Michael+Nadeau

编译 Charles

制造业巨头GE对工业物联网（IIoT）安全进行了整体分析，以整合企业和产品安全。首席信息安全官Nasrin Rezai解释了为什么这很重要，以及怎样做。

围绕网络安全的讨论大多集中在企业IT的角色上，它怎样才能很好地保护企业和客户数据。然而，制造业和工业领域的企业必须采取更广泛的安全措施——因为其产品和设备都连接了互联网。随着工业物联网（IIoT）的不断发展，制造业产品和资产成为网络攻击的潜在目标。

面临的挑战是怎样让企业IT部门和业务部门联合起来共同执行统一的安全战略。GE便遇到了这样的挑战。作为制造业巨头，公司还销售技术来帮助其他制造商安全运营。GE称之为工业互联网平台的Predix是这类产品的核心。

CSO在线最近与GE全球首席信息和产品网络安全官Nasrin Rezai讨论了该公司解决IIoT安全挑战所做的一些工作，以及她对工业领域网络安全状态的看法。Rezai负责GE九个业务部门的产品和企业网络安全。她于两年半前加入GE，成为GE Capital的首席信息安全官。在此之前，她曾在硅谷的惠普和思科系统工作，她还担任过国家银行的首席技术风险官员。

从业务角度看，您是怎样同时履行好产品和企业安全角色的？

Rezai：首席信息安全官长期以来的主要工作是集中在企业方面。我们知道，网络事件会涉及到硬件，也与软件相关，这是不可避免的。2015年，发生的几件事更增强了我们的看法，即，IT和OT [运营技术]的融合促使首席信息安全官、首席信息官和董事会不仅要考虑IT业务的网络安全问题，而要考虑所有产品的网络安全，因为任何因素都有可能使企业暴露在网络攻击之下。

例如，对[域名注册] Dyn发起攻击。数百台摄像机被用于向多家小型和大型云提供商发起DDoS [分布式拒绝服务]攻击。谁会想到一台简单的摄像机能够参与网络攻击？从企业责任的角度来看，现在的首席信息安全官的职责范围更加广泛了。

我把工业领域分成三个部分。第一个是我所说的OT安全。如果您从事的是离散制造，例如，制造飞机引擎或者零件，炼油厂或者水净化厂这样的加工制造业，那么这些制造场地的空间会非常大。它们是高度隔离的，也不支持网络。即使是所使用的硬编码证书或者HMI [人机界面]和PLC [可编程逻辑控制器]有漏洞，也问题不大，因为这是一个非常受控的环境。对于很多行业，现在已经成为一个问题，因为很多很多IT已经被合并到OT管理中。

第二个问题是消费类设备进入到企业中。这些设备会参与到大规模DDoS攻击中，最终对企业造成影响。把这些因素放到一起，很多首席信息安全官、首席信息官和董事会问，“怎样从整体上考虑这些问题？”这不再仅仅是保护企业，而是保护整个企业的资产。

这不一定要求改变产品和企业网络安全之间的组织结构。相反，它是把风险管理策略结合在一起——知道关键资产，知道参考架构，进行风险评估，围绕这些风险评估建立控制元素，面对风险态势建立信心，使领导团队有信心处理好这些攻击。

最后，在要结束的时候，做好准备。如果您进行网络演习，会有制造人员参加吗？是否每个人都知道，如果出现了影响生产的泄露事件，有需要对员工进行IT教育的安全举措吗？反之如何？在我们的举措和流程中应充分考虑好OT安全，这是非常关键的。

您是如何与产品部门合作的？

Rezai：我会讨论员工、流程、策略和部门。我向公司业务部门的IT和公司的首席技术官汇报，他们制定了产品战略和发展方向。每一个业务部门的产品安全负责人都有责任确保我们围绕产品和实施计划而制定的网络策略——我们每年制定的保护我们产品的目标能够得到贯彻执行。

我也有专门的领导，他的工作是针对保护措施建立风险管理流程。我会定期向董事会汇报。我们通过在部门内部进行整合，通过与产品安全措施非常出色的业务部门合作，完成了一些工作。他们反过来也会与每个部门的产品经理合作，确保产品网络安全是公司优先考虑的工作。我们通过公司的持续审查來进行管理。

那么，安全是产品生命周期中不可分割的部分，而不是以后添加的东西？

Rezai：是的。网络安全是我们最大的风险之一。我们对此非常重视，我们认为，作为IIoT领导者，这是我们的竞争优势。我们能够围绕资产绩效管理、服务管理和全生命周期来优化产业。我们带给IIoT的是，我们的客户能够使用他们的数据，结合自己的应用程序或者平台，以新方式来优化生产效率。

在我们的工业客户中，就有一些这样的模型得以应用。例如，他们把应用程序所使用的所有数据都放到我们的Predix平台上。还有的则采用了混合模型。例如，他们可以在企业的边界和云中的某些地方进行边缘处理。保护好信息，在堆栈所有层上都要有网络安全措施，这一概念是战略性的，也是我们的竞争优势。我们投入了大量的精力和资金，以确保这些信任和认证服务符合客户需求，这样他们就可以在我们的平台（Predix）之上构建他们的关键功能。

在实现这一愿景方面，您面临的最大挑战是什么？

Rezai：让我们回到OT安全上——做好制造安全工作，以及消费类设备的引入。我作为一名从业者，面临的挑战是要了解我们的总体布局。了解环境中的资产，了解我们所面临的风险，并能够在事件发生时按照程序对其进行监视和防御，作出响应。

就像其他很多行业和大型企业一样，GE面临的挑战是非常、非常大的总体布局。机会在于良好的风险管理举措，优先考虑我们的要求，并在模型中有良好的防御措施，在这个模型中，您依靠多个控制点来保护自己免受攻击。在IIoT方面，我们进行了大量的投入，采用Predix来构建安全的端到端平台，并在Predix上开发应用程序。

出现泄露事件时，业界总体上应采取什么措施来更好地应对？endprint

Rezai：最好的做法是知道自己的弱点。针对您的环境建立“蓝军”，扮成威胁演员，对相同的控制点发起攻击，以了解弱点。让蓝军参与到演习中，把人的因素带入到流程中。

对于大部分企业，安全事故和泄露事件是现实，是实际生活。最终，成功解决了这些问题的企业能够更好、更快地响应客户群。如果您对此非常重视，客户能理解您并与您合作，知道您已经尽力来了解所有的弱点和举措，制定了计划来解决问题。

首席信息安全官们一个常见的做法是彼此共享情报，我认为这是关键。技术在不断变化，威胁入侵者现在有很多方法进入企业。真正了解这些威胁入侵者，知道他们的方法和程序，模拟这些方法和程序，让合适的人担任合适的角色，他们知道如何进行应对，这些因素是首席信息安全官和企业领导成功的关键。

与企业方面相比，OT威胁情报的共享是怎样的？

Rezai：这方面越来越好了。如果从战术和运营上比较威胁情报的成熟度，我们在企业方面更好一些。例如，在企业方面有成熟的研究措施和流程，在物联网方面也越来越好。

我还是作为一名从业者来谈一谈，由于OT的特性，有很多东西需要结合在一起才能实现工业协议的检测和保护。业界仍然缺乏OT环境下的网络和扫描能力。如果OT和IT管理人员还在说“这些不是我管理的设备，这些是我管理的设备，这些是我的补丁”，那这仍然是问题。

有時您有很老的产品，使用了很长时间，它们还在很好地工作。制造业的很多目标和目的不过是为了尽可能地发挥这些设备的功能。现在的挑战是它们连接了IT网络，面临的威胁更大了。

有一些正在变得越来越成熟。更好的做法是结合起来，而我很有信心，因为我看到很多年轻的创新技术人员参与到OT领域中来。在GE，我们致力于OT风险管理举措，以不断优化制造保护、检测和响应能力。

其次，从行业领导的角度来看，GE认为网络安全是一种竞争优势，也是工业物联网领导必须具备的。我们的数字工业应用，例如APM和ServiceMax，结合Predix平台后，使客户能够利用他们基于工业资产的信息，进一步优化其服务生命周期管理。这些端到端的模型也应是安全的。

从情报共享和创新方式上，一些公司正在努力解决这一问题。解决之道是风险管理，首席信息安全官、首席信息官以及制造主管一起协作，将其提到公司议程日程上。这样才能全面改进网络安全。

是什么让您对工业领域网络安全的未来非常乐观？

Rezai：首先，我在同行那里看到，IT/OT正在融合，不仅仅是在现实中，而且也是在战略层面上。我们也是如此，将其看成是企业层面的问题。我之所以很乐观，是因为当我们从战略层面上开展工作时，我们会找到解决方案。

其次，我认为OT领域的创新将弥补网络可视化、资产管理、漏洞管理和威胁情报共享等方面的一些差距，而我们过去并没有这样做过。

在工业网络安全环境中，您最担心的是什么？

Rezai：最让我担心的也是首先信息安全官们最担心的。我们是否完全覆盖并了解我们的总体布局？我们知道我们所有的风险所在吗？我们知道要面临的所有挑战吗？我们是否能够清楚的了解我们周围的政治和监管动态？

我们是否在措施中有一套合适的自动化功能，这样当我们扩大规模时，我们的响应过程可以随着时间的推移而缩短吗？ 员工们准备好了吗？员工们能坦然面对危机时刻吗？他们会有怎样的反应？我们是否教育过领导怎样应对挑战？这些都是我最担心的事情。针对我们正在做的工作，我不断地对照检查，确定哪些要优先考虑，并重新排序，进行沟通。工作是一种乐趣，但有时也很伤脑筋。

Michael Nadeau是CSO在线的高级编辑。他是杂志、书籍和知识库出版商和编辑，帮助企业充分发挥其ERP系统的优势。

原文网址：

http：//www.csoonline.com/article/3229514/internet-of-things/how-to-secure-the-industrial-iot-a-qa-with-ges-ciso.html15-16endprint