IBM关注公用事业网络安全缺陷从东拼西凑防线转变为成竹在胸安心无忧2019320页

对标洞察关注公用事业网络安全缺陷从东拼西凑防线，转变为成竹在胸，安心无忧IBM商业价值研究院2015201620172018谈话要点IIoT在公用事业领域的运用公用事业领域既是IIoT技术的早期采用者，也是广泛采用者。我们的调研揭示了IIoT技术的采用领域和方式。网络安全之窘境公用事业企业意识到了存在网络安全风险。但为什么他们仍难以实现全方位的IIoT网络安全？五大具体战略了解如何通过奠定强有力的网络安全基础，运用人工智能和自动化技术，获得更先进的能力，从而实现并提高IIoT卫生水平。针对ICS网络的攻击：简图作者：CristeneGonzalez-Wertz、Lisa-GianeFisher、StevenDougherty和MarkHolt随着工业物联网(IIoT)技术日益普及，自动化设备和流程变得越来越智能，而公用事业遭受网络攻击的风险也与日俱增。无论是由恐怖分子、网络黑客还是国家发动，攻击一旦成功，都可能引发毁灭性的后果。入侵核电厂和电网可能会影响电力供应，而针对供水设施的网络攻击则可能导致饮水污染或断供。公民安全、关键基础设施和环境面临严峻风险。由自动化和人工智能(AI)辅助实现的基本IIoT网络卫生成为确保公用事业运营和服务连续性的关键所在。目前，公用事业企业利用IIoT技术收集数据，以监测资产，获得深入的运营洞察，同时提高效率和安全水平。然而，随着IIoT的扩展，破解并访问工业控制系统(ICS)网络的恶意行为仍在继续。针对使用IIoT环境的攻击目标不仅涵盖高价值资产或服务，还包括云端的关键工作负载。另外，还可能包括信息/实体系统中的流程控制子系统以及关键的业务、运营和消费者数据。例如，美国国土安全部(DHS)最近报告称，Dragonfly间谍组织入侵了用于控制若干北美发电厂流程的HumanMachineInterfaces(HMI)。入侵系统后，该间谍组织不仅复制了配置信息，还可能破坏或控制设施。16月12月1月3月4月12月5月6月12月3月来源：IBMSecurity研究。1水力发电机保密监督控制与数据采集(SCADA)系统数据在暗网中曝光纽约大坝的SCADA系统遭受黑客入侵美国天然气和电力公司发生网络安全违规事件三家乌克兰配电企业的SCADA系统遭受渗透攻击黑客入侵某水务公司的SCADA系统，控制水流和化学成分以色列电力局收到勒索软件电子邮件巴伐利亚州核电站燃料系统发现恶意软件密歇根州电力和水务公用事业设施遭受勒索软件网络钓鱼攻击恶意软件导致乌克兰变电站下线(Industroyer)勒索软件加密了未打补丁的E&U流程控制系统(WannaCry)NotPetya恶意软件导致切尔诺贝利辐射传感器陷入瘫痪美国CERT发布了有关Dragonfly网络间谍组织入侵美国公用事业控制系统的报告，其中包含HMI访问证据。针对SIS的攻击发布(TRISIS)公用事业运营领域中的IIoT网络安全270%的公用事业企业打算部署IIoT技术，但他们对IIoT网络安全技术至多只是泛泛了解64%的电力企业将生产中断/停工及公众信心丧失视为最严重的IIoT网络安全风险公用事业企业自己检测到的IIoT网络安全事故不到实际发生数量的50%为了更好地了解IIoT安全现状，IBM商业价值研究院(IBV)与牛津经济研究院合作，对18个国家或地区的700多位工业与能源企业高管（包括120位公用事业高管）进行了一次调研。调研期间，所有700家企业全部在运营中实施了IIoT。研究确认，公用事业领域既是IIoT技术的早期采用者，也是广泛采用者。广大受访者普遍表示，所在企业主要应用IIoT技术发出警报、读表以及实时监测设备，因此会生成大量数据，并通过监测与控制网络传输相关数据。然而，公用事业企业高管对IIoT终端的安全倍感担忧。24%的受访者认为设备和传感器是IIoT部署最薄弱的环节。另外，公用事业企业高管担心这些设备、传感器及网关上的数据未得到充分保护。12%的公用事业企业担心云端数据的脆弱性。电力供水公用事业领域网络攻击可能会产生严重的健康、经济、环境和心理影响。平均而言，公用事业企业将敏感数据曝光视为影响最严重的IIoT相关风险。这包括计费和收入信息（来自智能电网和智能电表系统）、控制系统信息以及员工和客户数据。电力公用事业企业更担心生产中断或停工，以及由此引发的声誉损害。半数以上的公用事业企业担心监管违规和设备损坏带来的潜在影响（见图1）。来源：IBM商业价值研究院对标调研，2018年。n=120；电力=77；供水=43*计数较低(n20)在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。62%74%64%65%64%63%58%65%47%56%51%44%*48%49%43%49%43%47%42%49%3图1公用事业市场：影响重大的IIoT网络安全风险敏感数据/保密数据泄露破坏活动导致生产中断/停工企业声誉受损/公众信心丧失违反法规要求/可能遭受罚款因操纵物理输出导致设备损坏危害个人安全潜在的环境危害/灾难因连接运营系统的IT系统过于复杂，导致可视性和控制力下降知识产权盗窃未经认证的设备配置变更、补丁变更什么是网络卫生？2网络卫生是指企业在网络安全计划中采用的基准网络实践，以及使用计算机和其他设备的企业和用户为维护系统正常运行和提高在线安全性所采取的步骤。通常，此类实践属于日常工作，旨在帮助确保身份及其他可能被盗或遭受破坏的详细信息的安全性。与身体卫生一样，定期实施网络卫生工作有助于防止自然损耗和常见威胁。4为什么公用事业企业未能缩小差距？公用事业企业很清楚网络安全风险的存在，但70%的受访者表示他们对IIoT网络安全技术至多只是泛泛了解。调研结果表明，公用事业企业缺乏基本的IIoT网络卫生战略—也就是缓解风险所需的组织、技术和流程。虽然电力企业还未真正实现“安全”运营，但他们对IIoT部署和所连接的信息/实体系统安全需求的认识，要比供水企业更胜一筹。18%的电力企业已经制定了正式的IIoT网络安全计划，用于建立、管理和更新所需的IIoT网络安全工具、流程和技能，而供水企业中只有2%做到了这一点（见图2）。图2理解IIoT网络安全并采用正式的网络安全计划显著正式采用IIoT网络安全计划2%*供水一般正在评估IIoT风险有限对IIoT网络安全的理解有限来源：IBM商业价值研究院对标调研，2018年。n=120；电力=77；供水=43*计数较低(n20)在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。18%*电力70%*供水70%*电力28%*供水12%*电力供水大多数公用事业企业对IIoT网络安全只有一定程度的了解。虽然平均而言，电力企业的网络安全计划日渐成熟，但电力企业和供水企业这两个群体的IIoT网络安全能力还不成熟。他们面临巨大挑战，致使IIoT技术与网络安全部署之间存在巨大差距，妨碍实现全方位的IIoT网络安全（见图3）。在接受调研的供水企业和电力企业高管中，有49%的供水企业高管和40%的电力企业高管面临网络安全人才短缺问题。此外，在运用众多IIoT技术保护复杂公用事业基础设施时，面临速度和规模方面的难题。我们的研究表明，44%的供水企业高管和30%的电力企业高管面临巨大的数据挑战。图3保障公用事业IIoT部署安全面临的最大挑战缺乏高技能人才安全大数据挑战多种法规、标准和准则这些企业为了有效管理、分析和应用安全工具所采集的数据，以便支持检测和补救工作而疲于奔命。近期发表的一份关于攻击活动全球趋势的报告指出，2017年，从成功入侵到检测到威胁之间的时间中位数为101天。3我们的调研数据表明，电力企业和供水企业分别需要14天和18天才能做出响应并恢复运营。此外，受访者表示，约半数公用事业企业的IIoT网络安全事故（53%的电力企业事故和48%的供水企业事故）由第三方检测出，而不是由他们自己检测出。40%49%44%30%*40%30%*更新现有的工业生产网络无法发现威胁并确定威胁优先级智能系统过时或基础设施老化电力来源：IBM商业价值研究院对标调研，2018年。公用事业企业选择最多的三项。n=120；电力=77；供水=43*计数较低(n20)在统计学上不具有可靠性，但与其余受访者做比较时可以视作方向性推论。39%30%*34%33%*29%28%*5保护基于云的公用事业企业数据智慧城市中的电力控制基础设施不断产生海量数据，不仅涉及车流量、街道照明和安全传感器，还涵盖分配的电力资源、电力流动和使用情况。为使公用事业企业利用不断增长的IIoT传感器数据，在云端托管的计算和存储资源提供了多种有效方法。但是，北美发电或输电企业必须遵守北美电力可靠性公司(NERC)关键基础设施保护(CIP)委员会制定的“关键国家基础设施”法规。因此，目前无法将控制系统信息传输到公开共享的云托管计算环境。联邦能源监管委员会(FERC)采用NERCCIP标准，帮助保护和监管大规模电网，要求公用事业企业了解谁有权访问其数据以及如何对数据实施保护。7IBM与NERC开展合作，共同开发“联邦风险与授权管理计划”(FedRAMP)模型，这是美国政府用于评估云系统安全性的标准化方法。CIPC正在评估这个流程，确定是否可以在符合“CIP可靠性标准”的环境中进行使用。FedRAMP模型通过值得信赖的第三方来验证是否已实施并监控控制措施，从而增强合规性，加快让IIoT数据上云的速度。86极速应对安全违规事件至关重要。Ponemon近期发表的数据泄露成本报告显示，发现并控制数据泄露事件的速度越快，成本就越低。报告发现，广泛应用IoT设备会使每条记录泄露的平均成本提高5美元。相比之下，完全部署安全自动化解决方案的企业，数据泄露的平均成本比没有部署的企业要低约35%。4另外，受访者还表示，他们需要应用或遵守太多的法规、标准和准则，感到压力巨大（请参阅侧边栏“保护基于云的公用事业企业数据”）。此外，在接受调研的电力企业和供水企业中，39%的电力企业和30%的供水企业具有工业生产网络以及难以更新的老化基础设施。安全性是许多早期工业控制系统应用（如智能电网）事后才考虑的问题，而传统设备在制造之时通常对安全性关注不足。因此，更换此类设备既昂贵又不切实际，因为新式设备并不总是采用现代安全功能制造，而且全天运行的设备的更新时间窗口期非常有限。5这种情况近期内不大可能发生转变：截至2018年9月，加利福尼亚州是美国唯一出台物联网安全法规的州，而且直到2020年才会生效。6完全部署安全自动化解决方案的企业，数据泄露的平均成本比没有部署的企业要低约35%。4缩小差距：构筑有力的防御屏障我们建议双管齐下，缩小网络安全差距。首先，企业应专注于构筑强大的IIoT网络安全基础，并制定基本的网络卫生战略。建立防御基础后，公用事业企业可通过使用人工智能和自动化技术，重点培养更高级的安全能力。这样，不仅可以进一步克服挑战，还能确保实现持续运营和服务交付。以下是帮助公用事业企业奠定坚实的IIoT网络卫生基础的四项战略：1.在企业层面管理IIoT网络安全风险。如果公用事业IIoT环境保护不力，会对社会各界造成风险。因此，整个公用事业领域均应了解并管理这些风险。定义明确的IIoT安全战略后，公用事业企业可以应用三项实践，为整个生态系统注入IIoT网络安全能力：—正式制定IIoT安全计划，定义、管理和更新所需的IIoT网络安全工具、流程和技能。—应用安全和监管框架组合（如美国国家标准与技术研究院(NIST)风险管理框架、NIST800标准和ISO/IEC27000-1），以此作为基础：9•确定关键数据、资产和安全边界。•确定IIoT系统、连接的生产环境和人员资产中的漏洞。•构建和定制风险管理框架。•评估风险，记录并执行计划以减轻风险。•保护最紧迫的安全计划的投资并沟通进度。•根据业务目标与合规要求，平衡可接受的风险水平。—组建跨职能安全团队，广泛覆盖IT安全、工程、运营、控制系统和安全供应商。在接受调研的电力企业和供水企业中，49%的电力企业和44%的供水企业部署了这样的团