OT网络安全破局之思考(六)-网络知情工程(CIE)和CCE工程简介

OT网络安全破局之思考(六)-网络知情工程(CIE)和CCE工程简介

时间:2023-12-28 作者:安帝科技 原创


编者按
后疫情时代,经济低迷、持续下行,影响后果深未见底。俄乌战争凸显“关基”安全保障的极端重要性。美中对抗、大国博弈,国际安全形势瞬息万变。网络安全行业迎来最坏的时代,也是最好的时代。

洞察未来,变的是什么?漏洞后门持续走高,攻击技术的复杂化,攻击对手的高能化,安全风险的动能化,安全需求的多样化,安全目标的弹性化,资产价值的差异化,防御能力的滞后化?等等!不变的是什么?攻防对抗的本质未变;易攻难守的常态未变;敌强我弱的态势未变;安全价值的追求没变。变局中求生存、求破局,不确定性中寻找确定性,这是今后的常态。

ICS(工业控制系统)到OT(运营技术)的转变,ICS网络安全到OT网络安全的转变,完全是数字时代之变。客观的讲,ICS网络安全十多年来的探索,始终没能摆脱移植、模仿、追新的宿命。当OT网络安全深入工业网络底层时,跟随、模仿、移植的套路已力不从心。无论各表一词的工业互联网安全、工业控制系统安全、工业信息安全、工业网络安全、工业安全,都在概念、技术、流程、规范、风险、文化等等方面,面临重大挑战。其本质是对OT域的功能安全、控制安全、过程安全、业务安全、过程安全风险的无知、畏难和回避。

当真正的IT/OT/CT/ET深度融合无处不在之时,OT网络安全如何回归工业本质,如何直面底层防御盲区?如何遏制网络攻击向动能攻击的转化?强调关注“业务、人和供应链”者有之,强调安全能力前置的“设计安全和默认安全”者有之,强调系统工程回归的“弹性工程和知情工程”者有之,强调关注“工业风险和安全运营”者有之,倡导内生的“内置安全、内嵌安全、出厂安全”者有之,等等。OT网络安全的产品技术、解决方案、发展范式,将走向何处?

安帝科技试图对这些问题进行系统思考,尝试探寻自己的解决方案和发展路径。同时,也期望与业内同仁共同探讨,共同探索,共同成长。本期推出系列思考之六:《网络知情工程(CIE)和CCE工程简介》,敬请批评指正。
网络知情工程(CIE)和CCE工程简介
在当前数字化转型加速发展的背景下,IT、CT、OT、ET融合演进,复杂性、连接性、便捷性等空前提升,数字生态的网络安全威胁和风险持续恶化且加剧。勒索攻击、数据泄露、APT攻击此起彼伏,特别是俄乌战争、巴以战争加持下的关键基础设施保护大战,暗流涌动,金融、电信、医疗卫生、交通、民生(油气、供水、市政)等领域的战争性质的网络攻击,从未间断。OT网络安全风险挑战站在了新的历史高度和新的起点,固守传统、邯郸学步、移植复制,肯定没有出路。OT网络安全的环境、形势、理念、需求、技术、方法、目标都在变,如何在变局中探索新路径、新方法,成为行业面临的重大课题。无论是网络安全技术的演进(恶意软件防范、零信任、AI技术)、风险的平衡(默认安全、设计安全、网络保险)、范式的转变(威胁检测、APT对抗、安全运营、内生安全),必须要落实到网络安全风险驱动的安全目标上,这就是网络弹性(业务弹性、任务弹性),即保护对象具备系统的弹性。

美国能源部爱达荷实验室推出的CIE(网络知情工程)方法,综合考量网络安全威胁和攻击相关的风险,在 OT(操作技术)和 ICS(工业控制系统)环境中,实施保障措施和防御措施,以保护关键基础设施系统免受网络攻击。CIE方法以及CCE(结果驱动的CIE)工程是一种新兴范式,助力组织认识到理念转变和工程方法的重要价值,帮助组织管理控制系统上量级和强度日益加剧的网络攻击。CCE将确保数字基础设施得到主动保护,即确保存量系统增强网络弹性,新建系统先天具备弹性,从而应对已知和未知网络威胁。
一、CIE/CCE简介
网络知情工程(CIE)和结果驱动的网络知情工程(CCE),是近年来美国能源部爱达荷实验室主持研究和推进的系统性解决关基防护中网络安全威胁的新方法、新范式。声称可以帮助组织管理对控制系统的网络攻击的数量和强度,促进组织加速理念转变,采纳工程方法和实践。
(一)CIE概述
网络知情工程(CIE)是一种新兴方法,将网络安全考虑因素整合到任何物理系统、能源或其他系统的概念、设计、开发和运行中,以减轻甚至消除网络攻击的途径。CIE概念使用设计决策和工程控制来优先防御关键基础设施系统和资产所有者面临的网络攻击可能造成的最严重后果。

图1 CIE系统工程生命周期模型

CIE是能源部门为清洁能源未来加强网络安全保护的一种方式。美国能源部网络安全、能源安全和应急响应办公室(CESER)与爱达荷国家实验室(INL)和国家可再生能源实验室(NREL)合作,共同主导实现这一重要目标的工作。
能源部认识到,人才培育有CIE成功的关键,通过扩展传统工程教育,将防御网络安全漏洞纳入其中,CIE扩大并加强了能够保护关键基础设施免受网络攻击的人力资源队伍,其中包括工程师。它为这些专业人员提供了从设计的最早阶段就“消除”网络风险的机会,这是引入低成本且有效的网络安全方法的最佳时机。
美国能源部 (DOE) 于2022年发布了国会指导的国家网络信息工程战略。它概述了CIE的核心概念,将网络安全考虑因素置于工程和能源系统设计的基础上。该战略建立在五个综合支柱之上——意识、教育、发展、当前基础设施和未来基础设施——并提供了将CIE纳入控制系统工程师通用实践的建议。2023年3月,拜登-哈里斯政府的国家网络安全战略呼吁对支撑美国所有关键基础设施系统的数字生态系统大规模转向安全设计方法。
(二)CCE概述
CCE是将网络安全集成到工程中的一种方法。它侧重于识别网络事件对系统的潜在后果或影响,并使用此信息为该系统的设计和开发提供支持。CCE确保网络安全不是事后的想法,而是工程过程中不可或缺的一部分,有助于从一开始就创建更具弹性和安全的系统。它强调采取主动措施来减轻网络威胁,并优先考虑系统设计和架构安全。CCE并不是解决关键基础设施安全问题的灵丹妙药。尽管如此,爱达荷国家实验室 (INL)仍然采取了一种合理的方法来确定必要的组件和流程,以保留最有可能的网络攻击目标。它将结构化方法与多元思维模型(向后情景规划、系统思维和风险管理)相结合。

爱达荷国家实验室(INL)在CCE的四阶段过程中引导组织通过CIE的核心组件,以评估和消除或减轻其关键功能中的弱点。CCE方法包括后果优先级排序、系统之系统分析、基于后果的目标确定以及缓解和保护。CCE保护关键基础设施运行的四阶段流程如下图所示。随着威胁形势的发展和对手能力的进步,这必然是一个持续演进的过程。

图2 CCE的四阶段过程

(三)CIE/CCE的五大支柱及十二项原则
网络空间知情工程(CIE)的发布支持CESER的五个优先事项。这些优先事项包括:1)加强能源系统网络威胁的可见性;2)应对供应链风险;3)促进设计的安全性和弹性;4)在私营部门、国家、地方、领土和部落社区建设网络和弹性能力;5)做好与政府和行业伙伴合作应对能源领域发生的网络事件的准备。在很多方面,CIE通过五大支柱跨越了所有这些优先事项:意识、教育、发展、当前的基础设施和未来的基础设施

图3 CIE的五大支柱

CIE原则是指在解决工程问题时需要牢记在心的想法、规则或概念。这里确定的原则不是详尽无遗的,但确实是ICS工程风险管理过程中的重要元素。作为CIE实施的关键考虑因素的原则被分为设计原则和组织原则,设计原则包括以结果为中心的设计、工程控制、安全信息架构、设计简化、弹性分层防御和主动防御。组织原则包括相互依赖性评估、数字资产意识、网络安全供应链控制、计划弹性(不假定安全)、工程信息控制和网络安全文化。

表1 CIE之12项原则释义

二、CIE/CCE在OT网络安全中的实践
自CIE战略发布以来,能源供应商、原始设备制造商、集成商和资产所有者一直在改进产品及其集成的网络安全实践和标准。这些工作正在改进可用于解决行业网络安全风险的工具和能力。但是,大多数工作重点是通过特定于网络的防御来解决网络风险。CCE项目已在电力公司、水务公司、核动力资产(如发电设施或核动力潜艇和船舶)、管道、海上作业以及军事和国防系统中实施。从地区和国家安全的角度来看,CCE主要在美国实施,但美国已与日本、英国、以色列、澳大利亚和几个欧洲国家共享了该方法。
(一)CIE是网络风险管理方法的核心和基础
CIE和CCE已成为将风险缓解纳入安全设施设计前期的主要方法。这促成CIE被纳入2023年3月发布的国家网络总监办公室的国家网络安全战略、2022年6月发布的美国能源部(DOE)国家网络知情工程战略以及国土安全部CISA于2022年9月发布的2023-2025战略计划。上述每一项战略都承认CIE是美国网络风险管理方法的核心和基础方面。

三项战略中对CIE重要地位的明确,凸显了美国推行CIE/CCE的决心与举措。其中着重强调能源部门应努力将网络安全实践纳入工程系统的设计生命周期,以降低网络风险。比如CIE战略是对主流结构的变革,在传统主流结构中,大多数关键基础设施控制系统的网络安全与系统设计和工程实施是分而治之的,这直接导致为了减少安全漏洞而在事后引入的附加安全技术不断叠加。CIE战略成为推动设计安全、默认安全的顶层规划,促进网络弹性工程和内生安全在能源乃至关基行业的推进。
(二)CIE成为沟通工程实践、网络安全、风险管理的通用语言
CIE和CCE已经扩大了网络安全工作人员的对话范围,包括设计、实施、配置和运营关键基础设施的工程师,并为这些工程师制定指导方针,如何利用工程见解和流程设计来添加深思熟虑的设计元素,以减轻网络攻击对基础设施的影响。在某些情况下,这些解决方案增加了模拟或手动控制,可用于物理中断由数字破坏驱动的过程,而在另外一些情况下,它们确保工程师和网络安全团队共同制定和实施弹性与响应计划。
INL高管还强调,CIE和CCE为工程化工业系统的所有贡献者提供了能力,以汇集他们对整体系统安全的贡献,并将网络安全的工程设计和工程实践提升到安全性(safety)和可靠性。近年来,将工程概念和实践整合到工业部门的网络安全和风险缓解策略中受到了广泛关注,至少部分原因是CIE和CCE等概念。人们越来越认识到网络安全应该成为工业系统设计和运营不可或缺的一部分。该行业正在积极努力弥合工程与网络安全之间的差距,利用工程实践、风险管理方法、安全代码编写标准和其他经过验证的技术来增强工业环境抵御网络威胁的能力。
(三)CIE概念融入大学和职业学校的工程课程
能源部的CIE计划还专注于教育,将CIE概念融入大学和职业学校的工程课程。这将包括电气工程和机械工程,但也包括用于其他领域的工程学科,包括核能、农业等,CIE正在与领先的工程大学合作,建立课程和教育资源,这些课程和教育资源可以纳入认可的工程计划,以将实践扩展到所有基础设施领域的工程。
CCE的专著《打击网络破坏:引入结果驱动的网络知情工程(CCE)》最近已被翻译成日语,美国INL与日本工业安全卓越中心 (ISCoE) 的成员进行了交流分享有关CIE/CCE如何增强其现有安全方法的想法。
此外,CCE专著的作者表示,在过去的几年里,他们与私营行业的安全和工程公司合作,这些公司在CCE方法方面接受过培训并获得许可,为他们在关键基础设施中的客户提供CIE/CCE服务。这些公司为所有关键基础设施垂直领域(水、ONG、能源、先进制造、军事应用等)提供工程和ICS/OT安全服务。
(四)CCE已推向了资源有限的小型关键基础设施组织
CIE和CCE都具有内在的通用性,使它们能够立即适用于所有行业部门、地区和不同规模的组织。CCE的美妙之处在于它适用于任何规模的组织。一旦接受了该方法的培训,已经看到从小型到大型的组织都在应用通过CCE教授的CIE原则来更好地保护关键功能。CCE的一个巨大价值主张是,它可以快速帮助组织/企业从安全角度关注最重要的事情。对于知道他们需要在ICS/OT安全方面做更多工作但不知道从哪里开始最好并且可支配资源有限的小型组织来说,这可能是巨大的。
CIE/CCE即使对于较小的基础设施提供商来说也肯定有效。CIE/CCE作为一门工程学科,它与工程原理、安全协议等密切相关,其效用远远不止于网络方面。因此,全球网络安全人才短缺并不像人们想象的那样构成重大挑战。即使是较小的公司也需要拥有必要的工程和控制系统知识来运行其关键基础设施。从内部团队的角度来看,这种现有的专业知识成为与外部CCE从业者(包括CCE被许可人)有效合作的关键因素。

三、CIE/CCE未来展望
正如美国能源部长所言,CIE进一步指导网络技术人员,帮助其与合作伙伴专注于网络安全与工程之间的战略交叉,解决培训工程师和技术人员的知识差距,并为他们提供从根本上建立网络安全能力的手段。CIE框架提供了一条通向未来能源安全的明确道路,美国将站在全球创新和清洁能源制造的最前沿。遵循CIE的策略将有助于确保关基不仅能抵抗已知的网络攻击,而且有足够的弹性来防止和减轻未来能源供应、经济和日常生活的中断。
(一)需要关基行业的共同参与和努力
CIE的推进机构清醒地认识到,传播意识的责任不仅仅在于能源部(DOE)、爱达荷国家实验室(INL)、安全公司或其他CCE许可机构。实现CIE和CCE的效能或达到其应该产生的最终影响,需要更多组织、公司的集体努力、共同投资和广泛的媒体宣传。国家CIE战略阐明了一种全面的方法,将CIE及其扩展到大学课程的工程实践中。这对于不断变化的世界提供下一代工程师的技能是必要的。国家组织需要帮助传播对这些做法的认识,并开展必要的培训,以便在现有基础设施中全面实施这些做法。
(二)需要使用者的持续创新
事实上,一些被许可人已经对CCE方法进行了创新,通过压缩执行CCE最初两个阶段的时间框架来实现快速的投资回报。通常,这些阶段现在可以在大约10-12周的显着缩短时间内完成,而最初的CCE方法通常需要6个月以上的时间来实施阶段1和2。根据工业网络安全公司专家的说法,美国各地的关键水基础设施流程和法规几乎相同,因此整个行业的案例研究和最佳实践将允许采用清单方法,使许多较小的水和污水处理机构能够从CIE/CEE中受益。他们认为,裁剪或优化将减少对定制的、深入的CIE/CCE评估的需求,这会对较小供应商的有限人员和财务资源造成很大负担。
(三)需要建立强大的网络安全文化
CIE为在能源行业内建立网络安全文化提供了基础和方法,类似于该行业强大的安全文化。主导这种文化转变的将是工程师、工业控制系统技术人员、网络安全专业人员、制造商以及能源部门工业基地的所有者和运营商。国家CIE战略支柱为加速这种文化转变提供了强大的、综合的基础。CIE下一步的工作将是召集广泛的利益相关者,为战略的每个支柱制定详细的实施计划。
网络知情工程采用“设计安全”和“零信任”的软件安全策略,并将这些概念从软件工程扩展到网络物理系统工程。设计安全和零信任这两种建议的策略往往相互支持或直接相互借鉴。虽然CIE战略的重点是将CIE建设成能源基础设施,但它为利用CIE改变所有关键基础设施部门的工程文化绘制了蓝图。也就是说未来全新的强大的网络安全文化必然是工程文化与网络安全文化的相互渗透、融合与创新发展。
四、小结
目前CIE的推行已形成了战略指引、资源库支撑、实施指南落地的有利态势。在2023国家网络安全战略、国土安全部2023-2025战略计划以及能源部国家网络知情工程战略,均确定了CIE的指导地位。CIE资源库,由工具、案例研究和课程组成,将继续支持设计师、制造商、资产所有者和运营商应用CIE原则。CIE实施指南的推出,明确了工程团队在系统生命周期的每个阶段应考虑的问题,为设计、建造、运营和维护物理基础设施的工程师提供了实践指导。
当前,网络安全发展在数字化转型加速的倒逼下,由外挂式向内置、内嵌、内生的转变,或者说由使用侧向制造侧的转变,已成行业共识。无论是设计安全和默认安全的思想,网络知情工程(CIE)的思想,还是系统安全工程的思想,都将安全风险和责任前置或推向设计侧和制造侧,以期数字基础设施在设计之初就具备相应的安全措施或能力。OT网络安全威胁的应对,尤其如此。CIE/CCE倡导的“工程第一”思维,即安全性视为工程系统的核心要求而不是附加功能,可以保证系统获得增强的网络弹性。CIE/CCE连同网络弹性工程,构成了OT网络安全中解决问题的方法、路径、目标的闭环,值得我们学习消化、吸收借鉴,持续探索和实践。