QQ登录

只需一步,快速开始

大疆事件背后:网络时代,你的企业随时处于危险

迟宇涵 发表于 2019-5-7 20:00:57 | 显示全部楼层 |阅读模式
1.jpg

对于网络安全,无论你的组织在最新软硬件、培训和人员方面投入多大,也无论是否保护隔离核心系统,结果都一样:只要关键系统是数字化的,且以某种形式与外部网络相连(即便你认为它没有联网,实际上也极有可能),它就永远不可能是安全的。这就是残酷的事实。

  今天,在美国全部16个基础设施部门中,12个已被国土安全部定义为“关键”,因为它们的“实体或虚拟资产、系统和网络对美国非常重要,一旦失灵或被摧毁,将威胁到国家安全、国民经济、公共健康和安全”,而这些部门部分或完全依赖数字化的控制和安全系统。
  数字技术的确带来了令人赞叹的新功能和效率提升,但它们极易遭受网络攻击。自动探测软件时时在寻找大型企业、政府部门和学术机构的安全漏洞——这些软件很容易在地下网络中获取,很多是免费的,贵的也不过几百或几千美元,甚至还提供技术支持。网络防御措施通常能阻挡这些探测,但基本无法抵挡花费数月甚至数年精心筹划的重点攻击。
  网络攻击造成的经济损失不断飙升。仅过去两年中,WannaCry和NotPetya攻击事件就分别造成超过40亿美元和8.5亿美元损失。美国和英国指控朝鲜发动的WannaCry攻击,据称使用了从美国国家安全局窃取的工具。这种病毒利用部分Windows计算机未安装微软安全补丁的机会,对数据进行锁定加密,使150个国家医院、学校、企业和家庭中的数十万台计算机陷于瘫痪,并进行勒索。NotPetya攻击据信为俄罗斯破坏乌克兰稳定活动的一部分,发起点是一家乌克兰会计公司的软件升级漏洞。这次攻击从最初的乌克兰政府和计算机系统扩散到其他国家,受害者包括丹麦航运公司马士基、制药公司默沙东、巧克力制造商吉百利、广告巨头WPP等众多企业。
  隐患增多
  随着自动化、物联网、云处理及存储、人工智能和机器学习的发展,数字化转型的进程持续加快。复杂度高、可联网、软件密集型的数字技术得到广泛传播,被依赖程度越来越高,在网络安全方面形成很大隐患
  这些技术的复杂度超乎想象,甚至最了解它们的创造者和供应商,也并不完全清楚其脆弱性。供应商总是声称自动化能消除人为错误的风险,但实际上会产生其他类型的风险。对隐私、数据保护和信息安全政策进行独立研究的Ponemon Institute指出,信息系统的复杂度如此之高,以至于美国企业仅侦测到系统入侵就平均需要200天以上。大部分时候,企业不是自己发现入侵,而是从第三方获知。
  在世界范围内,造成重大损失和广泛影响的网络安全事件越来越多,Target、SonyPictures、Equifax、Home Depot、马士基、默沙东、沙特阿美等企业都曾遭受攻击。但企业领导者无力拒绝数字技术及其众多好处的诱惑:效率提升、人力成本降低、人为错误的减少或消除、收集更多客户信息的机会、创造新产品或服务的能力等。年复一年,领导者延续传统的网络防御思路,花在最新安全解决方案和高端咨询服务上的钱越来越多,对此寄予厚望。但这只是一厢情愿。
  传统方法的局限
  传统网络防御方法关注“网络健康度”,主要措施包括:
  建立企业硬件和软件资产的完整清单
  购买并部署最新的软硬件防御工具,包括终端安全保护、防火墙和入侵检测系统
  定期培训员工识别并规避钓鱼邮件
  建立“网闸”——理论上可以将重要系统与其他局域网和互联网隔开,但在实践中不存在完全的隔离
  建立大规模网络安全团队并使用各类外部服务,进行上述各项工作
  很多组织遵循网络安全指导框架,如美国标准与技术研究院(NIST)的网络安全框架,或SANS Institute的20项重要安全控制。这些框架要求组织无差错地持续进行数百项活动:员工必须使用复杂密码并定期更换、传输数据时加密、用防火墙区隔不同网络、第一时间下载最新安全补丁、限制敏感系统的访问人数、审查供应商,等等。
  很多CEO似乎认为,只要遵守这些规范,就能让组织免遭严重损失。但多起影响巨大的网络攻击事件充分表明,这种预设是错误的。前述遭受攻击的企业都有庞大的网络安全团队,相关支出也很高。传统方法能够应付常规的探测软件和初级黑客,但无法抵御越来越多高水准对手针对关键资产的持续威胁。
  在能源、交通运输、重工制造等重资产行业,无论企业投入多少人力和资金,都无法保证标准安全步骤全无差错。实际上,第一步建立硬件和软件资产的完整清单,大多数企业就会出错。这是一个巨大的短板:如果都不知道自己有什么,自然也谈不上防御。
  此外,传统方法也会带来无法回避的权衡取舍。安装升级程序时,系统通常必须关闭,而这并不总是可行。例如,公用事业、化工等行业的企业非常重视工业流程或系统的稳定性和可靠性,不可能每次软件公司发布安全补丁都停工。
  最后,即便所有安全规范都完美落实,也无法抵挡高水平黑客。这些攻击者资金充足、有耐心、不断在进步,总能找到足够多敞开的大门。无论你的公司网络健康度多高,目标明确的攻击都将穿透所有网络和系统。入侵者可能需要数周或数月时间,但最终肯定会成功。
  这不只是我一个人的观点。迈克尔·阿桑特(Michael Assante)曾任American Electric Power首席安全官,现为SANS Institute负责人之一,他告诉我,“传统网络防御方法能应付小打小闹的攻击,理想情况下也许能阻挡95%的入侵”。但在现实中,“对于目标明确的高水平黑客,不过相当于减速带而已”。曾任雅虎和Twitter安全负责人的鲍勃·洛德(BobLord)2017年接受《华尔街日报》采访时说:“和很多公司的安全负责人聊天时,我发现他们有点听天由命的情绪——‘我没办法阻挡来自他国政府的高水平攻击,注定要输掉这场游戏,所以干脆不想太多’。”
  新思路
  现在我们必须停止对数字复杂性与互联性的完全依赖,设计并采用完全不同的网络防御体系。为此,组织必须找出最核心的流程和功能,然后减少或消除可能被攻击者利用的数字通路。
  爱达荷国立工程实验室(INL)已开发出一种实用性强的解决方案,即“结果导向、充分考虑网络状况的工程设计”(CCE)。CCE的目标不是进行一次性的风险评估,而是永久改变领导者对于公司网络风险的思考和评估方式。这项方法目前还在试点阶段,但已产生良好效果。
  CCE方法包含四个步骤,需要以下人员密切协作:
  CCE专家——现在来自INL,未来则来自INL提供培训的工程服务公司
  所有负责合规、诉讼和风险防控的领导者,包括CEO、COO、CFO、首席风险官、总法律顾问和首席安全官
  负责核心运营部门的管理者
  安全系统专家,以及最熟悉公司核心流程的操作员和工程师
  了解系统和设备可能如何被恶意操纵的网络专家和工艺工程师
  对于部分参与者,实施CCE可能会带来压力。例如,新暴露出的重大风险,一开始肯定会让首席安全官很紧张。但这种压力需要克服。面对装备精良的攻击者,首席安全官不可能指望公司万无一失。
  1. 找出“皇冠宝石”流程
  CCE的第一个阶段是INL定义的“结果优先排序”:模拟灾难性场景或产生严重后果的事件。这要求参与者找出可能影响企业存续的核心功能和流程。例如,如果变压器遭受攻击,电力公司或许一个月无法正常供电;又如,压气站停止工作,燃气公司将无法向用户供气。此外,化工厂或炼油厂安全系统遭受重点攻击,将可能由于压力超过临界值而引发爆炸,导致大量人员伤亡,以及天价诉讼、股价动荡,让领导者丢掉工作。
  熟悉高水平黑客行动方式的分析师,将能帮助团队设想潜在攻击者的最终目标。通过思考“如果想扰乱流程或破坏公司,你会怎么做”“突破防御后你会先攻击哪些设施”等问题,团队将能找到攻击后果最严重且最易被攻击的目标,并模拟相关场景,交由公司高层讨论。根据公司规模不同,这一阶段可能需要数周到数月时间。
  2. 测绘数字领地
  下一项任务一般需要一周,但也可能更长:统计“末日场景”中的所有硬件、软件、通信工具、支持人员和流程,包括第三方服务和供应商。参与者应列出每个生产步骤,详细记录所有控制和自动化系统的部署位置,以及所有与核心功能和流程相关的手动操作或数据输入。这些关联都可能成为攻击者的通路,而企业通常并不完全了解它们。
  关于这些要素的现有统计资料总会跟不上现实。诸如“谁能接触你的设备”“信息如何在你的内部网络中流动,你如何保护信息”等问题,总会带来意外发现。例如,某位网络架构师或控制工程师可能会告诉团队,一个关键系统不仅与运营系统相连,还与处理应收付款项、支付和客户信息的商务网络相连,因此实际上接入互联网。通过询问负责供应商事务的管理者,团队可能发现,供应商为进行远程分析和诊断,保留了直接通向关键系统的无线连接。某家安全系统供应商可能声称无法直接与设备通信,而对技术细节和升级流程的仔细检查可能发现实际可以直接通信。任何这种发现都很有价值。
  3. 标明潜在攻击路径
  下一步,运用洛克希德马丁公司设计的一系列方法,团队找到黑客攻击核心目标最短、最可能的路径,并根据攻击难度排序。主导这个阶段工作的是CCE专家和其他外部专家,包括掌握关于黑客及其攻击方法等敏感信息的人士。他们共享政府情报,了解世界各地发生的针对类似系统的攻击事件。公司对安全系统、处理网络威胁的能力和流程等方面的其他投入,也能帮助团队锁定最可能的攻击路径。在下一阶段,团队据此向领导者推荐防御方案。
  4. 制定风险控制和保护方案
  在这个阶段,团队针对最高等级的网络风险设计防御方案。假设一个目标的10条潜在攻击路径都经过某个节点,那么无疑应在这里布设“绊网”——一个受到密切监控的传感器,在反常情况刚出现时就向公司的快速反应团队发出警报。
  有些防御方案其实很容易实施,而且成本很低。例如,一种纯硬件振动传感器,可以使遭到网络攻击的单元减速或停止运行,防止其自我损害或自毁。其他方案则需要更多资金和时间成本,例如建立与主系统略有差异的冗余系统,以备在受损情况下也能维持核心功能。很多防御方案不会对运营效率和商业机会造成负面影响,但有些确实会。因此企业领导者最终需要考虑,哪些风险能接受、哪些必须避免、哪些可以转移、哪些需要控制,并据此决定下一步行动。
  如果某项关键流程必须具备用于跟踪和发送控制信号的数字通道,防御方案应将进出双向的通道数量限制在最少,并让识别异常通信变得更容易。此外,企业可以增加保护装置,在系统接收恶意指令时防止出现灾难性事件。例如,机械阀门或开关可以防止系统的压力或温度超过临界值。有些情况下,企业也可以让可信赖的员工介入,例如监控机械温度计或压力表的读数,确保数字仪表真实准确。如果你的公司未曾经历严重的网络安全事件,尽可能断连、安装过时的机械设备、在自动化流程中安排人工操作等做法,可能会显得是一种退步。但这些实际上是主动的风险管理措施。这些措施可能降低效率,但如果增加的成本能显著降低灾难性事件发生的概率、防御传统方案无法抵挡的攻击,那就是值得的。
  不难想象,读到这里的CEO和COO们会持怀疑态度。在任何变革管理计划中,让人们的情感和心智告别已经坚持几十年的观念,都是巨大的挑战。领导者应预想到阻力,尤其在早期阶段。公开大量公司信息,并承认那些原本不知道或不愿去想的缺陷,会给管理者带来很大心理负担。在接下来的步骤中,随着CCE团队仔细探查技术系统和实践中的漏洞,工程师们的韧性将受到考验。即便在对系统进行最严苛的评估时,也一定要让员工感到安全。最终,你将详细了解潜在攻击者的行动方式和可能结果、预见到公司可能遭到攻击的具体方式,这会很有启发性。一旦认识到风险并了解控制风险的最佳方式,对新方案最抗拒的人也会转而支持。
  现在能做什么
  你必须学着像对手一样思考。你甚至可以建立一个内部团队,让成员定期尝试攻击关键目标,以持续评估公司网络防御的强度。这个团队应包括核心流程、控制和安全系统、运营网络方面的专家。
  即便能够保持很高的网络健康度,你也必须防范入侵。最好的方法是效仿重要化工厂和核电站,建立网络安全文化。从最资深到最初级的所有员工都必须知道,当自己操作的计算机系统或机器开始出现异常,一定要快速做出反应。这也许只是设备故障,但也有可能是网络攻击。
  最后,考虑到你和防御团队可能被迫放弃核心功能的支持系统,一定要有备用方案。即便达不到最佳状态,备用系统也应能保证公司维持核心运营,而且最好不依赖数字技术、不接入网络(尤其是互联网)。至少,备用系统不应与主系统完全相同,原因很明显:如果攻击者能成功入侵主系统,也能轻松入侵一个完全相同的系统。
  每一个依赖数字技术和互联网的组织,都有遭受毁灭性网络攻击的危险。即使是最周密的传统防御措施,也无法抵挡敌对国家、强大犯罪组织或恐怖组织的攻击。保护你的公司的唯一方法,是主动在技术上“后退”一步——其实是工程上的进步。新防御思路的目标是,减少或消除关键部门对数字技术的依赖及与互联网的连接。这样做有时会增加成本,但相比保持现状可能带来的灾难性结果,一定是值得的。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精华推荐
  • 探究!做设计之前的“构思”

    探究!做设计之前的“构思”

  • 汉字之美!中文字体设计原则

    汉字之美!中文字体设计原则

  • 一支互联网雪糕的诞生

    一支互联网雪糕的诞生

  • 设计灵感来自何处?

    设计灵感来自何处?

  • 自行车停靠架和旧自行车变废为宝家居创意作品大全

    自行车停靠架和旧自行车变废为宝家居创意作

  • 造车生死局:要么转型,要么死

    造车生死局:要么转型,要么死

  • 从欠8千万到年赚8亿

    从欠8千万到年赚8亿

  • 一座非典型五线小城的日常

    一座非典型五线小城的日常

QQ客服热线
QQ:1090281100 周一至周日:09:00 - 21:00
WeChat:duzhe1069
Email:kaixin1069@vip.qq.com

优创意logo

勿要吝啬你无形资产,请为创新续源,知识、点子、灵感、经验、需求等均是创新源泉,你不经意的一句话将是另一个人的灵感。明天的明天,还有明天,我们应该把握今天,每一个今天,都有一个新的事物在出现,今天的漠视明天的落后,不浪费每一个学习的时刻,学习助力非凡。

技术支持 Discuz! X3.4 - 3.5 beta © 2001-2019 Comsenz Inc.

小黑屋|手机版|优创意 ( 粤ICP备16085288号-1 )|申请友链

粤公网安备 44011102001144 号 GMT+8, 2020-10-28 12:53 , Processed in 0.108950 second(s), 29 queries , Gzip On.

快速回复 返回顶部 返回列表