ICS网络安全培训:抵御对抗性攻击的有效手段之一
勒索软件攻击、硬件漏洞和供应链入侵的持续冲击,以及网络战的新维度,导致需要在工业控制系统(ICS)和关键基础设施中采用更强大的安全措施和更大的运营弹性部门。应对不断变化的网络安全形势的方法之一是通过开展涵盖不同技能水平的ICS网络安全培训课程来发展和加强网络安全员工的技能,以更好地保护ICS 和关键基础设施资产。Industrial Cyber联系了ICS网络安全培训领域的专家,评估此次美国参众两院关于ICS安全培训立法行动的反响,包括此类立法措施对加强关键基础设施领域普遍存在的网络安全态势的影响。专家认为,立法推动是积极的举措,但其成效短期内恐难看到,监管者、运营者,服务供给方都必须着眼于长期效应并超越合规要求。
ICS网络安全培训可以通过各种机构提供的课程和培训计划获得,包括网络安全和基础设施安全局 (CISA)、SANS研究所和ISA(国际自动化学会)。此外,还引入了立法措施,例如“工业控制系统网络安全培训法”,旨在修订2002年授权 CISA建立ICS网络安全培训计划的国土安全法。另一个例子是美国两党的“供应链安全培训法”,它将帮助为联邦官员制定供应链安全培训计划。
ICS网络安全培训背后的根本目的是创建一个生态系统,提供相关培训和技能,保护电网和水处理设施等关键基础设施部门免受网络安全威胁和攻击。建立解决系统性弱点的可持续运营弹性,包括对对手和民族国家攻击者采用的新方法和技术的培训,将帮助资产所有者和运营商避免对抗性攻击。网络安全技能不能一蹴而就——它们必须随着时间的推移不断地得到改进和更新,并具有适当的曝光和相关经验。
CISA通过以ICS 为重点的网络演习设计、开发和执行来支持网络准备和弹性改进。该安全机构提供一系列练习类型,从桌面演飞讨论到全面的国家级练习,包括ICS安全基础知识的ICS培训能力,以及可供学习者使用的高级在线和课堂培训。它还提供区域课程和研讨会,以及为期五天的定期实践高级培训活动。
此外,通过CISA管理的教育计划将致力于保持企业运营和基础设施免受外国网络威胁。它还将扩大美国不同地区的女性和代表性不足的人群获得ICS教育和培训的机会。网络安全培训有助于在面临可能的安全问题时培养关键能力,同时提高员工识别和应对潜在网络威胁的能力。
ISA提供全面的工业网络安全证书的编程和培训课程。这些计划涵盖工业自动化和控制系统(IACS)评估、设计、实施、运营和维护的整个生命周期。每个证书课程和培训课程都基于基于ISA/IEC 62443共识的自动化网络安全标准系列。
SANS研究所还举办ICS网络安全培训课程。此外,它还运行多个计划,以吸引更多人才进入网络安全领域,并赋予这些人进入人才市场和完成相关任务所需的动手网络安全技能和知识。
ICS网络安全培训法案的立法推动将授权CISA开展培训,以发展和加强与保护 ICS相关的网络安全员工的技能。通过允许CISA开展培训,技能提升和再培训员工的可用性将使雇主能够带来更大的运营网络安全。该法案还将致力于教育全国的信息技术 (IT) 专业人员如何最好地防止对计算机网络安全系统的攻击。
Industrial Cyber联系了ICS网络安全培训领域的专家,评估此次立法行动的反响,包括此类立法措施对加强关键基础设施领域普遍存在的网络安全态势的影响。
ThreatGEN创始人、总裁兼首席执行官Clint Bodungen告诉ndustrial Cyber,“不幸的是,影响很小。CISA已经提供免费的工业网络安全培训。虽然这确实为负担不起的组织提供了有偿(而且通常是昂贵的)培训的替代方案,但它缺乏培训足够多的运营商、资产所有者和利益相关者以产生真正影响的能力,”他补充道。
Bodungen进一步指出,班级人数有限,总是有等候名单,而且预定的班级人数稀少。“该指令还应该提供哪些尚未到位的内容?如果是更多的资金,我怀疑是否有足够的资金来增加班级规模和频率以产生很大的影响,”他补充道。
“虽然我对CISA 的努力表示赞赏,但即使有资金,他们也无法独自做更多的事情,他们还没有尝试去做,”Boduungen说。他补充说:“这项法案只不过是一个消息不灵的政客,试图解决我们几十年来一直试图解决的问题,但没有做任何不同的事情。”
Applied Risk的创始人兼首席执行官Jalal Bouhdada诉Industrial Cyber:“人为因素的人一直是网络安全中最薄弱的。” “该法案肯定会提高负责CI 的专业人员的技能和知识。此外,这一举措可能是一个很好的机会,可以加强许多组织的网络安全,并解决行业所遭受的日益严重的技能短缺问题,”他补充道。
ICS网络安全培训法案要求向参与者免费提供虚拟和面对面培训和课程。它还涵盖了不同技能水平的培训和课程,包括入门级课程。此外,它还提供涵盖ICS网络防御策略的培训和课程,包括了解ICS面临的独特网络威胁和缓解ICS技术中的安全漏洞,并适当考虑美国不同地区的培训和课程的可用性
该立法还要求与能源部的国家实验室合作,并与部门风险管理机构(SRMA)协商。此外,它还呼吁与具有相关专业知识的私营部门实体进行磋商,例如ICS技术供应商。
Bodungen评估关键基础设施部门在当前的威胁环境中满足ICS网络安全培训法案的要求的可实现性,并进一步削弱了网络战和地缘政治问题,Bodungen 说:“据我所知(我只读过什么是可用的,似乎并不多),对运营商和资产所有者没有要求。这些要求适用于CISA和政府。它们也非常广泛和模棱两可,”他补充说。
从表面上看,“他们很容易在表面上满足概述的要求,因为没有任何细节,而且他们已经接受过培训,”Bodungen 说。“从技术上讲,他们可以扩展他们所拥有的并称之为‘成功’。然而,要创造真正的成功并真正改变法案的实际‘精神’是另一回事,”他补充说。
“国会最近为加强工业网络安全而采取的所有‘姿态’都不过是戏剧性的,”Bodungen说。“这些法案、法律、标准、法规等都不会在 90 天、100 天或一年内完成我们作为一个行业几十年来一直在努力做的事情。我们正在取得进展,但任何政府法律法规(甚至资金)都无法加快这一进程。真正的改变和进步必须来自社区和行业,而不是政府,”他补充说。
Bouhdada说,所有这些驱动因素都是相关的,当然,挑战将在执行中,因为随着威胁形势的迅速变化,培训和教育应该是一个持续的过程。“当然,可用性或预算和资源是满足这些要求需要解决的关键要素,”他补充说。
评估ICS网络安全培训法案等举措是否能够跟上包括勒索软件组织在内的快速发展的威胁形势,Bodungen说:“没有任何培训能达到这一目标,我认为这不是该法案的目的。创建具有准确和有价值信息的课程(甚至只是更新课程)、开发内容、对其进行质量测试并正确呈现它需要大量的努力和资源,”他补充道。
Bodungen说,威胁形势的发展速度比任何人都无法开发出合适的课程甚至是劣质课程的速度要快得多。“培训并不意味着跟上最新的威胁。培训旨在为人们提供知识、技能和资源,以了解如何自己跟上威胁形势。所以我想答案是……直接,不。间接地,是的,但在大多数情况下并不孤单。没有单一的培训来源可以为任何人提供他们需要的一切。这需要一个村庄、一个社区和一个行业……共同努力,”他补充道。
“培训应该始终是防御战略的一部分,尤其是在ICS网络安全方面。行业需要训练有素且合格的专业人员,他们能够应对不断变化的威胁形势,”Bouhdada说。这应该超越安全意识,并专注于事件响应、攻击能力和实践经验。
确定ICS网络安全培训法案是否存在任何缺陷,Bouhdada表示,总的来说,这是一项积极的举措,只要它能够着眼于长期并超越合规要求。“它应该具有包容性,关注整个社区(不仅是系统所有者/运营商),还包括供应商和系统集成商。就像任何新法案一样,只有时间才能证明是否存在任何差距或不足,”他总结道。
原文链接:
https://industrialcyber.co/ics-cyber-security-training/ics-cybersecurity-training-can-help-fight-off-adversarial-attacks-in-evolving-threat-landscape/
