面对这些威胁,如果一家公司没有安全防护,那可真是难以置信了。 然而,从安所有署的角度出发,事实真相是:大家普遍认为安全只需占公司整体预算的一点点。
虽然从数字上看起来似乎是挺大一笔钱,但想想英国石油公司、壳牌公司、艾克森石油公司这样的大企业,这可都是千亿美元级的企业航母。安全预算的极小比例不禁让人深思。在安全实现上,到底有哪些阻碍呢? 1. 鸵鸟算法
其中关键在于*出现概率极低*。基本上,该算法就是对可能出现的任何问题视而不见。 客户中经常能听到这样的言论:“我们不会发生这种事啦。”或者,“我们是小公司,没人有工夫对我们下手。”听到此类看法时,最好想想被藏了勒索软件的承包商笔记本电脑。这已经超出了可以简单地无视可能外部威胁的范畴——我们得积极主动,要有安全防护计划。 2. 有个中央防火墙就够了
基本上,如果按操作逻辑分组分隔了公司网络,并连接防火墙保护每一个区域,就可以限制潜在问题的影响,受到指向问题发生确切位置的警报。而只有单一防火墙的情况下,网络缺乏内部阻断,恶意软件这样的威胁就可以很容易地传播。所以,中央防火墙就是所有所需的说法站不住脚。 3. 安全确认
这里面的希望大概是:只要增加一个防火墙,或者异常检测,或者DPI设备,就万事搞定了。但实际上,保护网络安全是一项齐心协力的工作,是永不停歇且非常悲观的一项工作;所谓悲观,是要占满垒包,不给对手留一丝机会,而不是说服自己“好了,没问题了,我们已经物理隔离了。” 很多情况下,都是架构师进场,规划好网络,然后第三方设置起OT部分。最后,总体拥有者来管理网络。因为是由孤立的各方各自完成自己的部分,终端客户便无法真正理解网络的形式和功能,只是简单地被告知有个防火墙。 4. 开销
理想很丰满,现实很骨感。很多公司里,安全预算都是微乎其微的,尤其是与PLC和HMI软件支出相对比的话——很讽刺,因为如果控制器是可靠性最重要的元素,那么保护控制器的安全预算难道不应该更多吗? 尽管前期投入可能看起来很多,但若生产网络发生负面事件,损失掉的收益就会比防止死机的防火墙设备初始投入要高得多了。 5. 无知
如前文所述,安全不是买个设备就可以高枕无忧的。这是一项不断迭代的工作,需要大量工具和过程来真正理解并保护你的网络。 6. 在OT世界实现IT
IT人和OT人甚至不能同处一室的例子也不是没有,更不用说规划出贴合OT环境的安全策略了。这是一个非常现实的障碍,只有IT和OT的逐渐趋同汇聚才能搞定。 |
