对于网络安全,无论你的组织在最新软硬件、培训和人员方面投入多大,也无论是否保护隔离核心系统,结果都一样:只要关键系统是数字化的,且以某种形式与外部网络相连(即便你认为它没有联网,实际上也极有可能),它就永远不可能是安全的。这就是残酷的事实。
这件事非常重要。互联的数字系统已经广泛应用于美国经济的几乎所有领域,而近年来,攻击者(主要是他国政府、犯罪组织和恐怖组织)的技术水平和活跃度正大幅上升。美国国内发生的重大网络安全事件包括亚特兰大市政府主要计算机系统遭受攻击、四家输气管道公司共享的数据网络遭受攻击,以及Equifax数据遭窃;全球范围内,则有WannaCry、NotPetya等病毒的大规模感染。在近年发生的严重网络安全事件中,很多遭入侵的公司原本自认为防御能力很强。
我在爱达荷国立工程实验室(INL)的一个团队工作,这个团队的研究课题是,帮助对美国经济和国家安全最重要的组织抵御网络攻击。我们主要关注工业控制系统,例如电厂和炼油厂的温度压力控制系统,并已设计出一个完全反传统的网络防御方案:找出整个组织赖以生存的部门,最大限度将其与外部网络隔开,将其对数字技术的依赖降到最低,并用模拟设备和可信赖的人员进行跟踪和控制。我们的方法尚处在试点阶段,但其中很多要素已经可以为组织所用。
这项新策略并不适用于纯粹的数字企业,且在某些情况下还可能提高运营成本、降低效率,但它是关键系统抵御网络攻击的唯一方式。在本文中,我将介绍找出关键系统的方法。应用这种方法,我们总能发现被领导者忽视的功能或流程:它们极其重要却易受攻击,一旦失灵将使组织停摆。过去几年中,我们将这种方法的部分要素应用于一些企业和美国军队,并与美国最大的电力公司之一佛罗里达电力照明公司(Florida Power & Light)合作,进行了为期一年的完整试点,结果很成功。第二个试点项目与美国军方的一家服务公司合作,目前正在进行中。INL正在寻求将这项方法推向主流,因此未来将与更多工程服务企业合作,授权它们使用这项解决方案,并提供相应技术培训。
当前威胁
过去,工业企业的主力是机械泵、压气机、阀门、继电器和促动器。根据模拟仪表记录的现场情况,资深工程师通过固定电话线路与总部沟通。破坏分子无法通过供应链下手,也不能买通员工,而只能自己前往工厂,尝试越过大门、警卫、武器这三道实体防线。
今天,在美国全部16个基础设施部门中,12个已被国土安全部定义为“关键”,因为它们的“实体或虚拟资产、系统和网络对美国非常重要,一旦失灵或被摧毁,将威胁到国家安全、国民经济、公共健康和安全”,而这些部门部分或完全依赖数字化的控制和安全系统。数字技术的确带来了令人赞叹的新功能和效率提升,但它们极易遭受网络攻击。自动探测软件时时在寻找大型企业、政府部门和学术机构的安全漏洞——这些软件很容易在地下网络中获取,很多是免费的,贵的也不过几百或几千美元,甚至还提供技术支持。网络防御措施通常能阻挡这些探测,但基本无法抵挡花费数月甚至数年精心筹划的重点攻击。
网络攻击造成的经济损失不断飙升。仅过去两年中,WannaCry和NotPetya攻击事件就分别造成超过40亿美元和8.5亿美元损失。美国和英国指控朝鲜发动的WannaCry攻击,据称使用了从美国国家安全局窃取的工具。这种病毒利用部分Windows计算机未安装微软安全补丁的机会,对数据进行锁定加密,使150个国家医院、学校、企业和家庭中的数十万台计算机陷于瘫痪,并进行勒索。NotPetya攻击据信为俄罗斯破坏乌克兰稳定活动的一部分,发起点是一家乌克兰会计公司的软件升级漏洞。这次攻击从最初的乌克兰政府和计算机系统扩散到其他国家,受害者包括丹麦航运公司马士基、制药公司默沙东、巧克力制造商吉百利、广告巨头WPP等众多企业。
隐患增多
随着自动化、物联网、云处理及存储、人工智能和机器学习的发展,数字化转型的进程持续加快。复杂度高、可联网、软件密集型的数字技术得到广泛传播,被依赖程度越来越高,在网络安全方面形成很大隐患。在新美国安全中心(Center for a New American Security)2014年发表的一篇文章中,该中心董事会成员、曾任美国海军部长的理查·丹齐格(Richard J. Danzig)指出了数字技术带来的悖论:
“它们给予使用者前所未有的能力,但也让我们不那么安全。它们的沟通功能助力协作和网络构建,但也因此对入侵者敞开大门。它们对数据和操控功能的聚焦大幅提升了效率和运行规模,但也使在成功攻击中可能被窃取或破坏的内容大大增加。高度复杂的硬件和软件创造出卓越的能力,但这种复杂性也产生诸多薄弱环节,并且让入侵者难以被发现……总之,网络系统滋养我们,但同时也削弱和毒害我们。”
这些技术的复杂度超乎想象,甚至最了解它们的创造者和供应商,也并不完全清楚其脆弱性。供应商总是声称自动化能消除人为错误的风险,但实际上会产生其他类型的风险。对隐私、数据保护和信息安全政策进行独立研究的Ponemon Institute指出,信息系统的复杂度如此之高,以至于美国企业仅侦测到系统入侵就平均需要200天以上。大部分时候,企业不是自己发现入侵,而是从第三方获知。
在世界范围内,造成重大损失和广泛影响的网络安全事件越来越多,Target、SonyPictures、Equifax、Home Depot、马士基、默沙东、沙特阿美等企业都曾遭受攻击。但企业领导者无力拒绝数字技术及其众多好处的诱惑:效率提升、人力成本降低、人为错误的减少或消除、收集更多客户信息的机会、创造新产品或服务的能力等。年复一年,领导者延续传统的网络防御思路,花在最新安全解决方案和高端咨询服务上的钱越来越多,对此寄予厚望。但这只是一厢情愿。
传统方法的局限
传统网络防御方法关注“网络健康度”,主要措施包括:
.建立企业硬件和软件资产的完整清单
·购买并部署最新的软硬件防御工具,包括终端安全保护、防火墙和入侵检测系统
·定期培训员工识别并规避钓鱼邮件
·建立“网闸”——理论上可以将重要系统与其他局域网和互联网隔开,但在实践中不存在完全的隔离
·建立大规模网络安全团队并使用各类外部服务,进行上述各项工作
很多组织遵循网络安全指导框架,如美国标准与技术研究院(NIST)的网络安全框架,或SANS Institute的20项重要安全控制。这些框架要求组织无差错地持续进行数百项活动:员工必须使用复杂密码并定期更换、传输数据时加密、用防火墙区隔不同网络、第一时间下载最新安全补丁、限制敏感系统的访问人数、审查供应商,等等。
很多CEO似乎认为,只要遵守这些规范,就能让组织免遭严重损失。但多起影响巨大的网络攻击事件充分表明,这种预设是错误的。前述遭受攻击的企业都有庞大的网络安全团队,相关支出也很高。传统方法能够应付常规的探测软件和初级黑客,但无法抵御越来越多高水准对手针对关键资产的持续威胁。
在能源、交通运输、重工制造等重资产行业,无论企业投入多少人力和资金,都无法保证标准安全步骤全无差错。实际上,第一步建立硬件和软件资产的完整清单,大多数企业就会出错。这是一个巨大的短板:如果都不知道自己有什么,自然也谈不上防御。
此外,传统方法也会带来无法回避的权衡取舍。安装升级程序时,系统通常必须关闭,而这并不总是可行。例如,公用事业、化工等行业的企业非常重视工业流程或系统的稳定性和可靠性,不可能每次软件公司发布安全补丁都停工。因此,这些企业倾向于定期批量安装安全补丁,一般要等到停工期,而这通常是补丁发布几个月后。另一个问题是如何保护高度分散的资产。例如,较大的公用事业公司运营数千座场站,分布范围通常达到数千平方英里。对这些场站进行安全升级时,企业会陷入两难:如果利用网络进行软件升级,高水平黑客可能轻松入侵网络,将软件用于恶意目的;但如果在每座场站人工安装升级补丁,成本又无法承受。而如果将这项工作外包给第三方,又不可能严格审查所有服务方。
最后,即便所有安全规范都完美落实,也无法抵挡高水平黑客。这些攻击者资金充足、有耐心、不断在进步,总能找到足够多敞开的大门。无论你的公司网络健康度多高,目标明确的攻击都将穿透所有网络和系统。入侵者可能需要数周或数月时间,但最终肯定会成功。
这不只是我一个人的观点。迈克尔·阿桑特(Michael Assante)曾任American Electric Power首席安全官,现为SANS Institute负责人之一,他告诉我,“传统网络防御方法能应付小打小闹的攻击,理想情况下也许能阻挡95%的入侵”。但在现实中,“对于目标明确的高水平黑客,不过相当于减速带而已”。曾任雅虎和Twitter安全负责人的鲍勃·洛德(BobLord)2017年接受《华尔街日报》采访时说:“和很多公司的安全负责人聊天时,我发现他们有点听天由命的情绪——‘我没办法阻挡来自他国政府的高水平攻击,注定要输掉这场游戏,所以干脆不想太多’。”
一个典型例子是2012年沙特阿美遭受的Shamoon病毒攻击。该石油公司拥有良好的网络防御体系,但被美国政府官员怀疑来自伊朗的这次攻击,仍删除了公司3/4电脑上的数据。更近的一次攻击发生在今年3月,入侵者操纵一家沙特石化工厂的安全控制系统,企图制造爆炸。据《纽约时报》报道,如果不是代码出现错误,攻击可能会成功。“攻击者不仅要设法进入系统,还必须充分了解其架构,才能掌握工厂的布局。只有弄清不同管道的走向和阀门的功能,才能引发爆炸。”报道称。
现在我们必须停止对数字复杂性与互联性的完全依赖,设计并采用完全不同的网络防御体系。为此,组织必须找出最核心的流程和功能,然后减少或消除可能被攻击者利用的数字通路。
爱达荷国立工程实验室(INL)已开发出一种实用性强的解决方案,即“结果导向、充分考虑网络状况的工程设计”(CCE)。CCE的目标不是进行一次性的风险评估,而是永久改变领导者对于公司网络风险的思考和评估方式。这项方法目前还在试点阶段,但已产生良好效果。我们计划在2019年全面推进CCE,并在2020年授权一些服务公司提供这项解决方案。但CCE的一些核心规范现在就已适用于任何组织。INL为此还开发了一个辅助框架,即“充分考虑网络状况的工程设计”(CIE)。CIE在很多方面类似CCE,同时提供在整个工程生命周期中防范网络风险的方法。
CCE方法包含四个步骤:
·CCE专家——现在来自INL,未来则来自INL提供培训的工程服务公司
·所有负责合规、诉讼和风险防控的领导者,包括CEO、COO、CFO、首席风险官、总法律顾问和首席安全官
·负责核心运营部门的管理者
·安全系统专家,以及最熟悉公司核心流程的操作员和工程师
·了解系统和设备可能如何被恶意操纵的网络专家和工艺工程师
对于部分参与者,实施CCE可能会带来压力。例如,新暴露出的重大风险,一开始肯定会让首席安全官很紧张。但这种压力需要克服。面对装备精良的攻击者,首席安全官不可能指望公司万无一失。
- 找出“皇冠宝石”流程
CCE的第一个阶段是INL定义的“结果优先排序”:模拟灾难性场景或产生严重后果的事件。这要求参与者找出可能影响企业存续的核心功能和流程。例如,如果变压器遭受攻击,电力公司或许一个月无法正常供电;又如,压气站停止工作,燃气公司将无法向用户供气。此外,化工厂或炼油厂安全系统遭受重点攻击,将可能由于压力超过临界值而引发爆炸,导致大量人员伤亡,以及天价诉讼、股价动荡,让领导者丢掉工作。
熟悉高水平黑客行动方式的分析师,将能帮助团队设想潜在攻击者的最终目标。通过思考“如果想扰乱流程或破坏公司,你会怎么做”“突破防御后你会先攻击哪些设施”等问题,团队将能找到攻击后果最严重且最易被攻击的目标,并模拟相关场景,交由公司高层讨论。根据公司规模不同,这一阶段可能需要数周到数月时间。
- 测绘数字领地
下一项任务一般需要一周,但也可能更长:统计“末日场景”中的所有硬件、软件、通信工具、支持人员和流程,包括第三方服务和供应商。参与者应列出每个生产步骤,详细记录所有控制和自动化系统的部署位置,以及所有与核心功能和流程相关的手动操作或数据输入。这些关联都可能成为攻击者的通路,而企业通常并不完全了解它们。
关于这些要素的现有统计资料总会跟不上现实。诸如“谁能接触你的设备”“信息如何在你的内部网络中流动,你如何保护信息”等问题,总会带来意外发现。例如,某位网络架构师或控制工程师可能会告诉团队,一个关键系统不仅与运营系统相连,还与处理应收付款项、支付和客户信息的商务网络相连,因此实际上接入互联网。通过询问负责供应商事务的管理者,团队可能发现,供应商为进行远程分析和诊断,保留了直接通向关键系统的无线连接。某家安全系统供应商可能声称无法直接与设备通信,而对技术细节和升级流程的仔细检查可能发现实际可以直接通信。任何这种发现都很有价值。
- 标明潜在攻击路径
下一步,运用洛克希德马丁公司设计的一系列方法,团队找到黑客攻击核心目标最短、最可能的路径,并根据攻击难度排序。主导这个阶段工作的是CCE专家和其他外部专家,包括掌握关于黑客及其攻击方法等敏感信息的人士。他们共享政府情报,了解世界各地发生的针对类似系统的攻击事件。公司对安全系统、处理网络威胁的能力和流程等方面的其他投入,也能帮助团队锁定最可能的攻击路径。在下一阶段,团队据此向领导者推荐防御方案。
- 制定风险控制和保护方案
在这个阶段,团队针对最高等级的网络风险设计防御方案。假设一个目标的10条潜在攻击路径都经过某个节点,那么无疑应在这里布设“绊网”——一个受到密切监控的传感器,在反常情况刚出现时就向公司的快速反应团队发出警报。
有些防御方案其实很容易实施,而且成本很低。例如,一种纯硬件振动传感器,可以使遭到网络攻击的单元减速或停止运行,防止其自我损害或自毁。其他方案则需要更多资金和时间成本,例如建立与主系统略有差异的冗余系统,以备在受损情况下也能维持核心功能。很多防御方案不会对运营效率和商业机会造成负面影响,但有些确实会。因此企业领导者最终需要考虑,哪些风险能接受、哪些必须避免、哪些可以转移、哪些需要控制,并据此决定下一步行动。
如果某项关键流程必须具备用于跟踪和发送控制信号的数字通道,防御方案应将进出双向的通道数量限制在最少,并让识别异常通信变得更容易。此外,企业可以增加保护装置,在系统接收恶意指令时防止出现灾难性事件。例如,机械阀门或开关可以防止系统的压力或温度超过临界值。有些情况下,企业也可以让可信赖的员工介入,例如监控机械温度计或压力表的读数,确保数字仪表真实准确。如果你的公司未曾经历严重的网络安全事件,尽可能断连、安装过时的机械设备、在自动化流程中安排人工操作等做法,可能会显得是一种退步。但这些实际上是主动的风险管理措施。这些措施可能降低效率,但如果增加的成本能显著降低灾难性事件发生的概率、防御传统方案无法抵挡的攻击,那就是值得的。
不难想象,读到这里的CEO和COO们会持怀疑态度。在任何变革管理计划中,让人们的情感和心智告别已经坚持几十年的观念,都是巨大的挑战。领导者应预想到阻力,尤其在早期阶段。公开大量公司信息,并承认那些原本不知道或不愿去想的缺陷,会给管理者带来很大心理负担。在接下来的步骤中,随着CCE团队仔细探查技术系统和实践中的漏洞,工程师们的韧性将受到考验。即便在对系统进行最严苛的评估时,也一定要让员工感到安全。最终,你将详细了解潜在攻击者的行动方式和可能结果、预见到公司可能遭到攻击的具体方式,这会很有启发性。一旦认识到风险并了解控制风险的最佳方式,对新方案最抗拒的人也会转而支持。
现在能做什么
你必须学着像对手一样思考。你甚至可以建立一个内部团队,让成员定期尝试攻击关键目标,以持续评估公司网络防御的强度。这个团队应包括核心流程、控制和安全系统、运营网络方面的专家。
即便能够保持很高的网络健康度,你也必须防范入侵。最好的方法是效仿重要化工厂和核电站,建立网络安全文化。从最资深到最初级的所有员工都必须知道,当自己操作的计算机系统或机器开始出现异常,一定要快速做出反应。这也许只是设备故障,但也有可能是网络攻击。
最后,考虑到你和防御团队可能被迫放弃核心功能的支持系统,一定要有备用方案。即便达不到最佳状态,备用系统也应能保证公司维持核心运营,而且最好不依赖数字技术、不接入网络(尤其是互联网)。至少,备用系统不应与主系统完全相同,原因很明显:如果攻击者能成功入侵主系统,也能轻松入侵一个完全相同的系统。
每一个依赖数字技术和互联网的组织,都有遭受毁灭性网络攻击的危险。即使是最周密的传统防御措施,也无法抵挡敌对国家、强大犯罪组织或恐怖组织的攻击。保护你的公司的唯一方法,是主动在技术上“后退”一步——其实是工程上的进步。新防御思路的目标是,减少或消除关键部门对数字技术的依赖及与互联网的连接。这样做有时会增加成本,但相比保持现状可能带来的灾难性结果,一定是值得的。