安全领导:现在就准备好IT、OT和物联网的融合

安全领导:现在就准备好IT、OT和物联网的融合

我们实践安全的方式是否依赖于上下文?

我们有人身安全小组。我们是信息安全和网络安全小组。有时我们会把队伍混在一起。

随着物联网(IoT)的发展,我们公开质疑甚至感叹其中的安全性,如果有的话。

对一些人来说,安全是一个筒仓。对其他人来说,安全是混合的。

Cyberbit首席执行官阿迪达尔(Adi Dar)指出,攻击者并不在意。自从从以色列最大的国防承包商、世界第26大公司Elbit Systems(纳斯达克股票代码:ESLT)剥离出来后,Dar一直是Cyberbit的领头羊。在此之前,达尔曾担任埃洛普的首席执行官 — 世界领先的防务光电技术提供商之一,也是易尔比特集团的一部分。

达尔指出,善于发现裂缝并从裂缝中溜走的攻击者获得优势。理解了这一点,我们就有必要制定一个更完整、更及时的图景。这是一条让我们和我们的组织做好准备的途径。

这就是我们谈话的主旨,详情如下。

信息技术(IT)、运营/工业技术(OT)和物联网(IoT)正在融合。

这不再是未来;这是现实。IT安全领导人传统上将OT视为他人的问题- 工业控制网络管理器- 但今天,银行和其他大型企业都有物联网或OT系统。监控系统、恒温器、暖通空调或门控都是连接在一起的,容易受到网络攻击。Cyberbit目前正在进行的一个项目是保护一座智能建筑- 一个完全连通的政府设施,他们需要的是保护一切- 从笔记本电脑到电子控制器再到物理门。不再有分离。

在网络的另一边- 工业控制网络管理者意识到IT安全现在是他们问题的一部分。以摧毁伊朗20%不明离心机的Stuxnet攻击为例。这次大规模的OT攻击是从一个简单的windows漏洞开始的- 你能想象吗?

传统上,我们从供应商和客户的角度来看待OT安全问题,每一方都看到了问题的一部分,这是他们熟悉的:IT、OT或物联网安全。因此,安全系统只专注于解决问题的一部分。

但袭击者的看法不同。他们不在乎这是真的,OT还是IoT- 他们正在寻找最简单的方法,然后- 他们在哪里能造成尽可能多的伤害。因此,供应商和安全领导人必须开始研究整个安全堆栈- 从IT到物联网再到OT-广泛保护IT。

对于攻击者来说,有很多新的机会:首先,攻击面增加了,所以组织有更多需要防御的东西。然而,防御能力并没有提高。第二,造成损害的方式已经大大增加。几年前,攻击者的目标是摧毁一个公司网站。今天,他们的目标将是关闭整个100层的公司大楼,只需攻击电梯。我们的一些客户是国家电网公司,他们正在将网络安全纳入电网,以避免去年乌克兰发生的事情,当时网络攻击者摧毁了电网,23万人被蒙在鼓里。

或者以最近对旧金山地铁系统BART的攻击为例,或者以Stuxnet攻击为例- 这两种攻击都为新的IT/OT攻击铺平了道路。这只会增长。正如我们在2016年Dyn攻击中看到的,攻击者甚至可以将网络连接摄像头网络变成僵尸网络,发起DDoS攻击。新的网络攻击是多向量的,或者我们喜欢称之为全栈的:它通常是最好的进入方式,OT/IoT是攻击者可以造成伤害的地方。在Stuxnet中,一个U盘被用来最终使离心机停止使用。

在这个新的现实中,有几个问题要问:

我有什么?组织必须映射他们的整个数字资产集合,摆脱传统的只支持IT的方法,并查看每个连接的设备,而不仅仅是端口和端点。今天,这不是传统IT安全审查的一部分- 这必须改变。我们的客户,尤其是工业部门的客户,往往甚至不知道他们拥有什么。当我们绘制SCADA网络图并向客户展示结果时,我们经常听到:“嘿,我甚至不知道我的网络中有这个关键的控制器设备,更糟的是- 它是在线的,连接到互联网上,所以任何人都可以访问它!”

我的人际网络的关键领域在哪里?通常情况下,这些都是接触点- 这是典型的良好保护-接触OT-这是典型的保护不好。这些是攻击者寻找的最薄弱的环节。IT网络是网络连接的,OT经理认为他们的工业网络与IT网络是“空气间隙”,但事实上,你会发现IT和OT连接的接触点。

我有完整的堆栈可见性吗?我对自己的反应过程有信心吗?我们正在描述一种情况,在这种情况下,您可能要保护不同类型的网络、使用多种协议的多种类型的设备,并且您的团队正在使用几十种安全工具- 每个人都要解决一个特定的问题。应对攻击是艰难的,公司缺乏网络安全人才。公司需要开始思考- “如何从一块玻璃上获得IT、OT和物联网的可见性,如何管理所有这些系统的事件响应过程?”

我们所处的环境是,安全团队必须保卫不同类型的网络,拥有多种类型的IT、OT和物联网设备——每种设备都使用不同的协议。但正如我所提到的,安全供应商专注于利基问题,因此团队被迫使用几十种安全工具- 每个人都要解决这个具体问题。这是有道理的,因为一个网络安全初创企业不能掌握多个领域,而且整合是困难的。

然而,随着网络安全人才的日益短缺,事件响应者不可能掌握20多种工具来管理多媒介攻击。他们没有任何可视性和态势感知- 安全操作中心(SOC)分析师通常需要监视10多个屏幕,每个屏幕监视不同的系统或网络,或者提供某种类型的数据馈送或情报。这种情况下不可能有态势感知。

公司需要彻底改变思维方式,从一块玻璃板上管理安全性—从仪表板开始,仪表板可以将所有IT、OT和物联网数据整合到一个屏幕上,并为您提供可视性和态势感知,以及从一个位置管理事件。这是我们Cyberbit每天都在思考的问题,例如,在我们的智能建筑项目中,所有数据都输入中央SOC。

SCADA和IoT非常相似,因为它们使用非标准的协议和设备,所以安全供应商和领导者应该开始将它们视为同一个问题。我们需要把注意力转移到多向量攻击上,开始共享信息,共同解决这些问题。现在有几个信息共享和分析中心(isac)专注于在对等方之间共享信息以解决复杂的安全问题。

我们也要意识到无论你做什么- 不管你是从哪里被袭击的- 您将受到攻击,其中一些攻击将进入您的网络。因此,组织应该考虑获得非常好的检测能力,以帮助他们尽快了解攻击- 在这成为问题之前。

现在是采取行动的时候了,所以你应该开始问这些问题,并敦促改变方法和解决方案的设计。现在朝着这个方向前进为未来的成功和真正的全栈安全奠定了基础,以应对多向量威胁。