以下是将于 1 年 2023 月 XNUMX 日发行的一本书的摘录。
关于传统 IT 网络与传统 IT 网络之间的差异已有很多文章。 操作技术 (OT) 或工业控制系统 (ICS) 网络:OT 网络中的修补更加困难,防病毒更加困难,OT 网络使用非常旧的协议和计算机,并且管理这些网络的人员对变革存在巨大阻力。 然而,这些差异都是表面的。 这两种网络之间的本质区别在于后果:大多数情况下,网络攻击的最坏情况后果在 IT 网络和 OT 网络上有着显着的质的不同。
这有什么区别? 勒索 攻击我们的 IT 网络,我们该怎么办? 我们检测、响应并恢复。 我们识别受影响的计算机并隔离它们。 我们拍摄法医图像并擦除设备。 我们从备份中恢复。 我们重复一遍。 在最坏的情况下,个人身份信息(PII)或其他敏感信息被泄露,我们会遭受诉讼。 这些都是商业后果。 换句话说,在 IT 网络上,管理网络风险的目标是通过保护信息(保护业务信息的机密性、完整性和可用性)来防止业务后果。
然而,在 OT 网络上,妥协最坏的后果几乎总是物理上的。 物体爆炸并导致人员死亡,工业故障导致环境灾难,灯光熄灭,或者我们的饮用水被污染。 OT 网络的网络风险管理目标通常是确保正确、持续和高效的运行 物理过程的。 目标不是“保护信息”,而是保护物理操作免受信息的影响,更具体地说,防止信息中可能嵌入的网络破坏攻击。 这是 IT 和 OT 网络之间的根本区别:无论是人命、损坏的涡轮机还是环境灾难都无法“从备份中恢复”。
这意味着,即使我们能够以某种方式挥舞魔杖,让所有工业网络完全打补丁、完全防病毒、完全加密,或者完全与现代 IT 网络安全机制保持同步,这种根本差异仍然存在。 如今,在安全关键型和可靠性关键型网络与业务网络中,后果的差异始终要求采用不同的风险管理方法。
安全工程
好消息是,工程行业拥有强大的工具来应对 OT 网络风险。 例如,机械过压阀可防止压力容器爆炸。 这些阀门不包含 CPU,因此无法破解。 扭矩限制离合器可防止涡轮机解体,不含 CPU,因此不可破解。 单向网关在物理上无法允许攻击信息在一个方向上传递,因此无法被黑客攻击。 如今,这些强大的工具经常被忽视,因为这些工具在 IT 安全领域中没有类似的工具。
深入挖掘一下,一个多世纪以来,工程行业一直在管理公共安全风险。 正是因为糟糕的工程会给公共安全带来风险,所以工程职业在许多司法管辖区都是一个立法的、自我监管的职业,类似于医疗和法律职业。 工程行业在管理 OT 网络风险方面可以做出巨大贡献,但行业内外对此知之甚少。
为什么? 首先,世界上 IT 安全从业者的数量是 OT 安全从业者的 50 倍,因此当我们需要工业网络安全解决方案时,IT 专家往往是第一个咨询的人。 然而,大多数 IT 安全专家都不是工程师,因此不了解工程专业的责任或可以做出的贡献。
整个工程行业的情况也好不到哪里去。 如果造成物理后果的网络攻击每年增加一倍以上,那么 OT 网络问题将在本世纪末达到危机程度。 但是,在大多数司法管辖区,工程专业尚未正视公众和实体运营面临的网络风险。 在撰写本文时,世界上没有哪个司法管辖区未能对工业设计应用强大的网络风险管理可能会导致工程师失去执业许可。
不过还是有进步的。 在过去的五年里,许多强大的网络安全工程方法已经具体化:
- 工艺工程: 基于后果的网络安全的安全 PHA 审查 教科书记录了一种使用常规过程危害分析(PHA)工程审查的方法,以采取不可破解的物理缓解措施来应对对工人、环境和公共安全的网络威胁。
- 自动化工程: 安德鲁·博赫曼和莎拉·弗里曼的书 反击网络破坏:引入后果驱动的网络信息工程 主要是关于风险评估的文本,但包括一些关于网络威胁的不可破解的缓解措施的章节,包括针对设备保护的网络威胁的不可破解的数字缓解措施。
- 网络工程: 我的书 安全运营技术 描述了保护正确的物理操作免受可能嵌入传入信息流中的攻击的工程视角,而不是试图“保护信息”。 本文的很大一部分内容集中于设计工业网络的不同方法,使监控信息能够离开网络,而不引入任何攻击信息进入网络的方式。
在此主题下,美国能源部(DOE)还发布了“国家网络信息工程战略” (PDF) 于 2022 年 XNUMX 月。该战略旨在开发工程知识体系,除其他外,“利用设计决策和工程控制来减轻甚至消除网络攻击的途径,或减少攻击发生时的后果”。
展望未来
这本新书解决的主要问题是,当涉及到网络安全时,“多少才够?” 后果决定了系统或网络所需的保护程度,最佳指南表明我们需要保护安全关键和关键基础设施系统的安全 真 彻底。 这是一个非常昂贵的过程。 更糟糕的是,当公共安全面临风险时,即使是最好的网络安全计划也无法提供我们期望的工程设计的确定性保护。
如果常规且系统地应用,安全工程有潜力消除许多安全性和可靠性/国家安全后果。 这有可能大大简化“多少才够?通过降低网络安全计划所需的强度和成本来解决 OT 网络中剩余风险的问题。 鉴于我们看到 OT 停机、设备损坏以及网络攻击造成的更严重的危机即将到来,采用这种新方法的时机已经成熟。
更多 有关这本书的信息 可以在链接上找到。
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 2022
- 2023
- 50
- 7
- a
- Able
- 关于
- 地址
- 地址
- 所有类型
- 让
- 几乎
- 还
- 时刻
- 其中
- an
- 分析
- 和
- 安德鲁
- 每年
- 另一个
- 杀毒软件
- 任何
- 应用的
- 使用
- 的途径
- 方法
- 保健
- AS
- 评定
- 保证
- At
- 攻击
- 攻击
- 可用性
- 大道
- 察觉
- 备份
- BE
- 因为
- 很
- before
- 最佳
- 更好
- 之间
- 位
- 吹
- 身体
- 书
- 都
- 商业
- 但是
- by
- CAN
- 案件
- 原因
- 造成
- 世纪
- 更改
- 章节
- 如何
- 购买的订单均
- 未来
- 完全
- 妥协
- 电脑
- 保密
- 后果
- 考虑
- 包含
- 继续
- 连续
- 贡献
- 捐款
- 控制
- 控制
- 常规
- 正确
- 价格
- 可以
- 危机
- 危急
- 关键基础设施
- 网络
- 网络攻击
- 网络攻击
- 网络安全
- 日期
- 十
- 决定
- 更深
- 学位
- 交付
- 需求
- 问题类型
- 设计
- 设计
- 检测
- 确定
- 开发
- 差异
- 差异
- 不同
- 数字
- 方向
- 灾害
- do
- 文件
- 母鹿
- 加倍
- 显着
- 高效
- 消除
- 嵌入式
- enable
- 加密
- 结束
- 能源
- 工程师
- 工程师
- 工程师
- 巨大
- 更多
- 输入
- 环境的
- 设备
- 甚至
- 例子
- 期望
- 昂贵
- 专家
- 失败
- (名字)
- 流动
- 重点
- 以下
- 针对
- 法医
- 发现
- 止
- 充分
- 根本
- 网关
- 通常
- 特定
- Go
- 目标
- 非常好
- 大
- 指导
- 半
- 更难
- 有
- 点击
- 但是
- HTTPS
- 人
- 鉴定
- if
- 图片
- in
- 包括
- 包含
- 来电
- 产业
- 信息
- 基础设施
- 内
- 诚信
- 固有
- 介绍
- IT
- 它的安全性
- JPG
- 六月
- 管辖权
- 司法管辖区
- 杀
- 知识
- 大
- 推出
- 诉讼
- 离开
- 法律咨询
- 执照
- 友情链接
- 生活
- 制成
- 魔法
- 主要
- 使
- 管理
- 管理
- 颠覆性技术
- 管理的
- 许多
- 可能..
- 手段
- 机械
- 机制
- 医生
- 可能
- 减轻
- 现代
- 监控
- 更多
- 最先进的
- 许多
- my
- 需求
- 需要
- 也不
- 网络
- 网络
- 全新
- 消息
- 没有
- 数
- of
- 折扣
- 经常
- 老
- on
- 一
- 运营
- or
- 其他名称
- 除此以外
- 我们的
- 输出
- 学校以外
- 超过
- 部分
- 通过
- 过去
- 修补
- 员工
- 亲自
- 透视
- PHA
- 的
- 物理
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 贫困
- 构成
- 潜力
- 强大
- 在练习上
- 压力
- 防止
- 主要
- 市场问题
- 过程
- 行业
- 训练课程
- 进展
- 保护
- 保护
- 保护
- 协议
- 国家
- 放
- 题
- 宁
- 达到
- 恢复
- 减少
- 减少
- 发布
- 留
- 其余
- 重复
- 必须
- 抵制
- 回应
- 责任
- 恢复
- 检讨
- 评论
- 风险
- 风险评估
- 变更管理
- 风险
- 健壮
- 常规
- 常规
- s
- 实现安全
- 说
- 说
- 安全
- 保安
- 看到
- 寻求
- 敏感
- 集
- 关闭
- 类似
- 简化
- So
- 解决方案
- 不知何故
- 太空
- 特别是
- 开始
- 策略
- 实力
- 系统
- 产品
- 采取
- 条款
- 文本
- 教科书
- 比
- 这
- 信息
- 世界
- 其
- 他们
- 主题
- 然后
- 那里。
- 因此
- 博曼
- 事
- Free Introduction
- 透
- 虽然?
- 威胁
- 从而
- 次
- 时
- 至
- 今晚
- 工具
- 试图
- 二
- 了解
- us
- 使用
- 运用
- 与
- 非常
- 水
- 波
- 方法..
- 方法
- we
- 什么是
- ,尤其是
- WHO
- 全
- 将
- 也完全不需要
- 工人
- 世界
- 更坏
- 最差
- 将
- 写作
- 书面
- 但
- 和风网
