Michael+Nadeau

編譯 Charles

制造業(yè)巨頭GE對工業(yè)物聯(lián)網(wǎng)（IIoT）安全進行了整體分析，以整合企業(yè)和產(chǎn)品安全。首席信息安全官Nasrin Rezai解釋了為什么這很重要，以及怎樣做。

圍繞網(wǎng)絡(luò)安全的討論大多集中在企業(yè)IT的角色上，它怎樣才能很好地保護企業(yè)和客戶數(shù)據(jù)。然而，制造業(yè)和工業(yè)領(lǐng)域的企業(yè)必須采取更廣泛的安全措施——因為其產(chǎn)品和設(shè)備都連接了互聯(lián)網(wǎng)。隨著工業(yè)物聯(lián)網(wǎng)（IIoT）的不斷發(fā)展，制造業(yè)產(chǎn)品和資產(chǎn)成為網(wǎng)絡(luò)攻擊的潛在目標(biāo)。

面臨的挑戰(zhàn)是怎樣讓企業(yè)IT部門和業(yè)務(wù)部門聯(lián)合起來共同執(zhí)行統(tǒng)一的安全戰(zhàn)略。GE便遇到了這樣的挑戰(zhàn)。作為制造業(yè)巨頭，公司還銷售技術(shù)來幫助其他制造商安全運營。GE稱之為工業(yè)互聯(lián)網(wǎng)平臺的Predix是這類產(chǎn)品的核心。

CSO在線最近與GE全球首席信息和產(chǎn)品網(wǎng)絡(luò)安全官Nasrin Rezai討論了該公司解決IIoT安全挑戰(zhàn)所做的一些工作，以及她對工業(yè)領(lǐng)域網(wǎng)絡(luò)安全狀態(tài)的看法。Rezai負(fù)責(zé)GE九個業(yè)務(wù)部門的產(chǎn)品和企業(yè)網(wǎng)絡(luò)安全。她于兩年半前加入GE，成為GE Capital的首席信息安全官。在此之前，她曾在硅谷的惠普和思科系統(tǒng)工作，她還擔(dān)任過國家銀行的首席技術(shù)風(fēng)險官員。

從業(yè)務(wù)角度看，您是怎樣同時履行好產(chǎn)品和企業(yè)安全角色的？

Rezai：首席信息安全官長期以來的主要工作是集中在企業(yè)方面。我們知道，網(wǎng)絡(luò)事件會涉及到硬件，也與軟件相關(guān)，這是不可避免的。2015年，發(fā)生的幾件事更增強了我們的看法，即，IT和OT [運營技術(shù)]的融合促使首席信息安全官、首席信息官和董事會不僅要考慮IT業(yè)務(wù)的網(wǎng)絡(luò)安全問題，而要考慮所有產(chǎn)品的網(wǎng)絡(luò)安全，因為任何因素都有可能使企業(yè)暴露在網(wǎng)絡(luò)攻擊之下。

例如，對[域名注冊] Dyn發(fā)起攻擊。數(shù)百臺攝像機被用于向多家小型和大型云提供商發(fā)起DDoS [分布式拒絕服務(wù)]攻擊。誰會想到一臺簡單的攝像機能夠參與網(wǎng)絡(luò)攻擊？從企業(yè)責(zé)任的角度來看，現(xiàn)在的首席信息安全官的職責(zé)范圍更加廣泛了。

我把工業(yè)領(lǐng)域分成三個部分。第一個是我所說的OT安全。如果您從事的是離散制造，例如，制造飛機引擎或者零件，煉油廠或者水凈化廠這樣的加工制造業(yè)，那么這些制造場地的空間會非常大。它們是高度隔離的，也不支持網(wǎng)絡(luò)。即使是所使用的硬編碼證書或者HMI [人機界面]和PLC [可編程邏輯控制器]有漏洞，也問題不大，因為這是一個非常受控的環(huán)境。對于很多行業(yè)，現(xiàn)在已經(jīng)成為一個問題，因為很多很多IT已經(jīng)被合并到OT管理中。

第二個問題是消費類設(shè)備進入到企業(yè)中。這些設(shè)備會參與到大規(guī)模DDoS攻擊中，最終對企業(yè)造成影響。把這些因素放到一起，很多首席信息安全官、首席信息官和董事會問，“怎樣從整體上考慮這些問題？”這不再僅僅是保護企業(yè)，而是保護整個企業(yè)的資產(chǎn)。

這不一定要求改變產(chǎn)品和企業(yè)網(wǎng)絡(luò)安全之間的組織結(jié)構(gòu)。相反，它是把風(fēng)險管理策略結(jié)合在一起——知道關(guān)鍵資產(chǎn)，知道參考架構(gòu)，進行風(fēng)險評估，圍繞這些風(fēng)險評估建立控制元素，面對風(fēng)險態(tài)勢建立信心，使領(lǐng)導(dǎo)團隊有信心處理好這些攻擊。

最后，在要結(jié)束的時候，做好準(zhǔn)備。如果您進行網(wǎng)絡(luò)演習(xí)，會有制造人員參加嗎？是否每個人都知道，如果出現(xiàn)了影響生產(chǎn)的泄露事件，有需要對員工進行IT教育的安全舉措嗎？反之如何？在我們的舉措和流程中應(yīng)充分考慮好OT安全，這是非常關(guān)鍵的。

您是如何與產(chǎn)品部門合作的？

Rezai：我會討論員工、流程、策略和部門。我向公司業(yè)務(wù)部門的IT和公司的首席技術(shù)官匯報，他們制定了產(chǎn)品戰(zhàn)略和發(fā)展方向。每一個業(yè)務(wù)部門的產(chǎn)品安全負(fù)責(zé)人都有責(zé)任確保我們圍繞產(chǎn)品和實施計劃而制定的網(wǎng)絡(luò)策略——我們每年制定的保護我們產(chǎn)品的目標(biāo)能夠得到貫徹執(zhí)行。

我也有專門的領(lǐng)導(dǎo)，他的工作是針對保護措施建立風(fēng)險管理流程。我會定期向董事會匯報。我們通過在部門內(nèi)部進行整合，通過與產(chǎn)品安全措施非常出色的業(yè)務(wù)部門合作，完成了一些工作。他們反過來也會與每個部門的產(chǎn)品經(jīng)理合作，確保產(chǎn)品網(wǎng)絡(luò)安全是公司優(yōu)先考慮的工作。我們通過公司的持續(xù)審查來進行管理。

那么，安全是產(chǎn)品生命周期中不可分割的部分，而不是以后添加的東西？

Rezai：是的。網(wǎng)絡(luò)安全是我們最大的風(fēng)險之一。我們對此非常重視，我們認(rèn)為，作為IIoT領(lǐng)導(dǎo)者，這是我們的競爭優(yōu)勢。我們能夠圍繞資產(chǎn)績效管理、服務(wù)管理和全生命周期來優(yōu)化產(chǎn)業(yè)。我們帶給IIoT的是，我們的客戶能夠使用他們的數(shù)據(jù)，結(jié)合自己的應(yīng)用程序或者平臺，以新方式來優(yōu)化生產(chǎn)效率。

在我們的工業(yè)客戶中，就有一些這樣的模型得以應(yīng)用。例如，他們把應(yīng)用程序所使用的所有數(shù)據(jù)都放到我們的Predix平臺上。還有的則采用了混合模型。例如，他們可以在企業(yè)的邊界和云中的某些地方進行邊緣處理。保護好信息，在堆棧所有層上都要有網(wǎng)絡(luò)安全措施，這一概念是戰(zhàn)略性的，也是我們的競爭優(yōu)勢。我們投入了大量的精力和資金，以確保這些信任和認(rèn)證服務(wù)符合客戶需求，這樣他們就可以在我們的平臺（Predix）之上構(gòu)建他們的關(guān)鍵功能。

在實現(xiàn)這一愿景方面，您面臨的最大挑戰(zhàn)是什么？

Rezai：讓我們回到OT安全上——做好制造安全工作，以及消費類設(shè)備的引入。我作為一名從業(yè)者，面臨的挑戰(zhàn)是要了解我們的總體布局。了解環(huán)境中的資產(chǎn)，了解我們所面臨的風(fēng)險，并能夠在事件發(fā)生時按照程序?qū)ζ溥M行監(jiān)視和防御，作出響應(yīng)。

就像其他很多行業(yè)和大型企業(yè)一樣，GE面臨的挑戰(zhàn)是非常、非常大的總體布局。機會在于良好的風(fēng)險管理舉措，優(yōu)先考慮我們的要求，并在模型中有良好的防御措施，在這個模型中，您依靠多個控制點來保護自己免受攻擊。在IIoT方面，我們進行了大量的投入，采用Predix來構(gòu)建安全的端到端平臺，并在Predix上開發(fā)應(yīng)用程序。

出現(xiàn)泄露事件時，業(yè)界總體上應(yīng)采取什么措施來更好地應(yīng)對？endprint

Rezai：最好的做法是知道自己的弱點。針對您的環(huán)境建立“藍(lán)軍”，扮成威脅演員，對相同的控制點發(fā)起攻擊，以了解弱點。讓藍(lán)軍參與到演習(xí)中，把人的因素帶入到流程中。

對于大部分企業(yè)，安全事故和泄露事件是現(xiàn)實，是實際生活。最終，成功解決了這些問題的企業(yè)能夠更好、更快地響應(yīng)客戶群。如果您對此非常重視，客戶能理解您并與您合作，知道您已經(jīng)盡力來了解所有的弱點和舉措，制定了計劃來解決問題。

首席信息安全官們一個常見的做法是彼此共享情報，我認(rèn)為這是關(guān)鍵。技術(shù)在不斷變化，威脅入侵者現(xiàn)在有很多方法進入企業(yè)。真正了解這些威脅入侵者，知道他們的方法和程序，模擬這些方法和程序，讓合適的人擔(dān)任合適的角色，他們知道如何進行應(yīng)對，這些因素是首席信息安全官和企業(yè)領(lǐng)導(dǎo)成功的關(guān)鍵。

與企業(yè)方面相比，OT威脅情報的共享是怎樣的？

Rezai：這方面越來越好了。如果從戰(zhàn)術(shù)和運營上比較威脅情報的成熟度，我們在企業(yè)方面更好一些。例如，在企業(yè)方面有成熟的研究措施和流程，在物聯(lián)網(wǎng)方面也越來越好。

我還是作為一名從業(yè)者來談一談，由于OT的特性，有很多東西需要結(jié)合在一起才能實現(xiàn)工業(yè)協(xié)議的檢測和保護。業(yè)界仍然缺乏OT環(huán)境下的網(wǎng)絡(luò)和掃描能力。如果OT和IT管理人員還在說“這些不是我管理的設(shè)備，這些是我管理的設(shè)備，這些是我的補丁”，那這仍然是問題。

有時您有很老的產(chǎn)品，使用了很長時間，它們還在很好地工作。制造業(yè)的很多目標(biāo)和目的不過是為了盡可能地發(fā)揮這些設(shè)備的功能。現(xiàn)在的挑戰(zhàn)是它們連接了IT網(wǎng)絡(luò)，面臨的威脅更大了。

有一些正在變得越來越成熟。更好的做法是結(jié)合起來，而我很有信心，因為我看到很多年輕的創(chuàng)新技術(shù)人員參與到OT領(lǐng)域中來。在GE，我們致力于OT風(fēng)險管理舉措，以不斷優(yōu)化制造保護、檢測和響應(yīng)能力。

其次，從行業(yè)領(lǐng)導(dǎo)的角度來看，GE認(rèn)為網(wǎng)絡(luò)安全是一種競爭優(yōu)勢，也是工業(yè)物聯(lián)網(wǎng)領(lǐng)導(dǎo)必須具備的。我們的數(shù)字工業(yè)應(yīng)用，例如APM和ServiceMax，結(jié)合Predix平臺后，使客戶能夠利用他們基于工業(yè)資產(chǎn)的信息，進一步優(yōu)化其服務(wù)生命周期管理。這些端到端的模型也應(yīng)是安全的。

從情報共享和創(chuàng)新方式上，一些公司正在努力解決這一問題。解決之道是風(fēng)險管理，首席信息安全官、首席信息官以及制造主管一起協(xié)作，將其提到公司議程日程上。這樣才能全面改進網(wǎng)絡(luò)安全。

是什么讓您對工業(yè)領(lǐng)域網(wǎng)絡(luò)安全的未來非常樂觀？

Rezai：首先，我在同行那里看到，IT/OT正在融合，不僅僅是在現(xiàn)實中，而且也是在戰(zhàn)略層面上。我們也是如此，將其看成是企業(yè)層面的問題。我之所以很樂觀，是因為當(dāng)我們從戰(zhàn)略層面上開展工作時，我們會找到解決方案。

其次，我認(rèn)為OT領(lǐng)域的創(chuàng)新將彌補網(wǎng)絡(luò)可視化、資產(chǎn)管理、漏洞管理和威脅情報共享等方面的一些差距，而我們過去并沒有這樣做過。

在工業(yè)網(wǎng)絡(luò)安全環(huán)境中，您最擔(dān)心的是什么？

Rezai：最讓我擔(dān)心的也是首先信息安全官們最擔(dān)心的。我們是否完全覆蓋并了解我們的總體布局？我們知道我們所有的風(fēng)險所在嗎？我們知道要面臨的所有挑戰(zhàn)嗎？我們是否能夠清楚的了解我們周圍的政治和監(jiān)管動態(tài)？

我們是否在措施中有一套合適的自動化功能，這樣當(dāng)我們擴大規(guī)模時，我們的響應(yīng)過程可以隨著時間的推移而縮短嗎？ 員工們準(zhǔn)備好了嗎？員工們能坦然面對危機時刻嗎？他們會有怎樣的反應(yīng)？我們是否教育過領(lǐng)導(dǎo)怎樣應(yīng)對挑戰(zhàn)？這些都是我最擔(dān)心的事情。針對我們正在做的工作，我不斷地對照檢查，確定哪些要優(yōu)先考慮，并重新排序，進行溝通。工作是一種樂趣，但有時也很傷腦筋。

Michael Nadeau是CSO在線的高級編輯。他是雜志、書籍和知識庫出版商和編輯，幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢。

原文網(wǎng)址：

http：//www.csoonline.com/article/3229514/internet-of-things/how-to-secure-the-industrial-iot-a-qa-with-ges-ciso.html15-16endprint