本文由ABS集团.
基本的网络安全措施已不足以保护国家基础设施和工业运营免受网络攻击。ABS集团新任网络安全项目经理乔恩·比雷尔向SmartBrief解释了该行业的最佳认证,如何为未来的网络安全法规和威胁做好准备,以及哪些经常被忽视的系统是脆弱的。
在过去几年中,工业部门的风险状况发生了怎样的变化?
各个地区和国家面临的风险不同。鉴于近期的重大事件,如COVID-19大流行、创纪录的通货膨胀和俄罗斯-乌克兰冲突,其中一些风险在过去几年呈指数级增长。随着经济放缓和全球供应链受到影响,世界各地的正常业务进程普遍中断。在此期间,许多公司也尝试转向在家工作的策略。
所有这些因素促成了经营方式的重大转变。当这种情况发生时,通常会在流程和安全性方面留下空白。这些漏洞无法提前发现,只能在事后才发现。这些漏洞一旦被发现,将需要时间来弥补,并可能需要全面审查,以确保一切都得到考虑,没有遗漏。在这个充满挑战的时期,了解你的业务及其内在风险将是确保你的业务和未来的关键。
操作技术的安全性经常被忽视吗?为什么会这样呢?
操作技术(OT)经常被大多数业务部门所忽视。大部分用于网络安全的资金通常集中在保护IT系统,如办公室网络、服务器和员工工作站。这通常是关键数据所在的位置,因此它受到大量关注。不过,操作技术也不应被忽视。
OT内部有工业控制系统(ICS)。这些系统运行工业操作和动力机器,以保持电力,水流动和空调运行。正是因为这些系统多年来很少受到关注,所以犯罪分子开始意识到它们固有的弱点,并试图利用它们。想象一下,有一天你醒来,发现没有电,没有水,没有空调,没有电话服务,没有网络。水厂、污水处理厂、铁路和电网都遭到过袭击,其中一些还被成功袭击。
作为全面网络安全战略的一部分,您建议认证哪些流程?
经营企业是一种风险管理的练习。一切都从这里开始。公司做的每一个决定都有一定的风险。安全的存在是为了支持公司的业务和使命目标,不是为了说“不”,而是为了问:“我们如何在说“是”的同时保持安全?”进行全面的风险评估可以确定高管以前可能从未考虑过的威胁行为者、威胁载体、漏洞、危险和影响。一旦确定了风险,就必须以某种方式减轻风险,以减少这些威胁的负面影响及其对业务的影响。
四种基本方法包括风险规避、风险减少、风险转移和风险接受。一旦您确定了风险环境并决定如何最好地减轻风险,您就可以开始实现安全控制框架,该框架将支持您的防御并保护您的关键业务信息和流程。现在有很多很棒的框架。为您的环境选择合适的方法取决于几个因素。成功的安全管理程序的关键是可靠的文档。从公司的政策、标准、程序和可靠的信息系统安全计划开始。采用ISO 27001、NIST 800-53、NIST 800-171或网络安全成熟度模型认证(CMMC)等控制框架。实施这些控制并不断地检查它们。
谁应该努力获得网络安全成熟度模型认证?
大多数公司将从CMMC实现中受益。CMMC由政府设计,由国防工业基地(DIB)的公司实施。这些政府承包商定期接收、创建、存储和处理需要保护的政府信息,通常被称为受控非机密信息(CUI)。
其目的是保护敏感信息,而大多数企业都拥有这些信息。CMMC是一个分层模型,有三个成熟度级别。第1级被称为基础级,有17个公司应该实施的安全实践。级别2被称为高级,有110个安全实践。第3级是Expert,具有第2级的110个实践,以及几个增强的安全实践。
早期采用CMMC是否有好处?
有很多!有一个插图叫做产品采用曲线,它描述了消费者在市场上采用新产品或服务的时间轴。它依次由创新者、早期采用者、早期多数人、晚期多数人和落后者组成。现在,我们正处于这条曲线的早期采用者阶段。采用开始增加,那些有远见的人正在利用现有认证第三方评估组织(C3PAOs)的时间和可用性,评估并证明他们的信息系统满足政府在CMMC中规定的合规要求。
为了提供背景资料,有人估计有30万家政府承包公司。目前,大约有16个授权的c3pao。现有的C3PAO池要处理的公司太多了。美国国防部表示,大多数公司需要9到12个月的时间来纠正他们的信息系统环境,并提交CMMC认证评估。
如果企业不能在明年获得CMMC认证,它们就有可能失去赢得有CMMC认证要求的合同的能力。国防部还表示,在过去几年里,他们的评估显示,只有25%的被评估公司完全合规。公司需要从今天开始,因为修复环境的前置时间可能需要12个月或更长时间,然后接受C3PAO评估的前置时间可能会更长,因为他们要和其他人一样排队等候。不要等待大多数人;做一个早期的采用者!
你如何看待政府在网络安全方面的指导方针?
关于政府将如何推进DIB的网络安全指导方针,有很多意见。2021年5月,拜登总统发布了第14028号行政命令:“改善国家的网络安全”,在一系列针对关键基础设施的攻击后,该命令要求采用零信任。2022年1月,管理和预算办公室(OMB)发布了备忘录M-22-09:“推动美国政府实现零信任网络安全原则”,为实施零信任提供了最佳实践建议,并为2024年必须实现的目标提供了授权。
在行政命令发布之前的2020年,我就开始看到不祥之兆。网络安全专业人士开始更加关注零信任,关于这种方法的优点以及该计划在政府的可行性的讨论也越来越多。
什么是零信任?零信任是一种战略方法,它消除了数字交互中的隐性信任,并需要持续验证。它确保每个被授予访问权限的人和设备都是他们自称的身份和身份。即使它们在几分钟前刚刚验证过,也必须再次验证。由于威胁行为者继续在我们的防御中寻找和发现弱点,我们必须找到新的方式,以安全可靠的方式运作,以不阻碍而是鼓励业务创新和增长的方式运作。
