E安全5月26日訊 20世紀70年代初期，世界上第一款計算機病毒 Creeper 浮出水面。過去50年間，網路威脅愈演愈烈，黑客變得更加老練的同時，原本隔離工業控制系統（ICS）逐漸聯網並暴露在網路攻擊之中。

雖然此類工業系統中包含安全功能和培訓協議，但工控系統安全管理解決方案提供商 PAS 公司的創始人兼首席執行官埃迪·哈比比表示，連接性加強也就意味著網路安全必須引起足夠的重視。

本文源自E安全

工業類企業可通過五種方式提高網路威脅意識，以便更好地保護員工、客戶及數據。

1.使網路安全成為「第二天性」

企業必須優先考慮兩大網路安全方向：工業系統和企業系統的網路安全。哈比比表示，將網路安全融入企業文化至關重要，其中最重要的是開展網路意識培訓。例如，美國知名的私人能源公司 Consolidated Edison 就在企業內部創建了專門的安全團隊，其成員包括美國執法機構的前僱員。

2.「自上而下」很重要

新舉措和培訓往往由企業的人力資源部或專門的團隊推出，這可能會導致指令太過抽象或缺乏情景。有效提高網路培訓需要企業領導層的高度關注。網路意識培訓需要從董事會開始，例如，企業首席執行官（CEO）有必要提出舉措，要求首席信息官（CIO）和首席信息安全官（CISO）接受這種想法，這將有助於推動網路意識培訓和文化變革。

3.提防陌生危險

到目前為止，仍有相當一部分行業人認為一般的網路安全建議不足以引起重視，尤其不足以引起管理層的重視，但往往是常見的網路攻擊方式帶來了嚴重的後果。比如，網路釣魚電子郵件活動變得越來越複雜，對特定目標發送具有針對性的電子郵件有助於誘騙目標上鉤。且多數案例說明，仍有眾多專業人士被誘騙點擊網路釣魚電子郵件。

同樣的邏輯適用於諸如 U 盤之類的移動媒體設備，如若撿到來路不明的 U 盤，切記不可插入自己的電腦。

四年前，美國國土安全部（DHS）發出警告，指出針對能源控制系統的惡意軟體部署方式包括搜索網路連接的文件共享和可刪除媒介，以便在受影響的環境中橫向移動。

Consolidated Edison 等公司會標記來自外部的電子郵件，網路釣魚是攻擊者慣用的策略，打標記有助於提醒員工提高警惕。

4.持續開展安全活動

建議採用其它策略提高這類企業的網路安全性，例如舉行會議時強調網路安全。例如，北美電力可靠性公司（NERC）一直在開展持續的培訓，其電力信息共享和分析中心（E-ISAC）就提供行業教育和培訓機會，包括每月一次的行業與政府安全專家網路研討會。

5.多參加網路安全演習

參加網路安全演習有助於提高網路安全響應能力。就北美地區而言，NERC 每兩年都會舉辦 GridEx 網路演習，這樣的模擬攻擊演習可讓參與公共事業公司執行網路響應計劃，加強組織機構與個人之間的聯繫，並確定有待改進的空間。除此之外，NERC 每年還會舉辦能源安全會議 GridSecCon。2017年，北美地區有400個組織機構，6000多人參與了 GridEx IV 演習，相比前幾年，參與人數正逐漸增多。

註：本文由E安全編譯報道,轉載請註明原文地址

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！