思想领导
2023年12月12日
-
保存到收藏夹与你的朋友分享
-
雅各布斯副总裁, 约翰Karabias and 正规博彩十大网站排名全球技术主管- OT网络安全 Adi Karisik 讨论供水设施和关键首页的网络安全紧迫问题, 重点关注最近的威胁,以及在量化和解决OT风险方面采取主动方法的必要性. 这是由这些作者撰写的关于保护关键首页的多部分系列文章中的第一篇.
在工业控制系统(ICS)的动态景观中, 针对关键首页运营技术环境的网络威胁持续增加,需要采取新的行动来量化和减轻网络风险. 今年, 以国家主导的运营技术(OT)网络安全漏洞激增为标志, 美国.S. 水务部门已多次成为目标. 的 最近对阿利基帕市政水务局的网络攻击 在宾夕法尼亚州, 由伊朗支持的网络复仇者组织策划, 凸显了该行业的脆弱性, 这与2011年伊利诺伊州斯普林菲尔德的黑客事件相呼应.
在ICS环境的复杂领域中, 在物理安全之间保持微妙的平衡, 网络安全和自动化对确保运营稳定至关重要. 最近在宾夕法尼亚州发生的泄漏事件提醒人们,OT漏洞在水务部门的潜在后果,包括下游的泄漏能力,影响设施的运行和水质. 随着对OT系统的全球攻击的增加, 水务公司必须改进其量化风险的方法,并应用网络安全措施,使他们能够在任何形式的OT漏洞中做出果断的反应并保持弹性.
肥尾正在改变风险前景
在台风伏特在关岛造成严重破坏之后, 很明显,恶意实体, 包括民族国家, 战略性地瞄准关键首页,使危害最大化,并展示严重后果. 这种低概率, 高后果公式类似于散文家引入的“肥尾”概念 纳西姆•塔勒布 在他几本关于金融领域风险的主要著作中. 塔勒布关于风险和分布的博学多才的文章表明,从华尔街到美国的金融机构是如何在金融危机中获利的.S. 五角大楼一直低估了通常被称为“黑天鹅”的灾难性事件的可能性和后果.“然而, OT网络入侵不再是黑天鹅事件,因为它们越来越频繁地发生,并有可能造成不可挽回的伤害. 最近的新冠肺炎疫情等例子表明,我们已经越来越习惯社会中的肥尾. 这些事件对组织和周围社区的影响不成比例. OT媒介是另一个领域,如果不适当减轻,肥尾可能会产生严重后果.
OT安全措施评估风险并立即采取行动
由于水和污水处理部门在维持公民生命支持方面发挥着关键作用,因此已成为网络威胁的主要目标. 在水中和其他OT环境中, 操作员必须意识到OT的各种接入点以及在这些接入点经常发现的缺乏防御措施. 组织必须认识到业务的价值, 维护和设备供应商的观点-连接系统并在企业和控制系统之间具有可路由访问. 他们还必须承认,包括Flame在内的恶意软件已经被开发出来, Stuxnet和BlackEnergy可以绕过气隙网络.
在当今的OT环境中,比以往任何时候都更容易造成伤害. 只要一个闪存盘或Wi-Fi连接, 恶意的或没有经验的内部人员可能会渗透并感染关键的OT系统. 水实体可以通过设计的视角来划分风险,从而改善其风险姿态, 升级和在定义的关键点. 利用诸如“设计安全”之类的方法,该组织致力于将网络安全融入科技产品的设计和制造中, 能否有效地结合已证实的实践和技术来降低数字风险.
可以采取运营网络安全措施来同步监控和数据采集(SCADA)之间的强化措施。, OT和物理系统. 遵守NIST 800-82等标准是立即解决SCADA分段风险的重要基本原则. OT的设计应该考虑到稳定的OT网络环境, 物理系统和传感器应该有效地连接到SCADA网络,利用OT网络可以可靠支持的通信. 现在可以采取这些措施来实质性地改善组织的风险状况. 在雅各布, 我们秉承“设计安全”的理念,通过运营和维护将网络安全嵌入到项目设计中. 但仅此还不够. 我们已经超越了全生命周期的OT安全交付,以咨询方式识别和规划无数的OT网络风险场景及其附带的权衡. 这是工业时代新的安全模式.
确保下一个工业发展时代的OT
量化OT中的网络风险是一项复杂的任务,后果重大. 操作员需要了解人, 网络入侵对运营和财务的影响, 采取全面的方法进行风险评估. 随着OT进入由工业互联网推动的融合新时代, OT领导者必须认识到“肥尾”分布在OT事件中的优势,并相应地更新风险和投资计算.
组织应及时量化OT网络风险的新形势, 使用已建立的标准和强化原则. 这种主动的方法有助于关键首页从易受攻击的目标转变为安全的目标, 技术驱动的中心,推动下一代工业进步.
关于雅各布斯的OT网络安全
在雅各布, 我们在不同的数字领域提供全面的支持, 包括它, OT, 物联网和工业物联网, 解决客户在关键首页方面的需求, 国家安全, 制造和数据驱动环境. 我们的专业团队在IT环境中优先考虑机密性,并在OT环境中保护操作流程和设计. 这种专注增强了我们客户的弹性. 我们为客户量身定制策略和解决方案,以满足客户的特定需求, 确保最大限度的保护, 安全性和流程加固. 选择雅可博作为您值得信赖的合作伙伴,致力于维护您的利益.
作者简介
约翰Karabias 你是雅各布斯公司的网络安全副总裁吗. John在网络安全和技术领域有15年的经验. 他曾在网络安全领域担任技术和企业战略领导职务,为包括水在内的关键首页部门提供服务, 交通运输和先进制造业. John也是马里兰洛约拉大学信息系统的兼职教授,也是东北马里兰技术委员会的董事会成员.
雅各布斯公司的全球技术主管 Adi Karisik 拥有超过20年的信息技术专业知识, 网络安全和情报咨询. 在加入正规博彩十大网站排名之前, Adi在全球范围内管理分类项目,并在行为分析方面拥有多种技能, 作战行动和预测威胁分析. 熟练掌握多种语言, 他是国防部受人尊敬的人物,在海军研究生院任教. 自2012年以来, 2017年,Adi一直走在大数据分析的前沿, 他建立了正规博彩十大网站排名的运营技术服务实践, 呈指数增长. 作为雅各布斯大学的关键人物, Adi在技术和网络安全的交叉领域做出了重大贡献.