网络与实体交互时代方法论：后果驱动的网络熟知工程-k8凯发天生赢家

一、网络与实体交互系统

网络安全负责人的职责近年来在不断的变化扩展，从信息安全到风险管理再到敏感信息保护。这种变化的背后驱动力是“网络与实体交互系统”(cps, cyber-physical system)的应用，典型的例子就是楼宇、医疗设施等管理系统中使用大量的(iot设备。，以及在制造工厂、能源水利设施、交通、采矿，以及其他关键工业基础设施中大量使用的ot（运营技术）设备。

今年的物联网设备有望突破百亿，组织里到处都是路由器、摄像头、工业控制、支付终端等企业设备，还包括智能电视、智能手表、媒体播放器、手机等个人设备，极大的拓宽了对手的攻击面。不仅仅是数量问题，物联网设备由于大多为嵌入式设备无法安装安全软件，而且更新困难，配置也经常出问题。

由于网络与实体交互系统(cps)即有数字世界也有物理世界，所以当对手想要造成大范围的环境安全事件或破坏生产运营的时候，cps就成为主要攻击目标。这样的例子数不胜数，如恶意软件triton攻击中东石化工厂，令乌克兰电厂断电的blackenergy，还有导致航运巨头损失数亿美元的勒索病毒notpetya……下至陆地海洋，上至航空航天，cps无处不在，都会是黑客攻击的目标。

二、后果驱动的网络熟知工程

做为安全负责人，面临的压力是巨大的，也是前所未有的，必须采用新的战略来缓解物联网带来的安全风险。为此，美国能源部爱德华州国家实验室，在开发了一套应对cps和iot/ot风险的方法论，名为“后果驱动的网络熟知工程”(cce, consequence-driven cyber-informed engineering)，下面是这套方法论的要点：

1. 识别核心资产

虽然不可能保护一切，但至少可以保护最要的东西。因此，安全负责人要与业务部门、基础设施部门、ot部门等人员沟通，以确定最需要保护的资产。

2. 绘制数字地形图

识别机构中所有联网设备并做好分类，不管它们是it、ot、iot，还是楼宇管理系统，或是音箱、游戏机等个人智能设备。还要了解信息是如何在网络中传递的，谁在使用这些设备，包括有着远程访问权限的第三方供应商和维护商。

3. 明确最可能的攻击路径

分析网络中的风险和漏洞以确定攻击者对机构关键资产和流程的最可能攻击路径。自动化的风险分析模型和红队模拟攻击可以帮助找到攻击入口，包括社会工程攻击和物理访问攻击。

4. 缓解与保护

一旦明确了最可能的攻击路径之后，就要采取优先措施缓解风险。如减少互联网访问点，使用零信任微隔离策略把iot/ot设备和其他网络隔离开，给关键漏洞打补丁等等，并通过持续性网络安全监控快速识别可疑活动或未授权行为。

5. 移除it/ot/iot和cps之间的竖井

作为机构的网络安全负责人，意味着对机构所有的数字安全负责，不管是it、iot、ot，还是cps。因此需要建立一个统一的全面的，对人员、流程和技术进行安全监控和治理的策略。技术层面包括，要把所有iot/ot的安全警告传送到安全运营中心，借助siem、soar等工具和防御机制（如防火墙等网络访问控制系统）快速对事件做出响应，如，快速把检测到的恶意流量来源设备隔离到隔离区。

三、主动为未来做好准备

今天的恶意攻击者，包括了以获取经济利益为目标的网络罪犯，还包括了国家支持的黑客组织以及黑客激进分子，这些人有动机、有能力，并不断地对网络与信息系统和cps造成混乱和破坏。

安全业界已经承认，只要黑客不断地尝试，终究能找到入侵网络的方法。因此一个好的安全战略，就是尽量在杀伤链的早期阶段（如侦察）发现攻击行为，以免发生更严重的后果。在triton攻击石化厂控制器的例子中，攻击者已经在其网络中潜伏了数年，结果由于恶意软件中的一个bug，无意导致工厂的停产，triton才被发现。否则，后果更是不堪设想。

对于管理人员或董事会而言，已经到了必须重视新cps环境下新安全风险的时候，主动为未来做好准备。