別當鴕鳥！網路安全實施工作中的6大障礙

安全行業從業10年以上，就會特別注意確保關鍵基礎設施安全可靠。畢竟，如果關鍵基礎設施崩潰，後果不堪設想。

2011年起，針對關鍵基礎設施的大規模攻擊威脅，便已頻現報端，且不僅覆蓋面廣，絕對數量也在持續增長。就在最近，惡意軟體/勒索軟體成了坊間熱議話題。壞人真的很有可能控制我們的電網，毀壞我們的污水處理廠，鎖定我們的系統要求贖金。

面對這些威脅，如果一家公司沒有安全防護，那可真是難以置信了。

然而，從安全部署的角度出發，事實真相是：大家普遍認為安全只需占公司整體預算的一點點。

控制系統安全預算

雖然從數字上看起來似乎是挺大一筆錢，但想想英國石油公司、殼牌公司、艾克森石油公司這樣的大企業，這可都是千億美元級的企業航母。安全預算的極小比例不禁讓人深思。在安全實現上，到底有哪些阻礙呢?

1. 鴕鳥演算法

當你對某一件事情沒有一個很好的解決方法時，那就忽略它，就像鴕鳥面對危險時會把它深埋在沙礫中，裝作看不到。在計算機科學中，鴕鳥演算法是解決潛在問題的一種方法。假設的前提是，這樣的問題出現的概率很低。

其中關鍵在於「出現概率極低」。基本上，該演算法就是對可能出現的任何問題視而不見。

客戶中經常能聽到這樣的言論：「我們不會發生這種事啦。」或者，「我們是小公司，沒人有工夫對我們下手。」聽到此類觀點時，最好想想被藏了勒索軟體的承包商筆記本電腦。這已經超出了可以簡單地無視可能外部威脅的範疇——我們得積極主動，要有安全防護計劃。

2. 有個中央防火牆就夠了

有個常見的誤解：中央防火牆就是所需的全部。有這種認知的人不少。但實際上，依賴單點故障從來不是什麼好事，比如裝防火牆的案例。深度防禦作為幾千年來行之有效的方法不是沒有道理的。

基本上，如果按操作邏輯分組分隔了公司網路，並連接防火牆保護每一個區域，就可以限制潛在問題的影響，受到指向問題發生確切位置的警報。而只有單一防火牆的情況下，網路缺乏內部阻斷，惡意軟體這樣的威脅就可以很容易地傳播。所以，中央防火牆就是全部所需的說法站不住腳。

3. 安全確認

「我們有防火牆」，或者，「該區域是物理隔離的。」一切看起來都很不錯，直到，又增加了一個防火牆，然後發現網路Y的 X IP 地址在發送廣播消息，某種程度上穿透了物理隔離……這怎麼可能?!

這裡面的希望大概是：只要增加一個防火牆，或者異常檢測，或者DPI設備，就萬事搞定了。但實際上，保護網路安全是一項齊心協力的工作，是永不停歇且非常悲觀的一項工作;所謂悲觀，是要佔滿壘包，不給對手留一絲機會，而不是說服自己「好了，沒問題了，我們已經物理隔離了。」

很多情況下，都是架構師進場，規劃好網路，然後第三方設置起OT部分。最後，總體擁有者來管理網路。因為是由孤立的各方各自完成自己的部分，終端客戶便無法真正理解網路的形式和功能，只是簡單地被告知有個防火牆。

4. 開銷

售賣防火牆產品就跟賣保險似的。保險有保費支出，運氣好的話，終身都用不上保險。如果確實需要保險但又沒買，那你很可能會為自己的一時吝嗇追悔莫及。因為大多數安全事件造成的損失，會比你一開始就買了保險要高得多。

理想很豐滿，現實很骨感。很多公司里，安全預算都是微乎其微的，尤其是與PLC和HMI軟體支出相對比的話——很諷刺，因為如果控制器是可靠性最重要的元素，那麼保護控制器的安全預算難道不應該更多嗎?

儘管前期投入可能看起來很多，但若生產網路發生負面事件，損失掉的收益就會比防止宕機的防火牆設備初始投入要高得多了。

5. 無知

這不是貶義，只是個純粹的事實——「我們從哪兒開始?」看看市場上有多少公司提供狀態防火牆、深度包檢測防火牆、下一代防火牆、異常檢測防火牆、監視工具和修改檢測機制，安全真是一項艱巨的工作。尤其是當你只是控制工程師，而不是擔負網路框架設計職責的安全或IT專家時。

如前文所述，安全不是買個設備就可以高枕無憂的。這是一項不斷迭代的工作，需要大量工具和過程來真正理解並保護你的網路。

6. 在OT世界實現IT

IT專家試圖在OT網路中應用IT範例：「重啟一下那個交換機吧!」眾所周知，IT世界對正常運行時間的要求不像OT網路的那麼嚴格。

IT人和OT人甚至不能同處一室的例子也不是沒有，更不用說設計出貼合OT環境的安全策略了。這是一個非常現實的障礙，只有IT和OT的逐漸趨同匯聚才能解決。

文章來源：安全牛