【原】微软：如何配备人员保护ICS

Microsoft 安全高级产品营销经理 Brooke Lynn Weenig与Ampere Industrial Security 的首席执行官 (CEO) 和所有者、能源部门安全的创始人和前任总监Patrick C. Miller进行交谈。以下仅反映帕特里克的观点，不反映帕特里克雇主的观点，也不是法律建议。

在这篇博文中，Patrick 谈到了工业安全行业的安全和挑战。

Brooke：您是如何进入工业安全领域的？

帕特里克：我父亲是电信行业的，所以我从小就一只手拿着电线，牙齿里拿着手电筒，从满是石棉、灰尘和电线的黑洞里爬来爬去。我构建了很多模拟电话系统，甚至还有一对尖峰、一个测试装置和一顶安全帽。我已经完成了从攀爬杆和拉线到布线建筑物大小的主配线架 (MDF) 的所有工作。我是一名电话技术人员，在我年轻的大部分时间里为电话系统编程。我在电信方面做了很多安全组件。那时，有很多事情，比如长途欺诈和语音邮件访问，都必须是安全的。

我正在上生物学学校，专注于植物学和微生物学方面，当我有机会接触到监控和数据采集 (SCADA)、操作技术 (OT) 和工业控制系统 (ICS) 环境时副业。我在一个非常大的商业温室运营中担任繁殖经理，利用我的生物学技能和做技术工作。我将它们合并在一起，自动化了一系列园艺仓库操作，包括光线、阴影、温度、水和气流管理。这就是我涉足工业环境中编程和构建的地方。

布鲁克：您是如何在工业安全领域发展自己的技能的？

帕特里克：1980 年代末和 1990 年代初没有安全证书或大学课程。由于事件响应，我陷入了运营安全问题。我们有公告板系统之类的东西。我有一个最早的拨号调制解调器，我会通过我的大学帐户查找如何做某事。我主要通过 2600: The Hacker Quarterly 以及从当时可用的任何教程中亲身体验成功或失败。

现在，我专攻ICS或OT。无论是管道中的水、电线上的电源、街道上的交通、皮带上的箱子——都是流量控制。这是令人难以置信的挑战，但也非常令人满意。在一天结束的时候，你知道你帮助保持灯亮，保持水流动，保持气体流动，不管它可能是什么。这些是关键的基础设施。

布鲁克：为什么工业系统会成为网络攻击的目标？

帕特里克：天然气、水、电、食品加工和运输都是非常必要的。文明依赖于这些基础设施服务。如果我是勒索软件操作员或犯罪分子，我可以扣押您的系统，因为您知道这会造成快速而严重的影响，您很有可能会向我付款。从犯罪方面以及从民族国家或地缘政治的角度来看，他们都是高价值的目标，原因相同，但动机不同。

专有信息也是一个目标。如果您有一些产品或制造或更好的做事方式，我不必进行研发（R＆D）来与您竞争。我可以窃取你所有的数据并做你做得更好的事情，因为我没有把所有的钱都花在研发和努力上。由于许多不同的原因，它们是高价值的目标。

布鲁克：保护工业系统的最大挑战是什么？

帕特里克：对于工业系统，我们最大的担忧是我们的遗留环境，因为它只是旧的。其中一些组件已经使用了大约 40 到 50 年。它们是数字式的，并且具有模拟输入，但它们并非旨在联网。它们被设计为在一个封闭的系统中，您必须对它们进行物理访问，但无论如何我们都将它们联网。它们非常不安全，因为期望这些环境永远不会连接到其他任何东西。

我们看到了一种趋势，不一定要断开它们，而是以更智能的方式连接它们。而且，如果您需要访问这些环境，则必须经历巨大的痛苦才能获得入站连接。我们只是将其隔离开来，并寻找智能孤岛或“海龟模式”这些环境的方法，以便它们可以自行操作。这样，如果您遇到问题，您仍然可以在隔离、断开连接的模式下运行重要的东西，并且您不会失去电力、水、气或任何可能的东西。

如果有勒索软件在您的企业环境中肆虐，您可以将您的工业环境与外界隔绝，使其能够以“乌龟模式”运行。然而，成本上升。隔离很昂贵，额外的架构也很昂贵。在试图迈向比我们更可防御的架构时，在财务和运营方面都存在大量挑战。

Brooke：企业还能做些什么来保护自己免受这些安全风险的影响？

帕特里克：我已经做过多次关于如果你只能做一些事情，做这些事情的演讲。它们可能听起来很简单，但在工业环境中通常不容易做到：

• 做资产盘点。如果你不知道你拥有什么，你就不知道要保护什么，因为你甚至不知道它的存在。

• 摆脱任何这些脆弱的系统。就像它在某人的办公桌下并且很重要，但您无法更换它，因为您不知道如何更换，这是一个巨大的风险。找到一种方法来用你可以捍卫的新事物来代替它。

• 设计一个可以防御的网络。把它放到一个你可以真正隔离它而没有依赖关系的地方。

• 锁定远程访问。攻击通常来自 IT 端。

• 进行有效的变更管理。

• 像比赛日一样练习发病率反应。

• 培训您的员工并为他们提供操作该环境所需的内容和时间。

布鲁克：工业安全领导者如何吸引更多人才？

帕特里克：我不认为存在技能差距。如果我们弄清楚如何很好地描述它，那么有很多人会做并且可以做这项工作。你不需要成为程序员或网络安全专家来学习这些东西。它涉及系统，以某些方式连接，并以非常有条理和可预测的方法做事。对于大多数技术人员来说，这不是超出规范的事情。

我通常看不到让人们进入该行业的入门级途径。您的期望是您将雇用一名初级人员，即使是初级人员也需要 5 到 10 年的经验。很多这些职位描述是完全不切实际的。我看到他们要求在平台上获得比现有平台更多经验的职位描述。你可以找到很多具备基本技能的人，然后你训练他们一两个星期。他们会渴望向你展示他们能做什么，然后从那里成长。

布鲁克：行业安全专业人员需要哪些技能才能取得成功？

帕特里克：工业安全听起来比实际上更难。当我训练人们时，我们把它分解成这些简单的、一口大小的碎片和小面包屑的步骤。在一天结束时，他们说，“哇，这比我想象的要简单得多。” 关于网络安全有一片神秘的云，但它只是很多小部分。您只需要了解所有部分是什么以及首字母缩写词是什么。一旦它在现实世界的应用程序中被描述，大多数人很快就会接受它。

大部分是他们必须足够好奇。同理心是另一回事，因为要保护系统，您必须对自己正在做的事情以及为什么它很重要有一些同理心。在 IT 和 OT 世界中，您有工程人员，他们只是希望事情能够正常工作。如果他们的屏幕上有警报响起，他们必须做出反应并点击某些东西，他们不希望屏幕将他们锁定，因此他们无法点击该按钮，这在某些情况下可能会导致工厂出现大问题。您必须对他们的情况和他们的需求有足够的同理心，然后，作为一名安全专业人员，围绕这一点进行设计，以便他们仍然可以拥有这些东西，但以更安全的方式。如果你能注重细节并有强烈的好奇心和同理心，你就能在这个领域取得成功。