GE首席信息安全官談IIoT保護

Michael+Nadeau

編譯 Charles

制造業巨頭GE對工業物聯網（IIoT）安全進行了整體分析，以整合企業和產品安全。首席信息安全官Nasrin Rezai解釋了為什么這很重要，以及怎樣做。

圍繞網絡安全的討論大多集中在企業IT的角色上，它怎樣才能很好地保護企業和客戶數據。然而，制造業和工業領域的企業必須采取更廣泛的安全措施——因為其產品和設備都連接了互聯網。隨著工業物聯網（IIoT）的不斷發展，制造業產品和資產成為網絡攻擊的潛在目標。

面臨的挑戰是怎樣讓企業IT部門和業務部門聯合起來共同執行統一的安全戰略。GE便遇到了這樣的挑戰。作為制造業巨頭，公司還銷售技術來幫助其他制造商安全運營。GE稱之為工業互聯網平臺的Predix是這類產品的核心。

CSO在線最近與GE全球首席信息和產品網絡安全官Nasrin Rezai討論了該公司解決IIoT安全挑戰所做的一些工作，以及她對工業領域網絡安全狀態的看法。Rezai負責GE九個業務部門的產品和企業網絡安全。她于兩年半前加入GE，成為GE Capital的首席信息安全官。在此之前，她曾在硅谷的惠普和思科系統工作，她還擔任過國家銀行的首席技術風險官員。

從業務角度看，您是怎樣同時履行好產品和企業安全角色的？

Rezai：首席信息安全官長期以來的主要工作是集中在企業方面。我們知道，網絡事件會涉及到硬件，也與軟件相關，這是不可避免的。2015年，發生的幾件事更增強了我們的看法，即，IT和OT [運營技術]的融合促使首席信息安全官、首席信息官和董事會不僅要考慮IT業務的網絡安全問題，而要考慮所有產品的網絡安全，因為任何因素都有可能使企業暴露在網絡攻擊之下。

例如，對[域名注冊] Dyn發起攻擊。數百臺攝像機被用于向多家小型和大型云提供商發起DDoS [分布式拒絕服務]攻擊。誰會想到一臺簡單的攝像機能夠參與網絡攻擊？從企業責任的角度來看，現在的首席信息安全官的職責范圍更加廣泛了。

我把工業領域分成三個部分。第一個是我所說的OT安全。如果您從事的是離散制造，例如，制造飛機引擎或者零件，煉油廠或者水凈化廠這樣的加工制造業，那么這些制造場地的空間會非常大。它們是高度隔離的，也不支持網絡。即使是所使用的硬編碼證書或者HMI [人機界面]和PLC [可編程邏輯控制器]有漏洞，也問題不大，因為這是一個非常受控的環境。對于很多行業，現在已經成為一個問題，因為很多很多IT已經被合并到OT管理中。

第二個問題是消費類設備進入到企業中。這些設備會參與到大規模DDoS攻擊中，最終對企業造成影響。把這些因素放到一起，很多首席信息安全官、首席信息官和董事會問，“怎樣從整體上考慮這些問題？”這不再僅僅是保護企業，而是保護整個企業的資產。

這不一定要求改變產品和企業網絡安全之間的組織結構。相反，它是把風險管理策略結合在一起——知道關鍵資產，知道參考架構，進行風險評估，圍繞這些風險評估建立控制元素，面對風險態勢建立信心，使領導團隊有信心處理好這些攻擊。

最后，在要結束的時候，做好準備。如果您進行網絡演習，會有制造人員參加嗎？是否每個人都知道，如果出現了影響生產的泄露事件，有需要對員工進行IT教育的安全舉措嗎？反之如何？在我們的舉措和流程中應充分考慮好OT安全，這是非常關鍵的。

您是如何與產品部門合作的？

Rezai：我會討論員工、流程、策略和部門。我向公司業務部門的IT和公司的首席技術官匯報，他們制定了產品戰略和發展方向。每一個業務部門的產品安全負責人都有責任確保我們圍繞產品和實施計劃而制定的網絡策略——我們每年制定的保護我們產品的目標能夠得到貫徹執行。

我也有專門的領導，他的工作是針對保護措施建立風險管理流程。我會定期向董事會匯報。我們通過在部門內部進行整合，通過與產品安全措施非常出色的業務部門合作，完成了一些工作。他們反過來也會與每個部門的產品經理合作，確保產品網絡安全是公司優先考慮的工作。我們通過公司的持續審查來進行管理。

那么，安全是產品生命周期中不可分割的部分，而不是以后添加的東西？

Rezai：是的。網絡安全是我們最大的風險之一。我們對此非常重視，我們認為，作為IIoT領導者，這是我們的競爭優勢。我們能夠圍繞資產績效管理、服務管理和全生命周期來優化產業。我們帶給IIoT的是，我們的客戶能夠使用他們的數據，結合自己的應用程序或者平臺，以新方式來優化生產效率。

在我們的工業客戶中，就有一些這樣的模型得以應用。例如，他們把應用程序所使用的所有數據都放到我們的Predix平臺上。還有的則采用了混合模型。例如，他們可以在企業的邊界和云中的某些地方進行邊緣處理。保護好信息，在堆棧所有層上都要有網絡安全措施，這一概念是戰略性的，也是我們的競爭優勢。我們投入了大量的精力和資金，以確保這些信任和認證服務符合客戶需求，這樣他們就可以在我們的平臺（Predix）之上構建他們的關鍵功能。

在實現這一愿景方面，您面臨的最大挑戰是什么？

Rezai：讓我們回到OT安全上——做好制造安全工作，以及消費類設備的引入。我作為一名從業者，面臨的挑戰是要了解我們的總體布局。了解環境中的資產，了解我們所面臨的風險，并能夠在事件發生時按照程序對其進行監視和防御，作出響應。

就像其他很多行業和大型企業一樣，GE面臨的挑戰是非常、非常大的總體布局。機會在于良好的風險管理舉措，優先考慮我們的要求，并在模型中有良好的防御措施，在這個模型中，您依靠多個控制點來保護自己免受攻擊。在IIoT方面，我們進行了大量的投入，采用Predix來構建安全的端到端平臺，并在Predix上開發應用程序。

出現泄露事件時，業界總體上應采取什么措施來更好地應對？endprint

Rezai：最好的做法是知道自己的弱點。針對您的環境建立“藍軍”，扮成威脅演員，對相同的控制點發起攻擊，以了解弱點。讓藍軍參與到演習中，把人的因素帶入到流程中。

對于大部分企業，安全事故和泄露事件是現實，是實際生活。最終，成功解決了這些問題的企業能夠更好、更快地響應客戶群。如果您對此非常重視，客戶能理解您并與您合作，知道您已經盡力來了解所有的弱點和舉措，制定了計劃來解決問題。

首席信息安全官們一個常見的做法是彼此共享情報，我認為這是關鍵。技術在不斷變化，威脅入侵者現在有很多方法進入企業。真正了解這些威脅入侵者，知道他們的方法和程序，模擬這些方法和程序，讓合適的人擔任合適的角色，他們知道如何進行應對，這些因素是首席信息安全官和企業領導成功的關鍵。

與企業方面相比，OT威脅情報的共享是怎樣的？

Rezai：這方面越來越好了。如果從戰術和運營上比較威脅情報的成熟度，我們在企業方面更好一些。例如，在企業方面有成熟的研究措施和流程，在物聯網方面也越來越好。

我還是作為一名從業者來談一談，由于OT的特性，有很多東西需要結合在一起才能實現工業協議的檢測和保護。業界仍然缺乏OT環境下的網絡和掃描能力。如果OT和IT管理人員還在說“這些不是我管理的設備，這些是我管理的設備，這些是我的補丁”，那這仍然是問題。

有時您有很老的產品，使用了很長時間，它們還在很好地工作。制造業的很多目標和目的不過是為了盡可能地發揮這些設備的功能。現在的挑戰是它們連接了IT網絡，面臨的威脅更大了。

有一些正在變得越來越成熟。更好的做法是結合起來，而我很有信心，因為我看到很多年輕的創新技術人員參與到OT領域中來。在GE，我們致力于OT風險管理舉措，以不斷優化制造保護、檢測和響應能力。

其次，從行業領導的角度來看，GE認為網絡安全是一種競爭優勢，也是工業物聯網領導必須具備的。我們的數字工業應用，例如APM和ServiceMax，結合Predix平臺后，使客戶能夠利用他們基于工業資產的信息，進一步優化其服務生命周期管理。這些端到端的模型也應是安全的。

從情報共享和創新方式上，一些公司正在努力解決這一問題。解決之道是風險管理，首席信息安全官、首席信息官以及制造主管一起協作，將其提到公司議程日程上。這樣才能全面改進網絡安全。

是什么讓您對工業領域網絡安全的未來非常樂觀？

Rezai：首先，我在同行那里看到，IT/OT正在融合，不僅僅是在現實中，而且也是在戰略層面上。我們也是如此，將其看成是企業層面的問題。我之所以很樂觀，是因為當我們從戰略層面上開展工作時，我們會找到解決方案。

其次，我認為OT領域的創新將彌補網絡可視化、資產管理、漏洞管理和威脅情報共享等方面的一些差距，而我們過去并沒有這樣做過。

在工業網絡安全環境中，您最擔心的是什么？

Rezai：最讓我擔心的也是首先信息安全官們最擔心的。我們是否完全覆蓋并了解我們的總體布局？我們知道我們所有的風險所在嗎？我們知道要面臨的所有挑戰嗎？我們是否能夠清楚的了解我們周圍的政治和監管動態？

我們是否在措施中有一套合適的自動化功能，這樣當我們擴大規模時，我們的響應過程可以隨著時間的推移而縮短嗎？ 員工們準備好了嗎？員工們能坦然面對危機時刻嗎？他們會有怎樣的反應？我們是否教育過領導怎樣應對挑戰？這些都是我最擔心的事情。針對我們正在做的工作，我不斷地對照檢查，確定哪些要優先考慮，并重新排序，進行溝通。工作是一種樂趣，但有時也很傷腦筋。

Michael Nadeau是CSO在線的高級編輯。他是雜志、書籍和知識庫出版商和編輯，幫助企業充分發揮其ERP系統的優勢。

原文網址：

http：//www.csoonline.com/article/3229514/internet-of-things/how-to-secure-the-industrial-iot-a-qa-with-ges-ciso.html15-16endprint