关注公用事业网络安全缺陷.pdf

对标洞察关注公用事业网络安全缺陷从东拼西凑防线，转变为成竹在胸，安心无忧IBM 商业价值研究院2015 2016 2017 2018 谈话要点IIoT 在公用事业领域的运用公用事业领域既是IIoT 技术的早期采用者，也是广泛采用者。我们的调研揭示了IIoT 技术的采用领域和方式。网络安全之窘境公用事业企业意识到了存在网络安全风险。但为什么他们仍难以实现全方位的IIoT 网络安全？五大具体战略了解如何通过奠定强有力的网络安全基础，运用人工智能和自动化技术，获得更先进的能力，从而实现并提高IIoT 卫生水平。针对ICS 网络的攻击：简图作者：Cristene Gonzalez-Wertz、Lisa-Giane Fisher、Steven Dougherty 和Mark Holt 随着工业物联网(IIoT) 技术日益普及，自动化设备和流程变得越来越智能，而公用事业遭受网络攻击的风险也与日俱增。无论是由恐怖分子、网络黑客还是国家发动，攻击一旦成功，都可能引发毁灭性的后果。入侵核电厂和电网可能会影响电力供应，而针对供水设施的网络攻击则可能导致饮水污染或断供。公民安全、关键基础设施和环境面临严峻风险。由自动化和人工智能(AI) 辅助实现的基本IIoT 网络卫生成为确保公用事业运营和服务连续性的关键所在。目前，公用事业企业利用IIoT 技术收集数据，以监测资产，获得深入的运营洞察，同时提高效率和安全水平。然而，随着IIoT 的扩展，破解并访问工业控制系统(ICS) 网络的恶意行为仍在继续。针对使用IIoT 环境的攻击目标不仅涵盖高价值资产或服务，还包括云端的关键工作负载。另外，还可能包括信息/实体系统中的流程控制子系统以及关键的业务、运营和消费者数据。例如，美国国土安全部(DHS) 最近报告称，Dragonfly 间谍组织入侵了用于控制若干北美发电厂流程的Human Machine Interfaces (HMI)。入侵系统后，该间谍组织不仅复制了配置信息，还可能破坏或控制设施。16 月 12 月 1 月 3 月 4 月 12 月 5 月 6 月 12 月 3 月 来源：IBM Security 研究。 1 水力发电机保密监督控制与数据采集 (SCADA) 系统数据在暗网中曝光 纽约大坝的 SCADA 系统遭受黑客入侵 美国天然气和电力公司发生网络安全违规事件 三家乌克兰配电企业的 SCADA 系统遭受渗透攻击 黑客入侵某水务公司的 SCADA 系统，控制水流和化学成分 以色列电力局收到勒索软件电子邮件 巴伐利亚州核电站燃料系统发现恶意软件密歇根州电力和水务公用事业设施遭受勒索软件网络钓鱼攻击 恶意软件导致乌克兰变电站下线 (Industroyer)勒索软件加密了未打补丁的 E&U 流程控制系统 (WannaCry)NotPetya 恶意软件导致切尔诺贝利辐射传感器陷入瘫痪 美国 CERT 发布了有关 Dragonfly 网络间谍组织入侵美国公用事业控制系统的报告，其中包含 HMI 访问证据。 针对 SIS 的攻击发布 (TRISIS) 公用事业运营领域中的IIoT 网络安全2 70% 的公用事业企业打算部署IIoT 技术，但他们对IIoT 网络安全技术至多只是泛泛了解64% 的电力企业将生产中断/停工及公众信心丧失视为最严重的IIoT 网络安全风险公用事业企业自己检测到的IIoT 网络安全事故不到实际发生数量的50%为了更好地了解IIoT 安全现状，IBM 商业价值研究院(IBV) 与牛津经济研究院合作，对18 个国家或地区的700 多位工业与能源企业高管（包括120 位公用事业高管）进行了一次调研。调研期间，所有700 家企业全部在运营中实施了IIoT。 研究确认，公用事业领域既是IIoT 技术的早期采用者，也是广泛采用者。广大受访者普遍表示，所在企业主要应用IIoT 技术发出警报、读表以及实时监测设备，因此会生成大量数据，并通过监测与控制网络传输相关数据。然而，公用事业企业高管对IIoT 终端的安全倍感担忧。24% 的受访者认为设备和传感器是IIoT 部署最薄弱的环节。另外，公用事业企业高管担心这些设备、传感器及网关上的数据未得到充分保护。12% 的公用事业企业担心云端数据的脆弱性。电力供水公用事业领域网络攻击可能会产生严重的健康、经济、环境和心理影响。平均而言，公用事业企业将敏感数据曝光视为影响最严重的IIoT 相关风险。这包括计费和收入信息（来自智能电网和智能电表系统）、控制系统信息以及员工和客户数据。电力公用事业企业更担心生产中断或停工，以及由此引发的声誉损害。半数以上的公用事业企业担心监管违规和设备损坏带来的潜在影响（见图1）。来源：IBM 商业价值研究院对标调研，2018 年。 n = 120；电力 = 77；供水 = 43 * 计数较低 (n20) 在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。 62% 74% 64% 65% 64% 63% 58% 65% 47% 56% 51% 44%* 48% 49% 43% 49% 43% 47% 42% 49% 3 图1 公用事业市场：影响重大的IIoT 网络安全风险敏感数据/保密数据泄露破坏活动导致生产中断/停工企业声誉受损/公众信心丧失违反法规要求/可能遭受罚款因操纵物理输出导致设备损坏危害个人安全潜在的环境危害/灾难因连接运营系统的IT 系统过于复杂，导致可视性和控制力下降知识产权盗窃未经认证的设备配置变更、补丁变更什么是网络卫生？2网络卫生是指企业在网络安全计划中采用的基准网络实践，以及使用计算机和其他设备的企业和用户为维护系统正常运行和提高在线安全性所采取的步骤。通常，此类实践属于日常工作，旨在帮助确保身份及其他可能被盗或遭受破坏的详细信息的安全性。与身体卫生一样，定期实施网络卫生工作有助于防止自然损耗和常见威胁。4 为什么公用事业企业未能缩小差距？公用事业企业很清楚网络安全风险的存在，但70% 的受访者表示他们对IIoT 网络安全技术至多只是泛泛了解。调研结果表明，公用事业企业缺乏基本的IIoT 网络卫生战略 也就是缓解风险所需的组织、技术和流程。虽然电力企业还未真正实现“安全”运营，但他们对IIoT 部署和所连接的信息/实体系统安全需求的认识，要比供水企业更胜一筹。18% 的电力企业已经制定了正式的IIoT 网络安全计划，用于建立、管理和更新所需的IIoT 网络安全工具、流程和技能，而供水企业中只有2% 做到了这一点（见图2）。 图2 理解IIoT 网络安全并采用正式的网络安全计划显著正式采用 IIoT 网络安全 计划 2%*供水 一般正在评估 IIoT 风险 有限对 IIoT 网络安全的理解有限 来源：IBM 商业价值研究院对标调研，2018 年。 n = 120；电力 = 77；供水 = 43 * 计数较低 (n20) 在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。 18%*电力70%*供水 70%*电力28%*供水 12%*电力供水大多数公用事业企业对IIoT 网络安全只有一定程度的了解。虽然平均而言，电力企业的网络安全计划日渐成熟，但电力企业和供水企业这两个群体的IIoT 网络安全能力还不成熟。他们面临巨大挑战，致使IIoT 技术与网络安全部署之间存在巨大差距，妨碍实现全方位的IIoT 网络安全（见图3）。 在接受调研的供水企业和电力企业高管中，有49% 的供水企业高管和40% 的电力企业高管面临网络安全人才短缺问题。此外，在运用众多IIoT 技术保护复杂公用事业基础设施时，面临速度和规模方面的难题。我们的研究表明，44% 的供水企业高管和30% 的电力企业高管面临巨大的数据挑战。图3 保障公用事业IIoT 部署安全面临的最大挑战缺乏高技能人才安全大数据挑战多种法规、标准和准则这些企业为了有效管理、分析和应用安全工具所采集的数据，以便支持检测和补救工作而疲于奔命。近期发表的一份关于攻击活动全球趋势的报告指出，2017 年，从成功入侵到检测到威胁之间的时间中位数为101 天。3我们的调研数据表明，电力企业和供水企业分别需要14 天和18 天才能做出响应并恢复运营。此外，受访者表示，约半数公用事业企业的IIoT 网络安全事故（53% 的电力企业事故和 48% 的供水企业事故）由第三方检测出，而不是由他们自己检测出。40% 49% 44% 30%* 40% 30%* 更新现有的工业生产网络无法发现威胁并确定威胁优先级智能系统过时或基础设施老化电力来源：IBM 商业价值研究院对标调研，2018 年。 公用事业企业选择最多的三项。n = 120；电力 = 77；供水 = 43 * 计数较低 (n20) 在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。 39% 30%* 34% 33%* 29% 28%* 5 保护基于云的公用事业企业数据智慧城市中的电力控制基础设施不断产生海量数据，不仅涉及车流量、街道照明和安全传感器，还涵盖分配的电力资源、电力流动和使用情况。为使公用事业企业利用不断增长的IIoT 传感器数据，在云端托管的计算和存储资源提供了多种有效方法。但是，北美发电或输电企业必须遵守北美电力可靠性公司(NERC) 关键基础设施保护(CIP) 委员会制定的“关键国家基础设施”法规。因此，目前无法将控制系统信息传输到公开共享的云托管计算环境。联邦能源监管委员会(FERC) 采用NERC CIP 标准，帮助保护和监管大规模电网，要求公用事业企业了解谁有权访问其数据以及如何对数据实施保护。7 IBM 与NERC 开展合作，共同开发“联邦风险与授权管理计划”(FedRAMP) 模型，这是美国政府用于评估云系统安全性的标准化方法。CIPC 正在评估这个流程，确定是否可以在符合“CIP 可靠性标准”的环境中进行使用。FedRAMP 模型通过值得信赖的第三方来验证是否已实施并监控控制措施，从而增强合规性，加快让IIoT 数据上云的速度。8 6 极速应对安全违规事件至关重要。Ponemon 近期发表的数据泄露成本报告显示，发现并控制数据泄露事件的速度越快，成本就越低。报告发现，广泛应用IoT 设备会使每条记录泄露的平均成本提高5 美元。相比之下，完全部署安全自动化解决方案的企业，数据泄露的平均成本比没有部署的企业要低约35%。4 另外，受访者还表示，他们需要应用或遵守太多的法规、标准和准则，感到压力巨大（请参阅侧边栏“保护基于云的公用事业企业数据”）。此外，在接受调研的电力企业和供水企业中，39% 的电力企业和30% 的供水企业具有工业生产网络以及难以更新的老化基础设施。安全性是许多早期工业控制系统应用（如智能电网）事后才考虑的问题，而传统设备在制造之时通常对安全性关注不足。因此，更换此类设备既昂贵又不切实际，因为新式设备并不总是采用现代安全功能制造，而且全天运行的设备的更新时间窗口期非常有限。5这种情况近期内不大可能发生转变：截至2018 年9 月，加利福尼亚州是美国唯一出台物联网安全法规的州，而且直到2020 年才会生效。6 完全部署安全自动化解决方案的企业，数据泄露的平均成本比没有部署的企业要低约35%。4 缩小差距：构筑有力的防御屏障我们建议双管齐下，缩小网络安全差距。首先，企业应专注于构筑强大的IIoT 网络安全基础，并制定基本的网络卫生战略。建立防御基础后，公用事业企业可通过使用人工智能和自动化技术，重点培养更高级的安全能力。这样，不仅可以进一步克服挑战，还能确保实现持续运营和服务交付。以下是帮助公用事业企业奠定坚实的IIoT 网络卫生基础的四项战略：1.在企业层面管理IIoT 网络安全风险。如果公用事业IIoT 环境保护不力，会对社会各界造成风险。因此，整个公用事业领域均应了解并管理这些风险。定义明确的IIoT 安全战略后，公用事业企业可以应用三项实践，为整个生态系统注入IIoT 网络安全能力： 正式制定 IIoT 安全计划，定义、管理和更新所需的 IIoT 网络安全工具、流程和技能。 应用安全和监管框架组合（如美国国家标准与技术研究院(NIST) 风险管理框架、NIST 800 标准和ISO/IEC 27000-1），以此作为基础：9 确定关键数据、资产和安全边界。 确定IIoT 系统、连接的生产环境和人员资产中的漏洞。 构建和定制风险管理框架。 评估风险，记录并执行计划以减轻风险。 保护最紧迫的安全计划的投资并沟通进度。 根据业务目标与合规要求，平衡可接受的风险水平。 组建跨职能安全团队，广泛覆盖 IT 安全、工程、运营、控制系统和安全供应商。在接受调研的电力企业和供水企业中，49% 的电力企业和44% 的供水企业部署了这样的团队。跨职能工作方法有助于企业更清晰地了解物联网系统、标准企业IT 系统和运营设备之间的差异。同时，还可以帮助公用事业企业利用IT 和运营技术(OT) 专业技能，更有效地保护系统和设备（参见图4）。10 7 18%* 19%* 48% 电力供水2%* 16%* 44%* 员工网络安全教育有助于增强安全意识，提高安全运营有效性。图4 在企业层面管理IIoT 网络安全风险制定了正式的 IIoT 网络安全计划 应用了 NIST 网络安全框架和/或 800 系列标准 组建了跨职能安全团队 来源：IBM 商业价值研究院对标调研，2018 年。 n = 120；电力 = 77；供水 = 43 * 计数较低 (n20) 在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。 8 2.落实并执行IIoT 网络安全。随着IIoT 技术成为公用事业关键架构的一部分，安全功能也应同步融入。以下三项实践有助于将安全功能融入架构，将它们整合到运营之中，并且在企业之外发挥作用： 将 IIoT 网络安全整合到 IT、OT 和 IIoT 运营流程中。64% 的电力企业表示，他们至少部署了安全提供基于IIoT 的新产品或新服务所需的基础架构和流程。只有35% 的供水企业做到这一点。为部署高风险的复杂IIoT 系统，不仅需要网络安全专家，还要由OT 专家提供信息/实体系统设计和运行方面的指导。我们建议采用安全系统开发生命周期(SDLC)（如DevSecOps），整合各种活动，以便尽早发现并消除漏洞。 增强员工洞悉物联网安全运营、IT 和 OT 运营的能力。118% 的电力企业和12% 的供水企业将此作为重点预防性措施。网络安全教育和安全意识活动对于实现IIoT 网络卫生至关重要（见图5）。 定义明确的安全与隐私服务级别协议 (SLA)。在依赖第三方的情况下，这一点尤其重要。只有16% 的电力企业通过SLA 来监控和履行安全要求，没有供水企业受访者表示这样做。确保对数据的受控访问有助于抵御内部攻击，防止信息被盗或受到损害。务必记录有权访问敏感功能或数据的人员，密切监控和审计这些特权用户的行为。12