Michael+Nadeau
編譯 Charles
制造業(yè)巨頭GE對(duì)工業(yè)物聯(lián)網(wǎng)(IIoT)安全進(jìn)行了整體分析,以整合企業(yè)和產(chǎn)品安全。首席信息安全官Nasrin Rezai解釋了為什么這很重要,以及怎樣做。
圍繞網(wǎng)絡(luò)安全的討論大多集中在企業(yè)IT的角色上,它怎樣才能很好地保護(hù)企業(yè)和客戶數(shù)據(jù)。然而,制造業(yè)和工業(yè)領(lǐng)域的企業(yè)必須采取更廣泛的安全措施——因?yàn)槠洚a(chǎn)品和設(shè)備都連接了互聯(lián)網(wǎng)。隨著工業(yè)物聯(lián)網(wǎng)(IIoT)的不斷發(fā)展,制造業(yè)產(chǎn)品和資產(chǎn)成為網(wǎng)絡(luò)攻擊的潛在目標(biāo)。
面臨的挑戰(zhàn)是怎樣讓企業(yè)IT部門和業(yè)務(wù)部門聯(lián)合起來(lái)共同執(zhí)行統(tǒng)一的安全戰(zhàn)略。GE便遇到了這樣的挑戰(zhàn)。作為制造業(yè)巨頭,公司還銷售技術(shù)來(lái)幫助其他制造商安全運(yùn)營(yíng)。GE稱之為工業(yè)互聯(lián)網(wǎng)平臺(tái)的Predix是這類產(chǎn)品的核心。
CSO在線最近與GE全球首席信息和產(chǎn)品網(wǎng)絡(luò)安全官Nasrin Rezai討論了該公司解決IIoT安全挑戰(zhàn)所做的一些工作,以及她對(duì)工業(yè)領(lǐng)域網(wǎng)絡(luò)安全狀態(tài)的看法。Rezai負(fù)責(zé)GE九個(gè)業(yè)務(wù)部門的產(chǎn)品和企業(yè)網(wǎng)絡(luò)安全。她于兩年半前加入GE,成為GE Capital的首席信息安全官。在此之前,她曾在硅谷的惠普和思科系統(tǒng)工作,她還擔(dān)任過(guò)國(guó)家銀行的首席技術(shù)風(fēng)險(xiǎn)官員。
從業(yè)務(wù)角度看,您是怎樣同時(shí)履行好產(chǎn)品和企業(yè)安全角色的?
Rezai:首席信息安全官長(zhǎng)期以來(lái)的主要工作是集中在企業(yè)方面。我們知道,網(wǎng)絡(luò)事件會(huì)涉及到硬件,也與軟件相關(guān),這是不可避免的。2015年,發(fā)生的幾件事更增強(qiáng)了我們的看法,即,IT和OT [運(yùn)營(yíng)技術(shù)]的融合促使首席信息安全官、首席信息官和董事會(huì)不僅要考慮IT業(yè)務(wù)的網(wǎng)絡(luò)安全問(wèn)題,而要考慮所有產(chǎn)品的網(wǎng)絡(luò)安全,因?yàn)槿魏我蛩囟加锌赡苁蛊髽I(yè)暴露在網(wǎng)絡(luò)攻擊之下。
例如,對(duì)[域名注冊(cè)] Dyn發(fā)起攻擊。數(shù)百臺(tái)攝像機(jī)被用于向多家小型和大型云提供商發(fā)起DDoS [分布式拒絕服務(wù)]攻擊。誰(shuí)會(huì)想到一臺(tái)簡(jiǎn)單的攝像機(jī)能夠參與網(wǎng)絡(luò)攻擊?從企業(yè)責(zé)任的角度來(lái)看,現(xiàn)在的首席信息安全官的職責(zé)范圍更加廣泛了。
我把工業(yè)領(lǐng)域分成三個(gè)部分。第一個(gè)是我所說(shuō)的OT安全。如果您從事的是離散制造,例如,制造飛機(jī)引擎或者零件,煉油廠或者水凈化廠這樣的加工制造業(yè),那么這些制造場(chǎng)地的空間會(huì)非常大。它們是高度隔離的,也不支持網(wǎng)絡(luò)。即使是所使用的硬編碼證書或者HMI [人機(jī)界面]和PLC [可編程邏輯控制器]有漏洞,也問(wèn)題不大,因?yàn)檫@是一個(gè)非常受控的環(huán)境。對(duì)于很多行業(yè),現(xiàn)在已經(jīng)成為一個(gè)問(wèn)題,因?yàn)楹芏嗪芏郔T已經(jīng)被合并到OT管理中。
第二個(gè)問(wèn)題是消費(fèi)類設(shè)備進(jìn)入到企業(yè)中。這些設(shè)備會(huì)參與到大規(guī)模DDoS攻擊中,最終對(duì)企業(yè)造成影響。把這些因素放到一起,很多首席信息安全官、首席信息官和董事會(huì)問(wèn),“怎樣從整體上考慮這些問(wèn)題?”這不再僅僅是保護(hù)企業(yè),而是保護(hù)整個(gè)企業(yè)的資產(chǎn)。
這不一定要求改變產(chǎn)品和企業(yè)網(wǎng)絡(luò)安全之間的組織結(jié)構(gòu)。相反,它是把風(fēng)險(xiǎn)管理策略結(jié)合在一起——知道關(guān)鍵資產(chǎn),知道參考架構(gòu),進(jìn)行風(fēng)險(xiǎn)評(píng)估,圍繞這些風(fēng)險(xiǎn)評(píng)估建立控制元素,面對(duì)風(fēng)險(xiǎn)態(tài)勢(shì)建立信心,使領(lǐng)導(dǎo)團(tuán)隊(duì)有信心處理好這些攻擊。
最后,在要結(jié)束的時(shí)候,做好準(zhǔn)備。如果您進(jìn)行網(wǎng)絡(luò)演習(xí),會(huì)有制造人員參加嗎?是否每個(gè)人都知道,如果出現(xiàn)了影響生產(chǎn)的泄露事件,有需要對(duì)員工進(jìn)行IT教育的安全舉措嗎?反之如何?在我們的舉措和流程中應(yīng)充分考慮好OT安全,這是非常關(guān)鍵的。
您是如何與產(chǎn)品部門合作的?
Rezai:我會(huì)討論員工、流程、策略和部門。我向公司業(yè)務(wù)部門的IT和公司的首席技術(shù)官匯報(bào),他們制定了產(chǎn)品戰(zhàn)略和發(fā)展方向。每一個(gè)業(yè)務(wù)部門的產(chǎn)品安全負(fù)責(zé)人都有責(zé)任確保我們圍繞產(chǎn)品和實(shí)施計(jì)劃而制定的網(wǎng)絡(luò)策略——我們每年制定的保護(hù)我們產(chǎn)品的目標(biāo)能夠得到貫徹執(zhí)行。
我也有專門的領(lǐng)導(dǎo),他的工作是針對(duì)保護(hù)措施建立風(fēng)險(xiǎn)管理流程。我會(huì)定期向董事會(huì)匯報(bào)。我們通過(guò)在部門內(nèi)部進(jìn)行整合,通過(guò)與產(chǎn)品安全措施非常出色的業(yè)務(wù)部門合作,完成了一些工作。他們反過(guò)來(lái)也會(huì)與每個(gè)部門的產(chǎn)品經(jīng)理合作,確保產(chǎn)品網(wǎng)絡(luò)安全是公司優(yōu)先考慮的工作。我們通過(guò)公司的持續(xù)審查來(lái)進(jìn)行管理。
那么,安全是產(chǎn)品生命周期中不可分割的部分,而不是以后添加的東西?
Rezai:是的。網(wǎng)絡(luò)安全是我們最大的風(fēng)險(xiǎn)之一。我們對(duì)此非常重視,我們認(rèn)為,作為IIoT領(lǐng)導(dǎo)者,這是我們的競(jìng)爭(zhēng)優(yōu)勢(shì)。我們能夠圍繞資產(chǎn)績(jī)效管理、服務(wù)管理和全生命周期來(lái)優(yōu)化產(chǎn)業(yè)。我們帶給IIoT的是,我們的客戶能夠使用他們的數(shù)據(jù),結(jié)合自己的應(yīng)用程序或者平臺(tái),以新方式來(lái)優(yōu)化生產(chǎn)效率。
在我們的工業(yè)客戶中,就有一些這樣的模型得以應(yīng)用。例如,他們把應(yīng)用程序所使用的所有數(shù)據(jù)都放到我們的Predix平臺(tái)上。還有的則采用了混合模型。例如,他們可以在企業(yè)的邊界和云中的某些地方進(jìn)行邊緣處理。保護(hù)好信息,在堆棧所有層上都要有網(wǎng)絡(luò)安全措施,這一概念是戰(zhàn)略性的,也是我們的競(jìng)爭(zhēng)優(yōu)勢(shì)。我們投入了大量的精力和資金,以確保這些信任和認(rèn)證服務(wù)符合客戶需求,這樣他們就可以在我們的平臺(tái)(Predix)之上構(gòu)建他們的關(guān)鍵功能。
在實(shí)現(xiàn)這一愿景方面,您面臨的最大挑戰(zhàn)是什么?
Rezai:讓我們回到OT安全上——做好制造安全工作,以及消費(fèi)類設(shè)備的引入。我作為一名從業(yè)者,面臨的挑戰(zhàn)是要了解我們的總體布局。了解環(huán)境中的資產(chǎn),了解我們所面臨的風(fēng)險(xiǎn),并能夠在事件發(fā)生時(shí)按照程序?qū)ζ溥M(jìn)行監(jiān)視和防御,作出響應(yīng)。
就像其他很多行業(yè)和大型企業(yè)一樣,GE面臨的挑戰(zhàn)是非常、非常大的總體布局。機(jī)會(huì)在于良好的風(fēng)險(xiǎn)管理舉措,優(yōu)先考慮我們的要求,并在模型中有良好的防御措施,在這個(gè)模型中,您依靠多個(gè)控制點(diǎn)來(lái)保護(hù)自己免受攻擊。在IIoT方面,我們進(jìn)行了大量的投入,采用Predix來(lái)構(gòu)建安全的端到端平臺(tái),并在Predix上開(kāi)發(fā)應(yīng)用程序。
出現(xiàn)泄露事件時(shí),業(yè)界總體上應(yīng)采取什么措施來(lái)更好地應(yīng)對(duì)?endprint
Rezai:最好的做法是知道自己的弱點(diǎn)。針對(duì)您的環(huán)境建立“藍(lán)軍”,扮成威脅演員,對(duì)相同的控制點(diǎn)發(fā)起攻擊,以了解弱點(diǎn)。讓藍(lán)軍參與到演習(xí)中,把人的因素帶入到流程中。
對(duì)于大部分企業(yè),安全事故和泄露事件是現(xiàn)實(shí),是實(shí)際生活。最終,成功解決了這些問(wèn)題的企業(yè)能夠更好、更快地響應(yīng)客戶群。如果您對(duì)此非常重視,客戶能理解您并與您合作,知道您已經(jīng)盡力來(lái)了解所有的弱點(diǎn)和舉措,制定了計(jì)劃來(lái)解決問(wèn)題。
首席信息安全官們一個(gè)常見(jiàn)的做法是彼此共享情報(bào),我認(rèn)為這是關(guān)鍵。技術(shù)在不斷變化,威脅入侵者現(xiàn)在有很多方法進(jìn)入企業(yè)。真正了解這些威脅入侵者,知道他們的方法和程序,模擬這些方法和程序,讓合適的人擔(dān)任合適的角色,他們知道如何進(jìn)行應(yīng)對(duì),這些因素是首席信息安全官和企業(yè)領(lǐng)導(dǎo)成功的關(guān)鍵。
與企業(yè)方面相比,OT威脅情報(bào)的共享是怎樣的?
Rezai:這方面越來(lái)越好了。如果從戰(zhàn)術(shù)和運(yùn)營(yíng)上比較威脅情報(bào)的成熟度,我們?cè)谄髽I(yè)方面更好一些。例如,在企業(yè)方面有成熟的研究措施和流程,在物聯(lián)網(wǎng)方面也越來(lái)越好。
我還是作為一名從業(yè)者來(lái)談一談,由于OT的特性,有很多東西需要結(jié)合在一起才能實(shí)現(xiàn)工業(yè)協(xié)議的檢測(cè)和保護(hù)。業(yè)界仍然缺乏OT環(huán)境下的網(wǎng)絡(luò)和掃描能力。如果OT和IT管理人員還在說(shuō)“這些不是我管理的設(shè)備,這些是我管理的設(shè)備,這些是我的補(bǔ)丁”,那這仍然是問(wèn)題。
有時(shí)您有很老的產(chǎn)品,使用了很長(zhǎng)時(shí)間,它們還在很好地工作。制造業(yè)的很多目標(biāo)和目的不過(guò)是為了盡可能地發(fā)揮這些設(shè)備的功能?,F(xiàn)在的挑戰(zhàn)是它們連接了IT網(wǎng)絡(luò),面臨的威脅更大了。
有一些正在變得越來(lái)越成熟。更好的做法是結(jié)合起來(lái),而我很有信心,因?yàn)槲铱吹胶芏嗄贻p的創(chuàng)新技術(shù)人員參與到OT領(lǐng)域中來(lái)。在GE,我們致力于OT風(fēng)險(xiǎn)管理舉措,以不斷優(yōu)化制造保護(hù)、檢測(cè)和響應(yīng)能力。
其次,從行業(yè)領(lǐng)導(dǎo)的角度來(lái)看,GE認(rèn)為網(wǎng)絡(luò)安全是一種競(jìng)爭(zhēng)優(yōu)勢(shì),也是工業(yè)物聯(lián)網(wǎng)領(lǐng)導(dǎo)必須具備的。我們的數(shù)字工業(yè)應(yīng)用,例如APM和ServiceMax,結(jié)合Predix平臺(tái)后,使客戶能夠利用他們基于工業(yè)資產(chǎn)的信息,進(jìn)一步優(yōu)化其服務(wù)生命周期管理。這些端到端的模型也應(yīng)是安全的。
從情報(bào)共享和創(chuàng)新方式上,一些公司正在努力解決這一問(wèn)題。解決之道是風(fēng)險(xiǎn)管理,首席信息安全官、首席信息官以及制造主管一起協(xié)作,將其提到公司議程日程上。這樣才能全面改進(jìn)網(wǎng)絡(luò)安全。
是什么讓您對(duì)工業(yè)領(lǐng)域網(wǎng)絡(luò)安全的未來(lái)非常樂(lè)觀?
Rezai:首先,我在同行那里看到,IT/OT正在融合,不僅僅是在現(xiàn)實(shí)中,而且也是在戰(zhàn)略層面上。我們也是如此,將其看成是企業(yè)層面的問(wèn)題。我之所以很樂(lè)觀,是因?yàn)楫?dāng)我們從戰(zhàn)略層面上開(kāi)展工作時(shí),我們會(huì)找到解決方案。
其次,我認(rèn)為OT領(lǐng)域的創(chuàng)新將彌補(bǔ)網(wǎng)絡(luò)可視化、資產(chǎn)管理、漏洞管理和威脅情報(bào)共享等方面的一些差距,而我們過(guò)去并沒(méi)有這樣做過(guò)。
在工業(yè)網(wǎng)絡(luò)安全環(huán)境中,您最擔(dān)心的是什么?
Rezai:最讓我擔(dān)心的也是首先信息安全官們最擔(dān)心的。我們是否完全覆蓋并了解我們的總體布局?我們知道我們所有的風(fēng)險(xiǎn)所在嗎?我們知道要面臨的所有挑戰(zhàn)嗎?我們是否能夠清楚的了解我們周圍的政治和監(jiān)管動(dòng)態(tài)?
我們是否在措施中有一套合適的自動(dòng)化功能,這樣當(dāng)我們擴(kuò)大規(guī)模時(shí),我們的響應(yīng)過(guò)程可以隨著時(shí)間的推移而縮短嗎? 員工們準(zhǔn)備好了嗎?員工們能坦然面對(duì)危機(jī)時(shí)刻嗎?他們會(huì)有怎樣的反應(yīng)?我們是否教育過(guò)領(lǐng)導(dǎo)怎樣應(yīng)對(duì)挑戰(zhàn)?這些都是我最擔(dān)心的事情。針對(duì)我們正在做的工作,我不斷地對(duì)照檢查,確定哪些要優(yōu)先考慮,并重新排序,進(jìn)行溝通。工作是一種樂(lè)趣,但有時(shí)也很傷腦筋。
Michael Nadeau是CSO在線的高級(jí)編輯。他是雜志、書籍和知識(shí)庫(kù)出版商和編輯,幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢(shì)。
原文網(wǎng)址:
http://www.csoonline.com/article/3229514/internet-of-things/how-to-secure-the-industrial-iot-a-qa-with-ges-ciso.html15-16endprint