卡巴斯基实验室在第
六届工业网络安全会议 (2018年9月19日至21日,索契)上发布了
新闻稿 。
组织者已为演示文稿提供了幻灯片;他们承诺很快将视频报告发布到网络中。 不幸的是,我无法参加会议,但是我决定结识这些演讲,对此并不感到失望。 一切看起来都相关,有用,甚至鼓舞人心。 然而,该主题的范围令人印象深刻,似乎卡巴斯基实验室在纵向和横向市场方面都从事“一切”。 我首先为“我自己”进行了评论,然后决定发布它。
会议程序中有40个报告;我将其分为几类。 这种分类是我自己的,并不声称是唯一正确的分类,因为某些报告可以一次分配到多个类别。 但是,一些概括将允许这样做。 因此,会议上提出了以下主题。
1.综述工业网络安全的总体状况-5个报告当然,在审查报告中,应该指出
“像黑客一样思考,但像工程师一样行事” (国际自动化协会马蒂·爱德华兹) ,这为会议揭开了序幕并奠定了基调。 这是对信息和操作技术(IT-OT)的比较分析,以及基于
美国ICS-CERT的网络防御的不足趋势,对事件的后果和典型的攻击情形进行了分析,另一方面,这些都是显而易见的,而另一方面系统地和原始地陈述。 我认为似乎有两个重要的趋势:与安全(功能安全)领域的融合以及使用
NIST网络安全框架的重要性。
“ ICS安全控制的50种阴影” (Ibrahim Samir Hamad,石油和天然气公司)展示了带有质量信息图表的多维有趣概述。 报告
“工业网络安全的五个神话” (卡巴斯基实验室的Evgeny Goncharov)印象深刻,内容丰富。
3.精选的网络安全技术-7份报告在技术领域,您可以尝试拥抱巨大的事物,显而易见的事物或复杂的技术细节(只有黑客可以理解)。 组织者设法提出了几个有趣而重要的方向:云技术问题,使用远程管理工具进行的攻击分析,蜜罐指纹识别,威胁监视以及与Internet断开连接的受感染系统。 在
“网络间谍活动的归因 ”报告
中 (卡巴斯基实验室的尤里·纳姆斯特尼科夫),对目标APT(高级持久威胁)攻击进行了出色的分析。
会议最重要的演讲之一可能是
“安全PHA审查,以分析过程工厂对网络攻击的脆弱性” (Edward Marszal,Kenexis) 。 爱德华开始从事网络安全,在风险分析和功能安全方面拥有丰富的经验。 因此,其主要论点-网络安全应基于该过程的风险。 该评估基于
HAZOP(危害和可操作性研究)方法及其过程变体PHA(过程危害分析)。 这些方法已经在功能安全领域中使用了几十年。 该报告仅涉及定量评估(确定性方法),尽管如果将事件概率添加到表中,我们可以进行定量评估。
Kenexis网站上有很多有用的信息(对于咨询公司来说是很少见的):用于分析的表格模板,手册,文章。 他们写道,甚至他们的工具
OPEN PHA的基本版本都是免费提供的。
4.确保选定工业部门网络安全的特征-7个报告所有演示都非常有启发性,因为它们谈论的是我们并非每天都面对的特殊领域,甚至常常没有意识到其惊人的细节。
“数字化转型如何使法拉利变得更快” (Remigio Armano,法拉利)中很好地概述了现代汽车行业的趋势,尽管有关网络安全性的说法并不多。 卡巴斯基实验室进入汽车市场的故事令人着迷:首先我们赞助一个赛车队,然后提供网络安全。 一份非常有趣的报告是关于游艇上的物联网解决方案的应用
“游泳物联网:黑客进入现代游艇(安全性)秘密的旅程” (罗森集团的斯蒂芬·格林) ,这是网络安全的真正浪漫。 会议上没有来自“传统”行业(能源,航空电子,化学,石油和天然气)的演讲。 也许有关这些行业的信息更清晰可见,组织者朝着“异国情调”的方向走了,因为他们介绍了供水系统,“智能”房屋,铁路运输,视频监控系统。
5.网络安全监管框架-4份报告演讲主要影响了FZ-187。
7.人为因素和人事管理-2个报告报告了关于建立事件响应小组的报告,以及关于培训组织的报告。
8.网络安全的社会学方面-1报告提出了一份关于媒体对公众对网络安全问题的认识的影响的报告。 不出所料,我们对现实有许多扭曲。
如您所见,工业安全的范围已经足够广泛。 对我而言,也许最重要的是总体趋势,从报告中可以清楚地看到这一趋势–在网络安全环境中,功能安全领域的发展趋势正在被采纳和应用。 显然,ISA坚信这一点的重要性,他们为此树立了全世界的基调。 到目前为止,其余的内容还没有付诸实践。 结果,为了安全起见,安全领域中的许多事情再次被“重新发现”(相同的示例被HAZOP和MILS“重新发现”)。
从会议上没有听到的声音(尽管也许听起来):
-没有关于网络安全的概率评估; 也许,信息安全专家还没有做到这一点(尽管他们已经接触过HAZOP和MILS),或者从实用的角度来看并不是很相关; 另一方面,IS功能失败的可能性是可能的,应该进行计算,这将类似于SIS(安全仪表功能);
-没有有关国际监管框架,最佳做法等的详细报告; 可能要么太“学术”,要么每个人都已经累了。
从少量补充或建议(其他会议的组织者这样做)。 当我尝试对40个报告进行排序时,在我看来,使用短共享密钥进行审核会很方便。 您可以按顺序对所有演示文稿进行端到端编号,也可以按部分进行编号,例如,全体报告:P1,P2等;业务跟踪:BT1,BT2等。 当然,这不是最重要的事情。
最重要的是会议明显的积极方面,即:
- 即使是遥不可及的会议,也能感受到很好的会议效果,因为许多“有力”的演讲者都发了言;
- 会议计划全面覆盖了工业网络安全的最重要方面,而没有一个方向或另一个方向的“扭曲”。
- 该会议被证明是真正的国际性会议,否则通常会组织“国际性”会议,一些“外国顾问”无意间陷入其中; 在索契,一切都“诚实”; 尽管大多数参与者来自俄罗斯联邦,但还是用英语制作幻灯片,以便外国参与者理解所讨论的内容是一种良好做法,即使演示文稿是关于联邦法的;
- 通常,会议组织者可以根据需要添加任意数量的报告,这有时会引起一些抱怨; 卡巴斯基实验室有很多报告,但客观上都是高质量的,它们反而提高了会议的总体水平,反之亦然。
一切顺利,感谢组织者的盛大活动!