×

别当鸵鸟!网络安全实施工作中的6大障碍
  

漫花红小豆 2844

{{ttag.title}}
别当鸵鸟!网络安全实施工作中的6大障碍

安全行业从业10年以上,就会特别注意确保关键基础设施安全可靠。毕竟,如果关键基础设施崩溃,后果不堪设想。




安全行业从业10年以上,就会特别注意确保关键基础设施安全可靠。毕竟,如果关键基础设施崩溃,后果不堪设想。

2011年起,针对关键基础设施的大规模攻击威胁,便已频现报端,且不仅覆盖面广,绝对数量也在持续增长。就在最近,恶意软件/勒索软件成了坊间热议话题。坏人真的很有可能控制我们的电网,毁坏我们的污水处理厂,锁定我们的系统要求赎金。

面对这些威胁,如果一家公司没有安全防护,那可真是难以置信了。

然而,从安全部署的角度出发,事实真相是:大家普遍认为安全只需占公司整体预算的一点点。

控制系统安全预算

虽然从数字上看起来似乎是挺大一笔钱,但想想英国石油公司、壳牌公司、艾克森石油公司这样的大企业,这可都是千亿美元级的企业航母。安全预算的极小比例不禁让人深思。在安全实现上,到底有哪些阻碍呢?

1. 鸵鸟算法

当你对某一件事情没有一个很好的解决方法时,那就忽略它,就像鸵鸟面对危险时会把它深埋在沙砾中,装作看不到。在计算机科学中,鸵鸟算法是解决潜在问题的一种方法。假设的前提是,这样的问题出现的概率很低。

其中关键在于“出现概率极低”。基本上,该算法就是对可能出现的任何问题视而不见。

客户中经常能听到这样的言论:“我们不会发生这种事啦。”或者,“我们是小公司,没人有工夫对我们下手。”听到此类观点时,最好想想被藏了勒索软件的承包商笔记本电脑。这已经超出了可以简单地无视可能外部威胁的范畴——我们得积极主动,要有安全防护计划。

2. 有个中央防火墙就够了

有个常见的误解:中央防火墙就是所需的全部。有这种认知的人不少。但实际上,依赖单点故障从来不是什么好事,比如装防火墙的案例。深度防御作为几千年来行之有效的方法不是没有道理的。

基本上,如果按操作逻辑分组分隔了公司网络,并连接防火墙保护每一个区域,就可以限制潜在问题的影响,受到指向问题发生确切位置的警报。而只有单一防火墙的情况下,网络缺乏内部阻断,恶意软件这样的威胁就可以很容易地传播。所以,中央防火墙就是全部所需的说法站不住脚。

3. 安全确认

“我们有防火墙”,或者,“该区域是物理隔离的。”一切看起来都很不错,直到,又增加了一个防火墙,然后发现网络Y的 X IP 地址在发送广播消息,某种程度上穿透了物理隔离……这怎么可能?!

这里面的希望大概是:只要增加一个防火墙,或者异常检测,或者DPI设备,就万事搞定了。但实际上,保护网络安全是一项齐心协力的工作,是永不停歇且非常悲观的一项工作;所谓悲观,是要占满垒包,不给对手留一丝机会,而不是说服自己“好了,没问题了,我们已经物理隔离了。”

很多情况下,都是架构师进场,规划好网络,然后第三方设置起OT部分。最后,总体拥有者来管理网络。因为是由孤立的各方各自完成自己的部分,终端客户便无法真正理解网络的形式和功能,只是简单地被告知有个防火墙。

4. 开销

售卖防火墙产品就跟卖保险似的。保险有保费支出,运气好的话,终身都用不上保险。如果确实需要保险但又没买,那你很可能会为自己的一时吝啬追悔莫及。因为大多数安全事件造成的损失,会比你一开始就买了保险要高得多。

理想很丰满,现实很骨感。很多公司里,安全预算都是微乎其微的,尤其是与PLC和HMI软件支出相对比的话——很讽刺,因为如果控制器是可靠性最重要的元素,那么保护控制器的安全预算难道不应该更多吗?

尽管前期投入可能看起来很多,但若生产网络发生负面事件,损失掉的收益就会比防止宕机的防火墙设备初始投入要高得多了。

5. 无知

这不是贬义,只是个纯粹的事实——“我们从哪儿开始?”看看市场上有多少公司提供状态防火墙、深度包检测防火墙、下一代防火墙、异常检测防火墙、监视工具和修改检测机制,安全真是一项艰巨的工作。尤其是当你只是控制工程师,而不是担负网络框架设计职责的安全或IT专家时。

如前文所述,安全不是买个设备就可以高枕无忧的。这是一项不断迭代的工作,需要大量工具和过程来真正理解并保护你的网络。

6. 在OT世界实现IT

IT专家试图在OT网络中应用IT范例:“重启一下那个交换机吧!”众所周知,IT世界对正常运行时间的要求不像OT网络的那么严格。

IT人和OT人甚至不能同处一室的例子也不是没有,更不用说设计出贴合OT环境的安全策略了。这是一个非常现实的障碍,只有IT和OT的逐渐趋同汇聚才能解决。

新手589624 发表于 2020-3-18 15:40
  
安全保障
for√ 发表于 2017-9-14 18:03
  
OT是什么
feeling 发表于 2017-8-30 17:56
  
不错的分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
排障那些事
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人