新闻快讯
< >

《2018关键基础设施风险评估报告》:IIoT网络安全弹性有待加强

E安全6月24日讯 专注安全、国防和基础设施的数字化解决方案公司 Parsons 发布《2018关键基础设施风险评估报告》。这份针对美国关键基础设施行业300名工业控制系统(ICS)和运营技术(OT)工程师的调查报告显示:工程师、OT 环境专家和 IT 专家之间极度缺乏协作,且确保网络攻击弹性的模型无法反映出完全融合的 OT/IT 方法。

关键基础设施风险报告:IIoT网络安全弹性有待加强-E安全

《2018关键基础设施风险评估报告》内容

Parsons 联邦业务部门负责人凯里·史密斯(Carey Smith)表示,关键基础设施中安装的联网设备正在提高运营效率,工业控制环境中的联网设备增多伴随着网络风险的加剧,日益复杂的攻击有了更多的访问点。这项调查凸显出一个事实:融合 OT 和 IT 解决方案滞后于融合威胁。基于Bolt-on、软件和以IT为中心的解决方案并非适用于 应对OT 网络威胁。

网络犯罪损失将占全球经济的10%

  • 美国国土安全部(DHS)的预测,预计到2021年,网络犯罪损失每年将会达到6万亿美元,几乎占全球经济的10%。

  • Ÿ66%的受访者表示,其所在组织机构正将更多联网工业物联网(IIoT)设备添加到 OT 环境的工业控制系统中。

  • Ÿ78%的受访者表示,并未高度参与 ICS 网络安全工作。

  • Ÿ80%的受访者表示,OT 环境目前在使用老旧的技术或新技术,或两者兼而有之。如今许多新的联网 IIoT 设备部署了额外的网络安全保护,但老旧的技术要么未部署网络保护,要么依赖过时的策略,已无法抵御攻击的软件补丁。

90%的关键基础设施资产属于私营部门

对于美国来说,超过90%的关键基础设施资产属于私营部门,了解 OT 和 IT 网络解决方案的融合程度需要靠关键基础设施企业和单位的员工、管理层和董事会成员的共同努力。

政府和私营部门的基础设施运营商越来越频繁地报告针对 OT 和 IT 关键基础设施环境的网络攻击:

  • 2015年乌克兰电力系统遭遇攻击被中断;

  • 2018年3月美国电网曾遭遇来自俄罗斯的网络攻击。

美国国家标准与技术研究院(简称NIST)等网络安全标准组织已要求推出解决方案,应对不断变化的威胁形势,加强 OT 和 IT 技术融合,制定流程更有力地应对 ICS 和 OT 系统面临的网络威胁。

OT/IT融合的必要性

Parsons 总结指出,关键基础设施行业的工程师对运营技术(OT) 环境面临的网络风险有高度的认识,但 IT 部门和高级管理人员采取的标准和实践并未跟上快速变化的威胁。黑客及其他不法分子的攻击手法层出不穷,负责保护关键基础设施的利益相关方时间紧迫。Parsons 为此提出如下建议:

Ÿ一、定义 IT/OT 融合

对于关键基础设施利益相关方而言,缺乏广泛认可的 IT/OT 融合定义。Parsons 建议为关键基础设施行业的利益相关方制定一套定义和标准,以加强 OT 网络安全。

二、Ÿ培训

关键基础设施组织机构必须提供培训和教育,以提高 OT 工程师和专业人员的网络安全能力。培训将提升 OT/IT 协作的有效性,并有助于确保 OT 在网络安全规划和资源配置方面拥有一席之位。

三、ŸOT 网络安全设计

通过 bolt-on 解决方案来解决过时或老旧的设备的安全性是一种挑战,组织机构应将 OT 网络安全纳入升级和新 OT 系统的设计过程。

四、Ÿ规划 OT 网络安全工作

应组建领导和管理团队来解决 IT/OT 漏洞,这就要求组织机构结束在部门内(例如 IT 或 CIO 办公室)采取“烟囱式”(Stove-Piping)网络安全做法,并制定相关 IT和OT 部门协作的固定流程和做法。

Ÿ五、鼓励对话

关键基础设施利益相关方应尽力鼓励网络安全和 OT 漏洞方面的研究、信息共享和行业范围内的对话。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。