最近,恶意软件/勒索软件成了坊间热议话题。关键基础设施遭到了大规模攻击威胁,不仅覆盖面广,绝对数量也在持续增长。面对这些威胁,如果一家公司没有网络安全防护,那可真是难以置信了。然而,事实真相是:大家普遍认为安全只需占公司整体预算的一点点。
那么,在网络安全实现上,到底有哪些阻碍呢?
有个中央防火墙就够了
有个常见的误解:中央防火墙就是所需的全部。但实际上,依赖单点故障从来不是什么好事,比如装防火墙的案例。深度防御作为几千年来行之有效的方法不是没有道理的。
基本上,如果按操作逻辑分组分隔了公司网络,并连接防火墙保护每一个区域,就可以限制潜在问题的影响,受到指向问题发生确切位置的警报。而只有单一防火墙的情况下,网络缺乏内部阻断,恶意软件这样的威胁就可以很容易地传播。所以,中央防火墙就是全部所需的说法站不住脚。
安全确认
“我们有防火墙”,或者,“该区域是物理隔离的。”一切看起来都很不错,直到,又增加了一个防火墙,然后发现网络Y的 X IP 地址在发送广播消息,某种程度上穿透了物理隔离……!
很多情况下,都是架构师进场,规划好网络,然后第三方设置起OT部分。最后,总体拥有者来管理网络。因为是由孤立的各方各自完成自己的部分,终端客户便无法真正理解网络的形式和功能,只是简单地被告知有个防火墙。
开销
售卖防火墙产品就跟卖保险似的。保险有保费支出,运气好的话,终身都用不上保险。如果确实需要保险但又没买,那你很可能会为自己的一时吝啬追悔莫及。因为大多数安全事件造成的损失,会比你一开始就买了保险要高得多。
理想很丰满,现实很骨感。很多公司里,网络安全预算都是微乎其微的,尤其是与PLC和HMI软件支出相对比的话——很讽刺,因为如果控制器是可靠性最重要的元素,那么保护控制器的安全预算难道不应该更多吗?尽管前期投入可能看起来很多,但若生产网络发生负面事件,损失掉的收益就会比防止宕机的防火墙设备初始投入要高得多了。
无知
“我们从哪儿开始?”看看市场上有多少公司提供状态防火墙、深度包检测防火墙、下一代防火墙、异常检测防火墙、监视工具和修改检测机制,网络安全真是一项艰巨的工作。尤其是当你只是控制工程师,而不是担负网络框架设计职责的安全或IT专家时。
在OT世界实现IT
IT专家试图在OT网络中应用IT范例:“重启一下那个交换机吧!”众所周知,IT世界对正常运行时间的要求不像OT网络的那么严格。IT人和OT人甚至不能同处一室的例子也不是没有,更不用说设计出贴合OT环境的安全策略了。这是一个非常现实的障碍,只有IT和OT的逐渐趋同汇聚才能解决。