工业网络环境的网络弹性
更新时间:2021-03-09
浏览量:1929
网络弹性作为一项网络系统设计原则,越来越多地受到网络安全利益相关方的重视。特别是在当前网络安全风险和传统安全风险交织互为影响、IT安全和OT安全互为渗透的背景下,网络弹性被视为预防和缓解关键信息基础设施网络安全风险的有效手段。
通常来讲,网络弹性可以被视为一种预防措施,以对抗人为错误、恶意行为和陈旧的、不安全的软件。以SolarWinds供应链攻击为典型代表的一系列数据泄露事件已经确定无疑地表明:当今的网络攻击不再局限于简单的病毒传播或拒绝服务(DoS)攻击。相反,网络攻击对手会部署先进的持续威胁(APTs),甚至可能利用修补良好、受到监控的基础设施。2020年以来的COVID-19疫情大流行使得居家办公、远程办公迅速普及,这加剧了本已复杂严峻的网络安全态势,暴露了IT/OT可见性、问责制和安全控制持久性方面的现实差距。越来越多的企业将网络弹性作为确保业务运营持续交付的一种新兴措施。但网络弹性到底是什么?工业网络环境下为何需要实施网络弹性并会带来哪些好处?如何实现良好的网络弹性?

何为网络弹性?

根据MITRE的定义,网络弹性(或网络韧性)是预测、抵御、恢复和适应不利条件、压力、攻击或网络资源的失陷的能力。人们日益认识到,传统的安全措施已不足以确保足够的信息、数据和网络安全,因此对网络弹性的需求应运而生。网络弹性承认,现代企业基础设施是由大型和复杂的实体组成的,存在缺陷和弱点是不可回避的事实,攻击对手必然成功利用这些漏洞和弱点。在此背景下,网络弹性的目标是确保不利的网络事件(有意或无意的,即由于软件更新失败)不会对组织业务运营的保密性、完整性、可用性、可靠性等产生负面影响。

网络安全应用旨在保护系统(如服务器、端点)、网络和数据免受网络攻击的技术、流程和措施。相比之下,网络弹性则侧重于组织IT环境中的侦察和反应控制,以评估漏洞并推动整体安全态势的改善和增强。大多数网络复原措施利用或加强各种网络安全措施。网络安全和网络复原措施在协同应用时最为有效。

越来越多的网络风险和安全管理框架采用网络弹性的概念。例如,美国国土安全部(Department of Homeland Security)的网络弹性评估(CRR)就如何评估一个组织的运营弹性和网络安全实践提供了指导。另一个例子是美国国家标准与技术研究所(NIST)特别出版物800-160第2卷,它提供了一个安全可靠系统的工程框架——将不利的网络事件视为弹性和安全问题。

工业网络为何需要网络弹性?

随着国家支持的威胁行为体增网络作战能力的增强,黑客们发现了新的网络犯罪策略,网络恐怖分子则发现了渗透工业控制的新方法,恶化的形势迫使网络弹性战略将不得不纳入应急响应管理计划。比如化工厂的工业控制器被破坏时会发生什么?何时向谁报告?需要实施哪些流程来减轻系统受损或发生相关紧急事件时的影响?对于从事工业物联网领域的人员来说,考虑政府如何处理紧急情况管理响应变得越来越重要,以便在灾难发生时,一线响应人员能够采取及时有效的纠正措施,而不会使危机加剧。目前国家关键信息基础设施已成为网络攻击的主要目标,是网络攻防的最前沿。比如APT组织对电力、能源、电信、卫生和公共安全、政府和经济基础设施等目标的兴趣比任何时候都强烈。没有受到政府安全法规严格控制的系统可能会成为攻击对手利用来攻陷和破坏经济的潜在目标。具体到工业网络中,可编程逻辑控制器(例如Stuxnet病毒的目标)和SCADA系统是混合攻击场景(涉及同时进行的网络攻击和动能攻击)中必然是重点目标。

这一急剧严峻的网络安全态势,使得关键信息基础设施在遭受攻击仍然能够持续运营,即使瘫痪后如何快速恢复变得尤其关键。建立网络弹性是工业系统设计的一个重要方面。无论怎样,对现在系统的健壮性做到心中有数也不是一件坏事。可以考虑多种方法测试现有系统,在网络安全的基础上对失败场景进行建模,或者使用红队(攻击)蓝队(防御)对抗风格的推演等技术来证明系统的健壮性。

有一点是确定的,即使防御者尽了最大的努力,但受攻击且失败还是会发生。在这种情况下,应急响应部门人员需要能够应对潜在危机,需要采取并实施网络弹性恢复战略。考虑到在许多系统的自动化水平,手动控制变得少之又少,以及信息系统的互联性和基础设施的相互依赖性,这将变得越来越重要。展望未来,人们希望人工智能可能会成为未来的智能看门人。但问题的另一面,未来人工智能也肯定是攻击的工具。

美国联邦应急管理局每两年进行一次大规模的基础演习,以验证在实现灾难事件防范文化方面取得的进展,称为“国家一级演习”(NLE)。NLE2020侧重于国家网络安全准备。政府和私营部门之间的这一合作努力是迄今为止进行的最大规模的此类演习,其不同之处在于它将网络灾难的物理后果考虑在内。美国国土安全部下属的网络安全部门(CISA)认为,工业控制系统所面临的威胁至关重要,因此它专门设有一个页面,专门针对工业控制系统提供重要基础设施网络的实时警报,有关当前安全问题、漏洞和利用的咨询,以及大量技术信息,助力提高工业控制系统保护专业人员的技能水平。

实施网络弹性有何益处?

网络恢复策略,如端点恢复,在网络攻击事前、事中和事后提供了一系列的好处。以下是一些主要的好处:

  • 强化安全态势:网络弹性不仅有助于应对攻击并在攻击中幸存下来。它还可以帮助组织开发战略,以改进IT治理,提高关键资产的安全性,扩展数据保护工作,并最大限度地减少人为错误。

  • 推进合规建设:当前在网络安全相关的法律法规、国家标准和行业标准当中都有网络信息系统应急响应、恢复的要求。

  • 提高IT生产率:网络弹性的一个被低估的好处是,它改善了组织的IT团队的日常运营。它提高了应对威胁的能力,并有助于确保日常运作顺利进行。

  • 促进网络安全文化建设:安全事件驱动的网络安全应急响应机制需要不断的改进完善,实战演练、桌面推演、事件处置都是推动响应机制、能力改进提升的动力。弹性原则的实施与改进同样扮演这种驱动角色,真正助力企业构建贯穿于人员、技术、过程的网络安全文化。

网络安全具有对抗的特性,因此极限化的敌情想定是必须的。网络弹性措施(即架构设计、技术、操作实践)恰恰就是假设威胁行为者可以在组织的基础设施中立足(即网络系统的失陷是必然的),更重要的是在攻击者已驻留的情况下设法阻止其后利用活动,并将其尽快猎杀。如果实施得当,网络弹性可以被视为一种预防措施,以对抗人为错误、恶意行为和陈旧的、不安全的软件。最终,网络弹性的目标是积极地保护整个企业,覆盖上述所有可用的网络资源。因此,企业需要在其基础设施中建立不同类型的网络弹性。

如何改进企业的网络弹性?

一个系统、一个网络或一个组织的弹性是由许多因素影响的,以一种复杂的、往往矛盾的方式。

1、管理复杂性:系统或网络的弹性很大程度上取决于系统的复杂性,特别在工业网络环境,OT与IT在融合趋势下加剧了复杂性的管控难度。

2、选择合理拓扑:除了复杂性之外,选择合适的系统或网络拓扑可以提高弹性。

3、增加额外资源:网络中的额外资源有助于提高弹性。例如,对发电配电网的节点进行扩容,可以降低级联故障的可能性,加快业务恢复的速度。

4、设计恢复机制:系统组件的设计应使其在出现故障或受到损害时恢复到安全模式。

5、控制影响传播:为了增强系统吸收网络攻击影响的能力,设计者应该防范级联故障。这些失败并不是完全独立的,因为一个失败会触发另一个失败。

6、提供缓冲机制:在数据和商品交易网络中,网络的功能是向其客户提供对一组交付的商品的访问。在这样的网络中,缓冲区(例如高速缓存,本地存储)构成一个恢复机制,该机制消除了对原始源的持续访问的需要。

7、准备主动代理:主动代理——人类的或人造的——应可用来采取积极的措施,以便吸收、恢复和适应。为了有效地做到这一点,必须有计划、流程和准备。

8、构建代理功能:理想情况下,代理应该能够根据上下文执行多个功能中的一个,并且相同的功能可以由多个代理中的一个执行。例如,网络中的存储代理(缓冲区、缓存)可以使用它们的空间来存储一组可能的项。

9、充分考虑对手:如果对手专门调整他的技术和程序-并拥有必要的能力-以击溃目标系统的恢复尝试,系统的恢复力将受到相应的损害。

10、进行深入分析:所有提高弹性能力的措施和行动也可能造成导致弹性能力全面下降的未预料的影响。因此,严谨、高保真的分析是必须的。在没有能够揭示潜在负面影响和系统性影响的适当分析的情况下,不应设计或引入增强弹性的措施。

网络弹性作为一项网络系统设计原则,越来越多地受到网络安全利益相关方的重视。特别是在当前网络安全风险和传统安全风险交织互为影响、IT安全和OT安全互为渗透的背景下,网络弹性被视为预防和缓解关键信息基础设施网络安全风险的有效手段。
通常来讲,网络弹性可以被视为一种预防措施,以对抗人为错误、恶意行为和陈旧的、不安全的软件。以SolarWinds供应链攻击为典型代表的一系列数据泄露事件已经确定无疑地表明:当今的网络攻击不再局限于简单的病毒传播或拒绝服务(DoS)攻击。相反,网络攻击对手会部署先进的持续威胁(APTs),甚至可能利用修补良好、受到监控的基础设施。2020年以来的COVID-19疫情大流行使得居家办公、远程办公迅速普及,这加剧了本已复杂严峻的网络安全态势,暴露了IT/OT可见性、问责制和安全控制持久性方面的现实差距。越来越多的企业将网络弹性作为确保业务运营持续交付的一种新兴措施。但网络弹性到底是什么?工业网络环境下为何需要实施网络弹性并会带来哪些好处?如何实现良好的网络弹性?

何为网络弹性?

根据MITRE的定义,网络弹性(或网络韧性)是预测、抵御、恢复和适应不利条件、压力、攻击或网络资源的失陷的能力。人们日益认识到,传统的安全措施已不足以确保足够的信息、数据和网络安全,因此对网络弹性的需求应运而生。网络弹性承认,现代企业基础设施是由大型和复杂的实体组成的,存在缺陷和弱点是不可回避的事实,攻击对手必然成功利用这些漏洞和弱点。在此背景下,网络弹性的目标是确保不利的网络事件(有意或无意的,即由于软件更新失败)不会对组织业务运营的保密性、完整性、可用性、可靠性等产生负面影响。

网络安全应用旨在保护系统(如服务器、端点)、网络和数据免受网络攻击的技术、流程和措施。相比之下,网络弹性则侧重于组织IT环境中的侦察和反应控制,以评估漏洞并推动整体安全态势的改善和增强。大多数网络复原措施利用或加强各种网络安全措施。网络安全和网络复原措施在协同应用时最为有效。

越来越多的网络风险和安全管理框架采用网络弹性的概念。例如,美国国土安全部(Department of Homeland Security)的网络弹性评估(CRR)就如何评估一个组织的运营弹性和网络安全实践提供了指导。另一个例子是美国国家标准与技术研究所(NIST)特别出版物800-160第2卷,它提供了一个安全可靠系统的工程框架——将不利的网络事件视为弹性和安全问题。

工业网络为何需要网络弹性?

随着国家支持的威胁行为体增网络作战能力的增强,黑客们发现了新的网络犯罪策略,网络恐怖分子则发现了渗透工业控制的新方法,恶化的形势迫使网络弹性战略将不得不纳入应急响应管理计划。比如化工厂的工业控制器被破坏时会发生什么?何时向谁报告?需要实施哪些流程来减轻系统受损或发生相关紧急事件时的影响?对于从事工业物联网领域的人员来说,考虑政府如何处理紧急情况管理响应变得越来越重要,以便在灾难发生时,一线响应人员能够采取及时有效的纠正措施,而不会使危机加剧。目前国家关键信息基础设施已成为网络攻击的主要目标,是网络攻防的最前沿。比如APT组织对电力、能源、电信、卫生和公共安全、政府和经济基础设施等目标的兴趣比任何时候都强烈。没有受到政府安全法规严格控制的系统可能会成为攻击对手利用来攻陷和破坏经济的潜在目标。具体到工业网络中,可编程逻辑控制器(例如Stuxnet病毒的目标)和SCADA系统是混合攻击场景(涉及同时进行的网络攻击和动能攻击)中必然是重点目标。

这一急剧严峻的网络安全态势,使得关键信息基础设施在遭受攻击仍然能够持续运营,即使瘫痪后如何快速恢复变得尤其关键。建立网络弹性是工业系统设计的一个重要方面。无论怎样,对现在系统的健壮性做到心中有数也不是一件坏事。可以考虑多种方法测试现有系统,在网络安全的基础上对失败场景进行建模,或者使用红队(攻击)蓝队(防御)对抗风格的推演等技术来证明系统的健壮性。

有一点是确定的,即使防御者尽了最大的努力,但受攻击且失败还是会发生。在这种情况下,应急响应部门人员需要能够应对潜在危机,需要采取并实施网络弹性恢复战略。考虑到在许多系统的自动化水平,手动控制变得少之又少,以及信息系统的互联性和基础设施的相互依赖性,这将变得越来越重要。展望未来,人们希望人工智能可能会成为未来的智能看门人。但问题的另一面,未来人工智能也肯定是攻击的工具。

美国联邦应急管理局每两年进行一次大规模的基础演习,以验证在实现灾难事件防范文化方面取得的进展,称为“国家一级演习”(NLE)。NLE2020侧重于国家网络安全准备。政府和私营部门之间的这一合作努力是迄今为止进行的最大规模的此类演习,其不同之处在于它将网络灾难的物理后果考虑在内。美国国土安全部下属的网络安全部门(CISA)认为,工业控制系统所面临的威胁至关重要,因此它专门设有一个页面,专门针对工业控制系统提供重要基础设施网络的实时警报,有关当前安全问题、漏洞和利用的咨询,以及大量技术信息,助力提高工业控制系统保护专业人员的技能水平。

实施网络弹性有何益处?

网络恢复策略,如端点恢复,在网络攻击事前、事中和事后提供了一系列的好处。以下是一些主要的好处:

  • 强化安全态势:网络弹性不仅有助于应对攻击并在攻击中幸存下来。它还可以帮助组织开发战略,以改进IT治理,提高关键资产的安全性,扩展数据保护工作,并最大限度地减少人为错误。

  • 推进合规建设:当前在网络安全相关的法律法规、国家标准和行业标准当中都有网络信息系统应急响应、恢复的要求。

  • 提高IT生产率:网络弹性的一个被低估的好处是,它改善了组织的IT团队的日常运营。它提高了应对威胁的能力,并有助于确保日常运作顺利进行。

  • 促进网络安全文化建设:安全事件驱动的网络安全应急响应机制需要不断的改进完善,实战演练、桌面推演、事件处置都是推动响应机制、能力改进提升的动力。弹性原则的实施与改进同样扮演这种驱动角色,真正助力企业构建贯穿于人员、技术、过程的网络安全文化。

网络安全具有对抗的特性,因此极限化的敌情想定是必须的。网络弹性措施(即架构设计、技术、操作实践)恰恰就是假设威胁行为者可以在组织的基础设施中立足(即网络系统的失陷是必然的),更重要的是在攻击者已驻留的情况下设法阻止其后利用活动,并将其尽快猎杀。如果实施得当,网络弹性可以被视为一种预防措施,以对抗人为错误、恶意行为和陈旧的、不安全的软件。最终,网络弹性的目标是积极地保护整个企业,覆盖上述所有可用的网络资源。因此,企业需要在其基础设施中建立不同类型的网络弹性。

如何改进企业的网络弹性?

一个系统、一个网络或一个组织的弹性是由许多因素影响的,以一种复杂的、往往矛盾的方式。

1、管理复杂性:系统或网络的弹性很大程度上取决于系统的复杂性,特别在工业网络环境,OT与IT在融合趋势下加剧了复杂性的管控难度。

2、选择合理拓扑:除了复杂性之外,选择合适的系统或网络拓扑可以提高弹性。

3、增加额外资源:网络中的额外资源有助于提高弹性。例如,对发电配电网的节点进行扩容,可以降低级联故障的可能性,加快业务恢复的速度。

4、设计恢复机制:系统组件的设计应使其在出现故障或受到损害时恢复到安全模式。

5、控制影响传播:为了增强系统吸收网络攻击影响的能力,设计者应该防范级联故障。这些失败并不是完全独立的,因为一个失败会触发另一个失败。

6、提供缓冲机制:在数据和商品交易网络中,网络的功能是向其客户提供对一组交付的商品的访问。在这样的网络中,缓冲区(例如高速缓存,本地存储)构成一个恢复机制,该机制消除了对原始源的持续访问的需要。

7、准备主动代理:主动代理——人类的或人造的——应可用来采取积极的措施,以便吸收、恢复和适应。为了有效地做到这一点,必须有计划、流程和准备。

8、构建代理功能:理想情况下,代理应该能够根据上下文执行多个功能中的一个,并且相同的功能可以由多个代理中的一个执行。例如,网络中的存储代理(缓冲区、缓存)可以使用它们的空间来存储一组可能的项。

9、充分考虑对手:如果对手专门调整他的技术和程序-并拥有必要的能力-以击溃目标系统的恢复尝试,系统的恢复力将受到相应的损害。

10、进行深入分析:所有提高弹性能力的措施和行动也可能造成导致弹性能力全面下降的未预料的影响。因此,严谨、高保真的分析是必须的。在没有能够揭示潜在负面影响和系统性影响的适当分析的情况下,不应设计或引入增强弹性的措施。