

（5）消除IT、運(yùn)營(yíng)技術(shù)（OT）、物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng)（CPS）之間的孤島：作為首席信息安全官（CISO），保護(hù)企業(yè)安全意味著要對(duì)所有數(shù)字安全負(fù)責(zé)，無(wú)論是IT、運(yùn)營(yíng)技術(shù)（OT）、物聯(lián)網(wǎng)還是網(wǎng)絡(luò)物理系統(tǒng)（CPS）。創(chuàng)建統(tǒng)一的安全監(jiān)控和治理需要對(duì)人員、流程和技術(shù)采取整體方法。技術(shù)方面包括將所有物聯(lián)網(wǎng)/運(yùn)營(yíng)技術(shù)安全警報(bào)轉(zhuǎn)發(fā)到安全運(yùn)營(yíng)中心，并利用現(xiàn)有安全信息和事件管理（SIEM）、業(yè)務(wù)流程自動(dòng)化和響應(yīng)（SOAR）以及預(yù)防機(jī)制（防火墻和網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)）來(lái)快速響應(yīng)物聯(lián)網(wǎng)和運(yùn)營(yíng)技術(shù)事件，例如快速隔離已被檢測(cè)為惡意流量源頭的物聯(lián)網(wǎng)設(shè)備。

積極為未來(lái)做好準(zhǔn)備

如今，從激進(jìn)國(guó)家到網(wǎng)絡(luò)犯罪分子以及黑客，都有強(qiáng)烈的動(dòng)機(jī)、決心、能力進(jìn)行破壞。

行業(yè)專(zhuān)家一致認(rèn)為，堅(jiān)定的網(wǎng)絡(luò)攻擊者最終將找到侵入企業(yè)網(wǎng)絡(luò)的方法，因此，更好的策略是部署監(jiān)視以在攻擊鏈的早期偵察階段發(fā)現(xiàn)他們，以便在網(wǎng)絡(luò)攻擊可能造成重大破壞之前減輕攻擊。例如，在TRITON對(duì)一家石化工廠安全控制系統(tǒng)的攻擊中，由于該工廠控制系統(tǒng)有一個(gè)存在幾年的漏洞，該漏洞導(dǎo)致這家工廠關(guān)閉一周。

企業(yè)的董事會(huì)和管理團(tuán)隊(duì)必須認(rèn)識(shí)到物聯(lián)網(wǎng)和網(wǎng)絡(luò)物理系統(tǒng)（CPS）帶來(lái)的新安全風(fēng)險(xiǎn)，并使用基于風(fēng)險(xiǎn)的方法積極地做好準(zhǔn)備。