最近，惡意軟件/勒索軟件成了坊間熱議話題。關(guān)鍵基礎(chǔ)設(shè)施遭到了大規(guī)模攻擊威脅，不僅覆蓋面廣，絕對數(shù)量也在持續(xù)增長。面對這些威脅，如果一家公司沒有網(wǎng)絡(luò)安全防護(hù)，那可真是難以置信了。然而，事實(shí)真相是：大家普遍認(rèn)為安全只需占公司整體預(yù)算的一點(diǎn)點(diǎn)。

那么，在網(wǎng)絡(luò)安全實(shí)現(xiàn)上，到底有哪些阻礙呢?

有個中央防火墻就夠了

有個常見的誤解：中央防火墻就是所需的全部。但實(shí)際上，依賴單點(diǎn)故障從來不是什么好事，比如裝防火墻的案例。深度防御作為幾千年來行之有效的方法不是沒有道理的。

基本上，如果按操作邏輯分組分隔了公司網(wǎng)絡(luò)，并連接防火墻保護(hù)每一個區(qū)域，就可以限制潛在問題的影響，受到指向問題發(fā)生確切位置的警報(bào)。而只有單一防火墻的情況下，網(wǎng)絡(luò)缺乏內(nèi)部阻斷，惡意軟件這樣的威脅就可以很容易地傳播。所以，中央防火墻就是全部所需的說法站不住腳。

安全確認(rèn)

“我們有防火墻”，或者，“該區(qū)域是物理隔離的?！币磺锌雌饋矶己懿诲e，直到，又增加了一個防火墻，然后發(fā)現(xiàn)網(wǎng)絡(luò)Y的 X IP 地址在發(fā)送廣播消息，某種程度上穿透了物理隔離……!

很多情況下，都是架構(gòu)師進(jìn)場，規(guī)劃好網(wǎng)絡(luò)，然后第三方設(shè)置起OT部分。最后，總體擁有者來管理網(wǎng)絡(luò)。因?yàn)槭怯晒铝⒌母鞣礁髯酝瓿勺约旱牟糠郑K端客戶便無法真正理解網(wǎng)絡(luò)的形式和功能，只是簡單地被告知有個防火墻。

開銷

售賣防火墻產(chǎn)品就跟賣保險(xiǎn)似的。保險(xiǎn)有保費(fèi)支出，運(yùn)氣好的話，終身都用不上保險(xiǎn)。如果確實(shí)需要保險(xiǎn)但又沒買，那你很可能會為自己的一時(shí)吝嗇追悔莫及。因?yàn)榇蠖鄶?shù)安全事件造成的損失，會比你一開始就買了保險(xiǎn)要高得多。

理想很豐滿，現(xiàn)實(shí)很骨感。很多公司里，網(wǎng)絡(luò)安全預(yù)算都是微乎其微的，尤其是與PLC和HMI軟件支出相對比的話——很諷刺，因?yàn)槿绻刂破魇强煽啃宰钪匾脑?，那么保護(hù)控制器的安全預(yù)算難道不應(yīng)該更多嗎?盡管前期投入可能看起來很多，但若生產(chǎn)網(wǎng)絡(luò)發(fā)生負(fù)面事件，損失掉的收益就會比防止宕機(jī)的防火墻設(shè)備初始投入要高得多了。

無知

“我們從哪兒開始?”看看市場上有多少公司提供狀態(tài)防火墻、深度包檢測防火墻、下一代防火墻、異常檢測防火墻、監(jiān)視工具和修改檢測機(jī)制，網(wǎng)絡(luò)安全真是一項(xiàng)艱巨的工作。尤其是當(dāng)你只是控制工程師，而不是擔(dān)負(fù)網(wǎng)絡(luò)框架設(shè)計(jì)職責(zé)的安全或IT專家時(shí)。

在OT世界實(shí)現(xiàn)IT

IT專家試圖在OT網(wǎng)絡(luò)中應(yīng)用IT范例：“重啟一下那個交換機(jī)吧!”眾所周知，IT世界對正常運(yùn)行時(shí)間的要求不像OT網(wǎng)絡(luò)的那么嚴(yán)格。IT人和OT人甚至不能同處一室的例子也不是沒有，更不用說設(shè)計(jì)出貼合OT環(huán)境的安全策略了。這是一個非常現(xiàn)實(shí)的障礙，只有IT和OT的逐漸趨同匯聚才能解決。

ice

收藏 海報(bào)分享