因此,构建工控安全成熟度模型可以帮助企业评估当前工控安全建设水平、发现安全体系建设中的短板并确定下一阶段工作的努力方向和建设目标,从而帮助企业在威胁与挑战并存的数字化转型大环境下把握先机。
一、传统的安全成熟度模型
安全成熟度模型在传统IT领域并不是一个新概念。市场上流传较广的的安全成熟度模型,如信息安全能力成熟度模型(IS-CMM)、《信息安全技术 数据安全能力成熟度模型》(DSMM)等,大多借鉴了软件能力成熟度模型(CMMI)的评估标准。这类传统的安全成熟度模型更突出“阶段性”,通过列出每个成熟度级别应该具备的安全能力和对应的安全控制措施,引导用户(特别是安全建设“零基础”的企业)按照成熟度级别进行顺序性的安全能力建设。
然而,对于已经形成一定安全能力的企业,传统的安全成熟度模型在实践中也暴露了一些短板。参照SANS网络安全滑动标尺模型,安全技术能力的进阶带来了安全成本的上升,但与其对应的安全投资价值却呈现递减属性(图1)。然而,企业用户在实践中为了达到更高的成熟度级别往往会盲目增加安全控制措施,造成安全技术和产品上的过度支出。因此,在面对安全技术/工具成本上升和资源预算有限时,企业需要一套新的方法论,以解决关键安全问题为基础,明确工控安全项目建设优先级,从而在最大程度上降低企业工控安全风险。
图1 SANS网络安全滑动标尺模型
二、工控安全成熟度模型
在借鉴ARC咨询公司OT安全研究和传统安全成熟度模型的基础上,烽台科技依托自身在工控安全领域多年的咨询服务经验,以“人员专业能力、安全运营能力、安全防护能力”三重能力建设为导向,以反映用户工控安全项目建设优先级为核心,构建了面向工业/OT场景的工控安全成熟度模型1.0(图2)。从定位上来看,工控安全成熟度模型主要有以下几个目标:
·充分考虑工业场景安全需求,为工控安全项目建设和落地实践提供指导;
·为等保2.0、工控安全防护指南、工业互联网企业分类分级等合规政策驱动下的工控安全建设提供对标参考和有效补充;
·为评估现有工控安全措施有效性、管理和降低风险提供可循环执行和持续改进的工具。
图2 工控安全成熟度模型1.0
(一)三重维度(纵轴)
与传统安全成熟度模型不同,工控安全成熟度模型1.0(以下简称“模型”)围绕人员、流程、技术这三项工控安全建设投入的基本要素(图3),提出了企业用户在工控安全建设中应重点关注的人员专业能力、安全运营能力和安全防护能力这三重维度和对应的优先级。
图3 工控安全建设投入三要素
1.高优先级:人员专业能力
长期以来,工控安全人才短缺问题已成为行业共识。但由于专业人才培养周期长、职业资格认证缺失、人才挖掘渠道单一,工业企业用户的工控安全招工用工困境愈发凸出,只能依赖企业内部的传统信息安全团队、IT部门或生产控制部门建设和管理工控安全项目。而在实践中,工业企业用户普遍会选择周期更短、见效更快的方式,即通过采购外部安全厂商提供的安全技术、防护产品和解决方案来“弥补”安全人员的不足和技能短缺,而并未从根本上解决自身的工控安全问题(图4)。
图4 工控安全预期投入与实际投入对比
人员能力维度在模型中是指为实现安全防护技术和运营管理工作的有效执行,组织相关人员应具备的专业技能和能力水平。模型将人员专业能力作为安全投入的最高优先级,强调了人员在工控安全项目建设中的重要性。加大工控安全人员专业能力建设投入,不仅可以提高企业自身工控安全防护水平、筑牢工控安全“最后一道防线”,也是企业实现工控安全投资利益最大化的选择。
2.中优先级:安全运营能力
安全运营能力在模型中体现在两个方面:安全业务流程和管理技术工具,着重强调要持续投入与安全建设内容相匹配的业务保障体系和技术管理工具。业务流程是将用户的工控安全保障体系及相关制度规范进行落地建设的一系列业务活动,而管理技术是用来选择、实施和维持不同阶段安全防护技术有效性的工具集。
当前,工业企业用户的工控安全业务流程设计和决策范围仍然较小,用户高层参与度较低,企业资源调度不充分,安全建设与实际生产运行业务结合度低,工控安全效能尚未得到发挥。依据网络安全框架(NIST CSF),组织在开始工控安全建设前,应先确定要实现的安全目标并制定安全策略,而业务流程衔接了组织整体的工控安全策略和安全措施,是执行工控安全策略的路线图,也是企业用户进行安全运营管理的具体工作步骤。因此,优先确定工控安全的业务流程并进行相应的预算投入是实施安全措施的基础。
从安全运营的角度来看,管理技术作为工控安全业务流程的落地表现,是连接企业内部工控安全人员与外部采购的安全防护工具的重要媒介。随着工控安全技术的更新迭代,防护产品和解决方案愈发复杂多样,越来越多的工业企业用户希望通过投资于最新的安全技术来获得价值。但成功的安全项目“三分靠技术、七分靠管理”。由于缺少对安全产品配置和运维的经验,以外采防护设备为主的工控安全建设可能会造成防护工具不兼容、技术过于复杂等现象,反而给企业人员和管理造成了更大的负担。通过实施管理技术,企业内部工控安全人员将有能力对安全防护工具进行控制、分析、管理和统一编排。
3.低优先级:安全防护能力
模型将安全防护能力作为一项基础能力,放在了工控安全建设项目投资优先级的末端。事实上,部署安全防护设备已经成为工控安全建设最为常见的手段。从商业价值的角度来看,企业可以通过实施安全防护措施在短期内快速降低安全风险。但安全能力建设是一个循序渐进的过程,企业需结合自身业务情况,对应不同工艺流程和工控系统的重要程度,进行有计划、分阶段的安全防护技术投资。
模型保留了传统成熟度模型中安全防护能力建设的增量特性,即每一阶段的安全技术建设并非从零开始,而是在前一阶段的基础上增加一层防护能力。同时,模型列举了与核心技术能力相匹配的典型安全防护产品,为企业选择相应的供应商提供了参考。
总的来看,工控安全建设的本质是在现有资源和预算下最小化安全风险,从而获得最大化的安全投资价值。因此,工控安全建设应结合企业自身实际,确定适当的项目和投资优先级,力图在人员、流程和技术这三个要素中取得平衡,最终促进三者成熟度能力共同进阶。
(二)能力进阶(横轴)
在定义了能力维度和优先级的基础上,模型提出了工控安全建设中每一项能力维度进阶的方向和步骤,并且列举了实现不同级别的安全成熟度应在人员、流程和技术层面投入的最低水平。
1.IT与OT融合的人员能力建设
模型中定义了安全人员专业能力建设的三个阶段。在工控安全建设的初期阶段,企业内部安全人员需至少具备基础IT、计算机和网络技能以及基础自动化与电控技能,来实现基本安全保障。随着企业工控安全建设成熟度的进阶,相关安全人员需要具备增强型的IT+OT网络安全专业水平,从而更好地落实业务流程,并且有能力通过使用管理工具来发挥安全防护技术效能。当工控安全建设进入到成熟度较高的阶段时,企业需要投入与工控安全建设需求相匹配的安全团队,而团队中的人员应能够实现对最新的安全防护技术和管理工具的综合分析、集成、管控和编排。因此,相关安全人员需要具备高级融合型网络安全与自动化专业水平,有能力应对更加高级的工控安全威胁。(图5)
图5 IT、OT、IT&OT安全技能图谱
2.从全面评估到“大安全”运营
模型将工控安全运营能力建设分为了两个阶段。当工控安全建设处于早期阶段时,企业需要以系统防护为核心思想,通过开展检测、评估、实施和运维等工作,并配套应用工控资产清单、业务数据流、风险管理、脆弱性管理、PKI管理等工具,从而保证防护产品的有效性。当工控安全建设进入较成熟阶段时,企业则需要以检查、响应和应急恢复为抓手,全面加强对安全事件管理的能力,同时辅以威胁情报、安全运营中心(SOC)集成、协同管理等运营管理工具。
1)传统信息安全监测体系
通过SOC、SIEM、UEBA、SOAR、IDS、流量分析、安全审计等监测手段,对以下典型安全信息进行监测:
信息安全事件;
告警趋势统计;
资产漏洞统计;
外部威胁信息;
威胁态势统计等;
所有的工作以信息安全风险处置为核心(安全本位主义),难以说明风险与业务、业务部门的关系。
2)以业务为主集中化安全监测
通过工业控制现场典型的MES、EMS、SCADA、SOE等监测系统,收集设备日志、通讯故障、实时/历史报警的数据,建立以业务稳定运行为核心的生产安全监测体系:
生产产量相关信息
人员相关信息
环境相关信息
灾害相关信息
业务系统组态画面
重要设备运行状态
风、水、电、气系统状态
其他生产安全相关信息
3)融合体系的“大安全”运营
随着工控安全建设成熟度的提升,安全业务流程的重点将从系统防护向事件管理的方向进阶,而安全管理工具应从单点安全技术管控向安全集成与统一编排的方向迭代和演进,最终实现工控安全运营能力从全面评估向“大安全”运营升级(图6)。
图6 融合体系的“大安全”运营中心
3.安全防护能力进阶模型提出了五个防护能力进阶的阶段,分别为基础保护、边界防护、纵深防御、主动监测、运营管理。与其他成熟度模型和框架有所不同,工控安全成熟度模型侧重于将工控安全项目建设的不同阶段与企业面临的安全风险类型和威胁程度进行对应,确定每一阶段的工控安全建设应实现的安全目标、需要采取的安全策略,以及应考虑的解决方案类型。
1)第一阶段:基础防护
基础防护在成熟度模型是工控安全项目建设的初级阶段。安全项目投入以采购单点防护设备为核心,以“信息物理安全、存储介质安全管控与加固、病毒查杀、反恶意软件与漏洞管理”等终端过滤技术手段为主要建设思路。若项目处于基础防护阶段,则表示用户工控安全意识较为薄弱,实际的安全投入不足,安全防护整体水平处于低位。
2)第二阶段:边界防护级
边界防护是成熟度模型的第二阶段,突出了工控系统和OT环境对于区域隔离和身份认证的需求,围绕“边界隔离与防火墙、审计、身份认证与权限管理”等技术和产品开展安全防护建设。若项目处于边界防护级,表示工业企业用户已经部署了一定的安全技术和防护产品,并投入了一定的人力资源和管理措施。
3)第三阶段:纵深防御
纵深防御是安全成熟度模型的第三个阶段。与前两个阶段相比,这一阶段的安全建设强调体系化防御能力,典型的技术解决方案包括“应用白名单、物理和逻辑隔离、边缘计算网关”等。若项目处于纵深防御阶段,则表示企业用户已经建立了相对完善的安全体系,并在人员能力和组织建设、管理制度和流程措施、防护技术和产品应用层面均已进行了有效的布局,并基本可以满足工控安全合规建设需求。
4)第四阶段:态势监测
态势监测是安全成熟度模型的第四个阶段。态势监测阶段的安全建设已经不再以“合规需求”为导向,而从企业的内生需求出发,以“异常和入侵检测、态势感知、威胁监测”等主动安全防御技术作为抓手。若项目处于态势监测阶段,表示企业用户能够将技术与管理手段有效融合,并具备了与态势监测技术相匹配的安全人才和一定的业务管控能力。
5)第五阶段:运营管理
运营管理是安全成熟度模型的最高阶段。运营管理阶段的安全建设以“集中化安全管理平台”为核心,强调的是对安全威胁实现综合分析,并对工业资产和安全防护设备实现集中化的综合运营管控。
(三)合规性对标
另外,企业在构建工控安全技术防护方案时,要考虑以监管机构的相关技术与管理标准作为依据,从而实现安全建设的合规性对标。
《信息安全技术-网络安全等级保护基本要求》(简称等保2.0)
等保2.0在安全通用要求的基础上,针对工业控制系统场景专门提出了安全扩展要求内容,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理等方面对工业控制系统等级保护建设提出要求(图7)。
图7 等保2.0对工业控制系统的安全扩展要求
工信部《工业控制系统信息安全防护指南》
《工业控制系统信息安全防护指南》(图8)从管理和技术两方面入手,涵盖了从安全软件选型、访问控制策略构建、数据安全保护、资产配置管理等11个方面的安全防护要求,为企业工控安全建设提供了合规性参考。
图8 《工业控制系统信息安全防护指南》
三、成熟度模型的用途
工控安全成熟度模型是一套用于工控安全建设、管理和持续运营的工具和方法论,对于工业企业用户、工控安全服务厂商和第三方机构,以及整个工控安全产业生态建设都具有重要作用。
对于工业企业用户而言,工控安全成熟度模型为企业开展工控安全项目建设、管理、运营等活动提供了自评估工具。一方面,帮助企业确定了自身在安全技术、管理手段、业务流程和人员能力上的短板,明确安全投入的优先级别,更好地优化和量化工控安全投资的价值;另一方面,为工控安全建设的采购决策和落地实践提供了明确的方向。工控安全成熟度模型(右侧)分别指出了可以提供安全防护技术/产品、管理技术工具、帮助企业落地安全业务流程、提升安全人员专业能力的厂商类型和第三方机构。
图9 工控安全产业生态建设
对于工控安全服务厂商或第三方机构而言,工控安全成熟度模型可以用于独立评估工控安全项目在技术、流程和人员方面的实际成熟度,解决工业企业用户在采取了主动防御技术、但缺少配套能力建设之后产生的“虚假安全感”。同时,根据工控安全防护产品/解决方案在模型中覆盖的成熟度阶段,工控安全服务厂商或第三方机构还可以帮助企业有效定位和评估安全防护产品厂商的能力水平。从产业生态的角度来看,工控安全建设是一项持续性、系统性工程,工业企业用户不可能依靠单一类型的安全厂商解决全部问题。工控安全成熟度模型明确了防护产品厂商、服务厂商、具有安全运营能力的集成厂商和第三方检测评估机构等工控安全产业链各主体在工控安全建设中的分工和作用。因此,为增强工控安全项目效能,全面提升工业企业安全防护能力,产业链各方主体应充分发挥优势、深化合作,共同参与到工控安全建设中,推动工控安全产业生态良性发展。