GE首席信息安全官談IIoT保護(hù)

Michael+Nadeau

編譯 Charles

制造業(yè)巨頭GE對(duì)工業(yè)物聯(lián)網(wǎng)（IIoT）安全進(jìn)行了整體分析，以整合企業(yè)和產(chǎn)品安全。首席信息安全官Nasrin Rezai解釋了為什么這很重要，以及怎樣做。

圍繞網(wǎng)絡(luò)安全的討論大多集中在企業(yè)IT的角色上，它怎樣才能很好地保護(hù)企業(yè)和客戶數(shù)據(jù)。然而，制造業(yè)和工業(yè)領(lǐng)域的企業(yè)必須采取更廣泛的安全措施——因?yàn)槠洚a(chǎn)品和設(shè)備都連接了互聯(lián)網(wǎng)。隨著工業(yè)物聯(lián)網(wǎng)（IIoT）的不斷發(fā)展，制造業(yè)產(chǎn)品和資產(chǎn)成為網(wǎng)絡(luò)攻擊的潛在目標(biāo)。

面臨的挑戰(zhàn)是怎樣讓企業(yè)IT部門和業(yè)務(wù)部門聯(lián)合起來(lái)共同執(zhí)行統(tǒng)一的安全戰(zhàn)略。GE便遇到了這樣的挑戰(zhàn)。作為制造業(yè)巨頭，公司還銷售技術(shù)來(lái)幫助其他制造商安全運(yùn)營(yíng)。GE稱之為工業(yè)互聯(lián)網(wǎng)平臺(tái)的Predix是這類產(chǎn)品的核心。

CSO在線最近與GE全球首席信息和產(chǎn)品網(wǎng)絡(luò)安全官Nasrin Rezai討論了該公司解決IIoT安全挑戰(zhàn)所做的一些工作，以及她對(duì)工業(yè)領(lǐng)域網(wǎng)絡(luò)安全狀態(tài)的看法。Rezai負(fù)責(zé)GE九個(gè)業(yè)務(wù)部門的產(chǎn)品和企業(yè)網(wǎng)絡(luò)安全。她于兩年半前加入GE，成為GE Capital的首席信息安全官。在此之前，她曾在硅谷的惠普和思科系統(tǒng)工作，她還擔(dān)任過(guò)國(guó)家銀行的首席技術(shù)風(fēng)險(xiǎn)官員。

從業(yè)務(wù)角度看，您是怎樣同時(shí)履行好產(chǎn)品和企業(yè)安全角色的？

Rezai：首席信息安全官長(zhǎng)期以來(lái)的主要工作是集中在企業(yè)方面。我們知道，網(wǎng)絡(luò)事件會(huì)涉及到硬件，也與軟件相關(guān)，這是不可避免的。2015年，發(fā)生的幾件事更增強(qiáng)了我們的看法，即，IT和OT [運(yùn)營(yíng)技術(shù)]的融合促使首席信息安全官、首席信息官和董事會(huì)不僅要考慮IT業(yè)務(wù)的網(wǎng)絡(luò)安全問(wèn)題，而要考慮所有產(chǎn)品的網(wǎng)絡(luò)安全，因?yàn)槿魏我蛩囟加锌赡苁蛊髽I(yè)暴露在網(wǎng)絡(luò)攻擊之下。

例如，對(duì)[域名注冊(cè)] Dyn發(fā)起攻擊。數(shù)百臺(tái)攝像機(jī)被用于向多家小型和大型云提供商發(fā)起DDoS [分布式拒絕服務(wù)]攻擊。誰(shuí)會(huì)想到一臺(tái)簡(jiǎn)單的攝像機(jī)能夠參與網(wǎng)絡(luò)攻擊？從企業(yè)責(zé)任的角度來(lái)看，現(xiàn)在的首席信息安全官的職責(zé)范圍更加廣泛了。

我把工業(yè)領(lǐng)域分成三個(gè)部分。第一個(gè)是我所說(shuō)的OT安全。如果您從事的是離散制造，例如，制造飛機(jī)引擎或者零件，煉油廠或者水凈化廠這樣的加工制造業(yè)，那么這些制造場(chǎng)地的空間會(huì)非常大。它們是高度隔離的，也不支持網(wǎng)絡(luò)。即使是所使用的硬編碼證書或者HMI [人機(jī)界面]和PLC [可編程邏輯控制器]有漏洞，也問(wèn)題不大，因?yàn)檫@是一個(gè)非常受控的環(huán)境。對(duì)于很多行業(yè)，現(xiàn)在已經(jīng)成為一個(gè)問(wèn)題，因?yàn)楹芏嗪芏郔T已經(jīng)被合并到OT管理中。

第二個(gè)問(wèn)題是消費(fèi)類設(shè)備進(jìn)入到企業(yè)中。這些設(shè)備會(huì)參與到大規(guī)模DDoS攻擊中，最終對(duì)企業(yè)造成影響。把這些因素放到一起，很多首席信息安全官、首席信息官和董事會(huì)問(wèn)，“怎樣從整體上考慮這些問(wèn)題？”這不再僅僅是保護(hù)企業(yè)，而是保護(hù)整個(gè)企業(yè)的資產(chǎn)。

這不一定要求改變產(chǎn)品和企業(yè)網(wǎng)絡(luò)安全之間的組織結(jié)構(gòu)。相反，它是把風(fēng)險(xiǎn)管理策略結(jié)合在一起——知道關(guān)鍵資產(chǎn)，知道參考架構(gòu)，進(jìn)行風(fēng)險(xiǎn)評(píng)估，圍繞這些風(fēng)險(xiǎn)評(píng)估建立控制元素，面對(duì)風(fēng)險(xiǎn)態(tài)勢(shì)建立信心，使領(lǐng)導(dǎo)團(tuán)隊(duì)有信心處理好這些攻擊。

最后，在要結(jié)束的時(shí)候，做好準(zhǔn)備。如果您進(jìn)行網(wǎng)絡(luò)演習(xí)，會(huì)有制造人員參加嗎？是否每個(gè)人都知道，如果出現(xiàn)了影響生產(chǎn)的泄露事件，有需要對(duì)員工進(jìn)行IT教育的安全舉措嗎？反之如何？在我們的舉措和流程中應(yīng)充分考慮好OT安全，這是非常關(guān)鍵的。

您是如何與產(chǎn)品部門合作的？

Rezai：我會(huì)討論員工、流程、策略和部門。我向公司業(yè)務(wù)部門的IT和公司的首席技術(shù)官匯報(bào)，他們制定了產(chǎn)品戰(zhàn)略和發(fā)展方向。每一個(gè)業(yè)務(wù)部門的產(chǎn)品安全負(fù)責(zé)人都有責(zé)任確保我們圍繞產(chǎn)品和實(shí)施計(jì)劃而制定的網(wǎng)絡(luò)策略——我們每年制定的保護(hù)我們產(chǎn)品的目標(biāo)能夠得到貫徹執(zhí)行。

我也有專門的領(lǐng)導(dǎo)，他的工作是針對(duì)保護(hù)措施建立風(fēng)險(xiǎn)管理流程。我會(huì)定期向董事會(huì)匯報(bào)。我們通過(guò)在部門內(nèi)部進(jìn)行整合，通過(guò)與產(chǎn)品安全措施非常出色的業(yè)務(wù)部門合作，完成了一些工作。他們反過(guò)來(lái)也會(huì)與每個(gè)部門的產(chǎn)品經(jīng)理合作，確保產(chǎn)品網(wǎng)絡(luò)安全是公司優(yōu)先考慮的工作。我們通過(guò)公司的持續(xù)審查來(lái)進(jìn)行管理。

那么，安全是產(chǎn)品生命周期中不可分割的部分，而不是以后添加的東西？

Rezai：是的。網(wǎng)絡(luò)安全是我們最大的風(fēng)險(xiǎn)之一。我們對(duì)此非常重視，我們認(rèn)為，作為IIoT領(lǐng)導(dǎo)者，這是我們的競(jìng)爭(zhēng)優(yōu)勢(shì)。我們能夠圍繞資產(chǎn)績(jī)效管理、服務(wù)管理和全生命周期來(lái)優(yōu)化產(chǎn)業(yè)。我們帶給IIoT的是，我們的客戶能夠使用他們的數(shù)據(jù)，結(jié)合自己的應(yīng)用程序或者平臺(tái)，以新方式來(lái)優(yōu)化生產(chǎn)效率。

在我們的工業(yè)客戶中，就有一些這樣的模型得以應(yīng)用。例如，他們把應(yīng)用程序所使用的所有數(shù)據(jù)都放到我們的Predix平臺(tái)上。還有的則采用了混合模型。例如，他們可以在企業(yè)的邊界和云中的某些地方進(jìn)行邊緣處理。保護(hù)好信息，在堆棧所有層上都要有網(wǎng)絡(luò)安全措施，這一概念是戰(zhàn)略性的，也是我們的競(jìng)爭(zhēng)優(yōu)勢(shì)。我們投入了大量的精力和資金，以確保這些信任和認(rèn)證服務(wù)符合客戶需求，這樣他們就可以在我們的平臺(tái)（Predix）之上構(gòu)建他們的關(guān)鍵功能。

在實(shí)現(xiàn)這一愿景方面，您面臨的最大挑戰(zhàn)是什么？

Rezai：讓我們回到OT安全上——做好制造安全工作，以及消費(fèi)類設(shè)備的引入。我作為一名從業(yè)者，面臨的挑戰(zhàn)是要了解我們的總體布局。了解環(huán)境中的資產(chǎn)，了解我們所面臨的風(fēng)險(xiǎn)，并能夠在事件發(fā)生時(shí)按照程序?qū)ζ溥M(jìn)行監(jiān)視和防御，作出響應(yīng)。

就像其他很多行業(yè)和大型企業(yè)一樣，GE面臨的挑戰(zhàn)是非常、非常大的總體布局。機(jī)會(huì)在于良好的風(fēng)險(xiǎn)管理舉措，優(yōu)先考慮我們的要求，并在模型中有良好的防御措施，在這個(gè)模型中，您依靠多個(gè)控制點(diǎn)來(lái)保護(hù)自己免受攻擊。在IIoT方面，我們進(jìn)行了大量的投入，采用Predix來(lái)構(gòu)建安全的端到端平臺(tái)，并在Predix上開(kāi)發(fā)應(yīng)用程序。

出現(xiàn)泄露事件時(shí)，業(yè)界總體上應(yīng)采取什么措施來(lái)更好地應(yīng)對(duì)？endprint

Rezai：最好的做法是知道自己的弱點(diǎn)。針對(duì)您的環(huán)境建立“藍(lán)軍”，扮成威脅演員，對(duì)相同的控制點(diǎn)發(fā)起攻擊，以了解弱點(diǎn)。讓藍(lán)軍參與到演習(xí)中，把人的因素帶入到流程中。

對(duì)于大部分企業(yè)，安全事故和泄露事件是現(xiàn)實(shí)，是實(shí)際生活。最終，成功解決了這些問(wèn)題的企業(yè)能夠更好、更快地響應(yīng)客戶群。如果您對(duì)此非常重視，客戶能理解您并與您合作，知道您已經(jīng)盡力來(lái)了解所有的弱點(diǎn)和舉措，制定了計(jì)劃來(lái)解決問(wèn)題。

首席信息安全官們一個(gè)常見(jiàn)的做法是彼此共享情報(bào)，我認(rèn)為這是關(guān)鍵。技術(shù)在不斷變化，威脅入侵者現(xiàn)在有很多方法進(jìn)入企業(yè)。真正了解這些威脅入侵者，知道他們的方法和程序，模擬這些方法和程序，讓合適的人擔(dān)任合適的角色，他們知道如何進(jìn)行應(yīng)對(duì)，這些因素是首席信息安全官和企業(yè)領(lǐng)導(dǎo)成功的關(guān)鍵。

與企業(yè)方面相比，OT威脅情報(bào)的共享是怎樣的？

Rezai：這方面越來(lái)越好了。如果從戰(zhàn)術(shù)和運(yùn)營(yíng)上比較威脅情報(bào)的成熟度，我們?cè)谄髽I(yè)方面更好一些。例如，在企業(yè)方面有成熟的研究措施和流程，在物聯(lián)網(wǎng)方面也越來(lái)越好。

我還是作為一名從業(yè)者來(lái)談一談，由于OT的特性，有很多東西需要結(jié)合在一起才能實(shí)現(xiàn)工業(yè)協(xié)議的檢測(cè)和保護(hù)。業(yè)界仍然缺乏OT環(huán)境下的網(wǎng)絡(luò)和掃描能力。如果OT和IT管理人員還在說(shuō)“這些不是我管理的設(shè)備，這些是我管理的設(shè)備，這些是我的補(bǔ)丁”，那這仍然是問(wèn)題。

有時(shí)您有很老的產(chǎn)品，使用了很長(zhǎng)時(shí)間，它們還在很好地工作。制造業(yè)的很多目標(biāo)和目的不過(guò)是為了盡可能地發(fā)揮這些設(shè)備的功能?，F(xiàn)在的挑戰(zhàn)是它們連接了IT網(wǎng)絡(luò)，面臨的威脅更大了。

有一些正在變得越來(lái)越成熟。更好的做法是結(jié)合起來(lái)，而我很有信心，因?yàn)槲铱吹胶芏嗄贻p的創(chuàng)新技術(shù)人員參與到OT領(lǐng)域中來(lái)。在GE，我們致力于OT風(fēng)險(xiǎn)管理舉措，以不斷優(yōu)化制造保護(hù)、檢測(cè)和響應(yīng)能力。

其次，從行業(yè)領(lǐng)導(dǎo)的角度來(lái)看，GE認(rèn)為網(wǎng)絡(luò)安全是一種競(jìng)爭(zhēng)優(yōu)勢(shì)，也是工業(yè)物聯(lián)網(wǎng)領(lǐng)導(dǎo)必須具備的。我們的數(shù)字工業(yè)應(yīng)用，例如APM和ServiceMax，結(jié)合Predix平臺(tái)后，使客戶能夠利用他們基于工業(yè)資產(chǎn)的信息，進(jìn)一步優(yōu)化其服務(wù)生命周期管理。這些端到端的模型也應(yīng)是安全的。

從情報(bào)共享和創(chuàng)新方式上，一些公司正在努力解決這一問(wèn)題。解決之道是風(fēng)險(xiǎn)管理，首席信息安全官、首席信息官以及制造主管一起協(xié)作，將其提到公司議程日程上。這樣才能全面改進(jìn)網(wǎng)絡(luò)安全。

是什么讓您對(duì)工業(yè)領(lǐng)域網(wǎng)絡(luò)安全的未來(lái)非常樂(lè)觀？

Rezai：首先，我在同行那里看到，IT/OT正在融合，不僅僅是在現(xiàn)實(shí)中，而且也是在戰(zhàn)略層面上。我們也是如此，將其看成是企業(yè)層面的問(wèn)題。我之所以很樂(lè)觀，是因?yàn)楫?dāng)我們從戰(zhàn)略層面上開(kāi)展工作時(shí)，我們會(huì)找到解決方案。

其次，我認(rèn)為OT領(lǐng)域的創(chuàng)新將彌補(bǔ)網(wǎng)絡(luò)可視化、資產(chǎn)管理、漏洞管理和威脅情報(bào)共享等方面的一些差距，而我們過(guò)去并沒(méi)有這樣做過(guò)。

在工業(yè)網(wǎng)絡(luò)安全環(huán)境中，您最擔(dān)心的是什么？

Rezai：最讓我擔(dān)心的也是首先信息安全官們最擔(dān)心的。我們是否完全覆蓋并了解我們的總體布局？我們知道我們所有的風(fēng)險(xiǎn)所在嗎？我們知道要面臨的所有挑戰(zhàn)嗎？我們是否能夠清楚的了解我們周圍的政治和監(jiān)管動(dòng)態(tài)？

我們是否在措施中有一套合適的自動(dòng)化功能，這樣當(dāng)我們擴(kuò)大規(guī)模時(shí)，我們的響應(yīng)過(guò)程可以隨著時(shí)間的推移而縮短嗎？ 員工們準(zhǔn)備好了嗎？員工們能坦然面對(duì)危機(jī)時(shí)刻嗎？他們會(huì)有怎樣的反應(yīng)？我們是否教育過(guò)領(lǐng)導(dǎo)怎樣應(yīng)對(duì)挑戰(zhàn)？這些都是我最擔(dān)心的事情。針對(duì)我們正在做的工作，我不斷地對(duì)照檢查，確定哪些要優(yōu)先考慮，并重新排序，進(jìn)行溝通。工作是一種樂(lè)趣，但有時(shí)也很傷腦筋。

Michael Nadeau是CSO在線的高級(jí)編輯。他是雜志、書籍和知識(shí)庫(kù)出版商和編輯，幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢(shì)。

原文網(wǎng)址：

http：//www.csoonline.com/article/3229514/internet-of-things/how-to-secure-the-industrial-iot-a-qa-with-ges-ciso.html15-16endprint