新闻快讯
< >

国际运营技术安全协会LOTSA正式成立

E安全10月12日讯 就在上周四,国际运营技术安全协会(简称LOTSA)于英国伦敦Watermans’ Hall正式成立,英国国家计算机安全中心(NCSC)网络管理总监约翰·诺贝尔呼吁行业合作并积极进行事件报告。

国际运营技术安全协会Iotsa正式成立后,英国NCSC呼吁各方合作进行事件报告-E安全

国际运营技术安全协会——Iotsa

Iotsa前身是2016年底建立的CISOS相关机构,这一非营利性组织旨在提高SCADA(数据采集与监视控制系统,可应用电力系统、给水系统、石油、化工等领域)、ICS(工控系统)、IIO(工业 I/O 子系统)以及IoT(物联网)等运营技术用户及运营商的基本安全实践意识与采用水平,而各创造者表示此前这方面工作一直缺少成熟的论坛作为载体。

国际运营技术安全协会Iotsa正式成立后,英国NCSC呼吁各方合作进行事件报告-E安全

结合历史背景,从乌克兰变电站交换机再到办公室空调系统中的恒温器,相关安全漏洞遭受攻击的机率正在持续增长。

由CISO群体创建,且面向CISO与企业高管人士的这一机构由杰出CISO迈克·朗金诺夫牵头,旨在为制造、公共事业、能源、加工、生产、高科技、媒体与电信、CNI、执法、军方以及情报等行业的成员提供意识、见解与主导意见。截至今年年内,这些成员均可免费入会;此外,该机构亦提供一系列赞助机会,其现有赞助商包括挪威电力、Cyber Adapt以及阿斯科特巴克莱集团等。

IT安全与运营安全差异巨大

在开幕式的午餐演讲当中,英国NSCS网络管理总监Noble以及拥有30多年执法机构从业经验的前苏格兰场欺诈案件负责人(专门负责严重与有组织犯罪活动)以及现普华永道高级网络犯罪负责人Charlie McMurdie(查理·麦克穆迪)作出发言。

Iotsa主席Loginov在接受采访时指出,“我们意识到IT安全与运营安全之间存在着巨大的鸿沟,二者实际上属于完全不同的两种角色。”其同时补充称,IoT与IIOT(工业物联网)的快速发展亦带动了运营网络安全层面的高度关注。尽管人们普遍承认,相较于遭遇中断后仅带来不便的IT网络,发电厂或制造生产线等领域因攻击陷入瘫痪会带来更为严重的后果,但这些相关工作一直缺少充分支持。

国际运营技术安全协会Iotsa正式成立后,英国NCSC呼吁各方合作进行事件报告-E安全

这一观点得到了Noble的积极响应,他在演讲中强调,NCSC非常希望将Iotsa作为政府运营安全的重要实施平台。Noble同时向与会代表们指出,“运营技术对于每个人都非常重要,特别是CNI。英国的敌对方正在投入大量时间研究具体使用方式,并已经做好实际行动的准备;事实上,这类攻击已然成为新的常态,而其中最为常见的即为国家支持型攻击者,当然也包括其他各类犯罪分子。”

就在NCSC一周年纪念日之前,Noble还曾指出政府在网络安全问题方面的严肃性已经非常明确:在经济紧缩时期提供19亿英镑(约合人民币165亿元)资金已经充分证明了这一点。这笔资金显然不可能全部由NCSC支配,而将同其它各政府部门与执行机构共同打理。他坦言,面对这笔额度可观的网络安全投入,各机构亦承受着巨大的预期压力,即需要为纳税人提供物有所值的保障性回报。

Noble表示NCSC关注的四大层面:

  • 第一点:了解对手

    运营团队需要着眼于敌对方及其所采用的入侵技术,且其中相当一部分属于国家支持型攻击者。

  • 第二点:参与团队需要走出去并同更多不同部门建立合作关系。
    除了与政府方面合作之外,亦需要与行业开展合作。与行业合作是此项战略当中的重要一环。尽管政府方面已经投入大量资金,但绝不能单纯依靠政府的单方面推动。

  • 第三点:发展自身的能力。
    其核心一者在人,二者在多样性(值得一提的是,参与此次会议的40多名成员中绝大多数为白人男性)——前者要求增加拥有网络专业技能的人员数量,后者则要求在NCSC之内真正打破成见,接触在校学生并为8000名女生举办网络技术比赛,帮助其了解技术以提升安全性水平。

  • 第四点:事件响应。
    年度报告结果显示,今年上报的重大网络事件总量已达623起。这些网络事件中有30起被划为高危程度,这主要是考虑到涉事部门的敏感性或者事件本身的严重性。Wannacry在其中无疑位于顶端,非常接近一级定义。

国际运营技术安全协会Iotsa正式成立后,英国NCSC呼吁各方合作进行事件报告-E安全

在事件报告方面行业合作有何意义?

根据以往的经验,总结出以下结论:

1、发现基础错误、补丁修复缺失以及糟糕的管理成效。如果管理机构能够以正确方式处理绝大多数(甚至无需处理全部)问题,即可有效扼止攻击活动。

2、在安全与运营效率之间取得平衡点。在NCSC进行事件调查时,发现事发原因往往在于未能在二者之间求得理想平衡点。另外,由于多数系统需要实现100%正常运行时间,因此很难通过下线整体系统的方式实现运营安全。

3、人们并不真正了解风险来源;在运营技术层面,除了设备故障与技术故障之外,兼并与收购活动亦会给企业带来大量其并不了解的风险因素——通常包括解雇原本负责网络管理的人员。攻击者正在借此实施入侵。

4、 遗留系统亦成为运营技术层面的一大挑战。NCSC发现,企业遭遇的安全问题中约有九成源自遗留系统。

NCSC将对上报情况进行保密处理

Noble指出,安全应成为一种默认要求。他希望Iotsa能够顺利实现发展,同时再次向与会人士呼吁有关各方应该向NCSC上报安全事件。他解释称,“NCSC的作用只是为了帮助受害者,这并不属于监管机构,也不会实施任何惩罚性手段。上报至NCSC的资料会以保密方式处理,并被用于运行数据库——包含保密与开源数据,旨在发现其他受害者并追踪施加伤害的攻击者。”

警方的网络能力有限

普华永道高级网络犯罪负责人McMurdie同时强调称,与国家机构间的合作至关重要。而考虑到警方在网络安全能力方面存在的局限性,特别是近期总体人数由14万降至12万,加之其中仅有数百名警员专司网络犯罪活动(仅包括Met Police中的Falcon小队、当地与区域小队以及NCA与NCCU),因此自助团体需要从中斡旋。相比之下,四大咨询公司则拥有丰富的高素质专家资源,且制定有完善的人才保留政策与相关规程。

因此,单凭行业与执法机构不足以有效解答网络安全这一难题,他们在资源、专业知识、复杂性、速度以及规模等方面皆无法满足实际需求。考虑到警方甚至无法负担网络专家的薪酬支出,因此更需要各方积极配合、共享并建立应对能力。

因此,McMurdie建议由行业自身负责技术端事宜,“让警方集中关注调查、逮捕与起诉等追踪攻击者的工作。”McMurdie最后还引用了一项令人震惊的近期统计数字表示,在受到网络攻击的中小型企业当中,55%的受害者无法实现损失恢复。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。