确保关键基础设施领域IT和OT技术安全的必要性
关键基础设施的基础知识
正如CISA所解释的那样,“有16个关键基础设施部门,其资产、系统和网络,无论是实体的还是虚拟的,都被认为对美国至关重要,其瘫痪或毁坏将对安全、国家经济安全、国家公共卫生或安全,或任何上述方面的组合产生破坏性影响”。这些部门的清单如下:
Chemical Sector 化工行业
Commercial Facilities Sector 商业设施
Communications Sector 通信
Critical Manufacturing Sector 关键制造
Dams Sector 水坝
Defense Industrial Base Sector 国防工业基础
Emergency Services Sector 应急服务
Energy Sector 能源
Financial Services Sector 金融服务
Food and Agriculture Sector 食品与农业
Government Facilities Sector 政府设施
Healthcare and Public Health Sector 医疗保健和公共卫生
Information Technology Sector 信息技术
Nuclear Reactors, Materials, and Waste Sector 核反应堆、材料和废料
Transportation Systems Sector 运输系统
Water and Wastewater Systems 供水和废水系统
要了解这些部门有多重要,一种方法是将它们与美国的GDP数据进行叠加。美国GDP中超过50%的行业,如金融、制造、医疗保健、建筑、运输和仓储、公用事业、采矿和农业等,都被认为对国家的生存至关重要。可以说,关键基础设施部门是美国得以确保其作为一个国家存在并保持其作为全球经济大国领导地位的根本手段。
来源: https://axiomalpha.com/us-gdp-by-industry/
OT基础知识
每当我们听到“网络安全”这个词时,通常会认为讨论的是信息技术(IT)或用于处理和管理信息的计算机的安全问题。虽然这是一个合理的假设,而且绝大多数安全团队确实都在关注信息技术基础设施的安全,但还有另一个重要的问题领域需要我们关注。
我说的是OT,即操作技术(运营技术),用来描述负责管理工业操作的硬件和机械。我们在讨论OT时经常使用的另一个缩写是ICS或工业控制系统。工业控制系统是OT的一个子集,用于描述各种系统、设备、网络和控制,这些系统、设备、网络和控制用于操作电厂、水厂、工厂和数据中心等工业流程。以下是一些工业控制系统的示例。
来源:https://blog.ivesequipment.com/2018/01/what-are-industrial-control-systems.html
关键基础设施部门严重依赖运营技术(OT)。从安装在核反应堆上的水泵和传感器,到列车自动监控系统、紫外线检测仪、心脏起搏器和医疗实验室设备,所有这些技术都对我们的生活至关重要,需要确保安全。
过去,IT网络和OT设备并不相连:各自由不同的团队管理,用于实现不同的目标,并通过独立的网络进行通信。时至今日,情况发生了变化。OT设备越来越多地与IT网络连接,软件被用来收集OT系统的数据、监控和改进其运行,IT和OT团队有望携手合作,共同推动必要的成果。IT和OT之间日益紧密的相互联系被称为IT/OT融合,这也是确保关键基础设施安全意味着同时确保关键基础设施部门的IT和OT技术安全的主要原因之一。
关键基础设施安全和公众意识
如今,在美国很难找到一个从事网络安全工作的人不谈论确保国家关键基础设施安全的重要性。然而,这种认知是最近才出现的。
2010年,Stuxnet事件公开后,SCADA系统和操作技术的各种组件极易受到网络攻击的影响已不再是秘密。然而,这种威胁似乎离我们太遥远,在2015年之前,大多数关于关键基础设施安全的讨论都显得有些理论化。2015年12月23日,乌克兰电网遭到国家支持的黑客攻击,这一情况发生了改变,全世界都认识到了确保OT/ICS系统安全的重要性。乌克兰西部地区近23万人不得不忍受长达6小时的停电。仅仅一年后,2016年12月17日,乌克兰首都基辅郊外的变电站遭到网络攻击,切断了该市五分之一的电力供应。2015-2016年的攻击之后,又发生了2017年的NotPetya勒索软件攻击,被白宫称为"史上最具破坏性、代价最高的网络攻击"。据估计,2017年的攻击在全球造成的总损失近100亿美元。
虽然个别公司购买OT安全解决方案已有多年历史,但OT安全作为一个市场直到2018年才开始兴起。这与勒索软件和以造成破坏和毁灭为重点的攻击的兴起不谋而合,这让资产所有者和负责保护关键基础设施安全的监管机构感到不安。由于犯罪化的威胁活动不再被视为政府应该解决的问题,大量创始人和投资者决定抓住这一机遇。大约在2018年,当入侵检测的理念出现在OT安全领域时,风险投资人兴奋不已,因为OT安全终于开始变得与其他SaaS相似,具有按席位许可、可预测的增长和扩展能力。风险投资为OT安全厂商的崛起推波助澜,使初创公司得以将资金投入市场营销,并开始宣传确保运行技术安全的重要性。
虽然与国家有关的行为体对乌克兰基础设施的攻击规模和强度令人震惊,但可以理解的是,普通美国人并不太关心远在大洋彼岸的某个地方发生了什么。真正敲响美国警钟的是2021年5月7日,主要向美国东南部输送汽油和航空燃油的美国石油管道Colonial Pipeline发生安全事件,被迫停止所有管道运营。这次袭击造成美国燃料短缺,迫使美国总统宣布进入紧急状态。
一年多前发生的另一起最新技术问题表明,当一个关键系统出现故障时会发生什么。2023年1月11日对美国航空业来说是充满挑战的一天:由于联邦航空局系统故障,1300多个航班被取消,近10,000个航班延误。虽然根据调查,这次故障并非由安全漏洞引起,但这一事件表明,一个系统的瘫痪可以导致全国的交通中断。
对乌克兰电网的攻击表明,当一个国家决定攻击另一个国家的关键基础设施时,可能会造成巨大的破坏。另一方面,对Colonial Pipeline的勒索软件攻击表明,出于经济动机的行为者也可以对经济造成严重破坏,并使社会陷入混乱和恐慌。如今,国家不断受到威胁已不再是秘密。公众现在已经意识到这些事态发展,人们要求政府对这些风险采取一些措施。
OT安全市场的严峻现实
确保关键基础设施的安全意味着确保关键基础设施部门的IT和OT技术的安全。过去几十年来,我们在IT安全领域取得了长足的进步。虽然一般企业的安全成熟度仍处于低度和中度之间,而且我们已经习惯了每天都能看到新的安全事件,但我们必须认可已经完成的工作和已经达到的里程碑。例如:
尽管拥有更多的初创公司并不会自动带来更好的安全性,而且工具的激增会导致人们乞求市场整合,但事实上,买家在寻找安全产品时有很多选择。有数以千计的各类安全厂商愿意并能够帮助解决企业所面临的不同问题;
虽然拥有众多安全课程、认证、会议、活动和网络研讨会并不意味着学习安全知识就很容易,但事实上,安全从业人员在寻找提升知识水平的方法时,有很多选择。有数以百计的短期课程和学位课程、在线实验室和CTF竞赛等等;
虽然仅仅有更多的人加入这个行业并不一定能解决我们的问题,但事实是,成千上万有抱负的安全从业人员都在专注于发展自己的技能,提高设计可靠防御措施的能力,并在这个领域发展自己的事业;
尽管简单地将资金注入安全初创企业,无论它们是否解决了重要问题,都不一定会让我们更安全,但事实是,我们已经获得了大量资金用于研发和构建创新的安全解决方案。
换句话说,尽管我们可能仍在努力确保IT网络的安全,但我们不得不承认,我们已经有很多人在努力推动行业的发展。
而OT安全则不然。特别是:
很少有公司为OT安全分配预算;
很少有安全从业人员了解与OT安全有关的细微差别;
很少有厂商关注OT安全;
很少有投资者愿意为OT安全分配资金;
能让学生了解OT安全的教育计划少之又少。
虽然美国政府不断强调确保国家关键基础设施安全的重要性,但实际情况却很严峻,而且没有任何迹象表明这种情况会很快改变。在我看来,原因很简单:确保OT和关键基础设施的安全不是一个政策问题,而是一个市场问题。
确保OT和关键基础设施的安全不是政策问题,而是市场问题
分散的市场
OT是一个高度分散的市场。出现这种情况有几个原因:
每个关键基础设施领域都依赖于其所需的独特操作技术。公共设施中的传感器与铁路和运输系统中的传感器大不相同,因此需要为其设计的防御系统也将是独一无二的;
每个关键基础设施领域都有不同的监管和合规要求、框架和认证。由于所有这些细分市场都受到严格监管,但适用于每个细分市场的法规又各不相同,因此一家公司很难同时精通不同的细分市场。更难处理的是,有些厂商受联邦政府监管,有些则受所在州政府监管。他们在如何定义价格、如何谈论安全性、可靠性和保障性等方面存在巨大差异;
在关键基础设施的不同领域,监管机构关注不同的指标。例如,在金融服务领域,监管机构关注风险管理控制和资本充足率等因素。这些因素都不妨碍公司创造利润的能力,而利润越高,意味着有更多的资金可以保护,也就有更多的能力投资于安全。另一方面,公用事业领域的公司必须以所谓的公正合理的价格提供服务。这就给它们的利润设置了上限,从而限制了它们在安全方面的支出,使得安全问题总是得不到充分重视和投资,这是不可避免的;
每个关键基础设施部门都有不同的组织获得安全预算批准的方式。例如,在金融服务领域,OT安全与IT非常相似,都需要保护的技术、预算负责人(在这两种情况下,通常都是CISO)以及购买产品的方式。在制造企业中,即使有全职的CISO,OT安全通常也是由工厂车间的员工负责,因此可能甚至没有单独的安全预算。
缺乏明确的安全预算和预算负责人
任何一家初创公司,无论是在新市场上运营,还是致力于建立一个新类别,都不可避免地会遇到各种各样的挑战。任何想要解决有影响力问题的公司的首要任务都是找到一个经历过该问题、并拥有解决问题预算的人。以企业为重点的安全初创公司在设计市场推广时,都知道他们的目标客户是首席信息安全官(CISO)、总监级安全领导,有时甚至是首席信息官(CIO)。而OT安全初创企业则没有这样的清晰度。
当ICS/OT公司进入市场时,他们会尝试与CISO交谈,了解他们是否拥有工业网络安全风险,但却发现他们大多只关注IT安全。例如,在制造业,有时CISO只关注IT,而OT安全应该由运营副总裁或首席运营官(COO)负责,他们可能精通工厂环境的细微差别,但对安全却一无所知。还有一种情况是,CISO应该负责OT方面,但预算却由运营副总裁负责的工厂领导层掌握,而运营副总裁可能并不了解安全问题,而且可能会认为因为他们有全职的CISO,所以安全问题已经处理好了。
水处理设施、电力供应商、石油和天然气公司、工厂车间以及其他严重依赖OT的细分市场都没有明确的安全预算,这使得问题更加复杂。既然没有预算,自然也就没有明确的预算所有者,初创企业也就无从谈起。在这种情况下,要应对规模采购的复杂性并努力发展公司是非常困难的。
寻找早期采用者和后来跨越鸿沟的挑战
OT安全买家是全球最保守的技术买家。规避风险的程度是真实存在的,因为当设备离线或关键功能发生故障时,没有重来的机会。如果电子、水或火车停止从A点到B点的运行,就会对现实世界产生影响,成千上万甚至数百万人的生活可能瞬间受到影响。有些风险可能造成灾难性影响:如果负责向核反应堆供水的水泵发生故障,数十万人可能丧生。
由于所有操作技术系统都非常重要,因此要为OT安全初创企业找到早期采用者难上加难。S4会议是汇聚早期采用者的地方之一,这些早期采用者是那些寻求知识、网络和新思路的人,而在这些行业中,创新首先被视为潜在风险,然后才是机遇。无论S4会议多么令人兴奋和具有创新性,它都不能代表当今行业的现状。绝大多数来自关键基础设施定义范围内组织的技术领导者都不是S4或类似活动的常客。此外,由于发电厂、公用事业、石油和天然气设施等通常远离大都市,它们无法从城市中心提供的生态系统和网络中获益。
尽管为OT初创公司找到早期采用者很难,但跨越鸿沟并接触到早期和后期的大多数人则难上加难。例如,全国数以百万计的电力线都是由远离大都市中心的人们管理的,他们不会去参加领先的行业会议来了解创新。任何希望产生影响的OT安全初创企业都必须找到一种方法,向分散在全国各地的长尾潜在客户进行营销。
处理遗留基础设施的挑战
人们常说,OT是一个新领域,但就成熟度而言,它比IT领域落后了约二十年。虽然OT领域是新领域,但面临的挑战却是老问题。远程访问、带有默认密码的设备以及其他问题,IT部门大多在20世纪90年代和21世纪初就已解决,而在ICS领域,这些问题至今仍在解决之中。这是因为在OT领域,资产的生命周期是以几十年而不是几年来计算的,而且许多新技术完全不受限制。例如,在工业控制系统中,云技术的采用一直都很有限,今后也将继续如此。一些更具创新性和技术倾向的行业,如制药业,已经开始在实验室环境中使用云技术。在电力、采矿、石油和天然气等较为保守的领域,数据可以发送到云端进行计算分析,但不允许任何东西进入云端。
在综合布线系统中,处理遗留基础设施尤其困难,因为这些系统的设计方式是冗余优先于效率。多个冗余系统并行运行,大大增加了创建者及其构建的产品需要处理的复杂性。
在OT安全领域,快速发展和破坏是不可接受的。建立安全解决方案,并让害怕新事物的潜在客户采用这些解决方案是很难的,而且需要很长时间。客户不会在水泵上安装有可能影响其工作或意外干扰关键系统的代理。相反,构建OT安全解决方案的人员必须深入熟悉各种控制,了解协议,并依靠被动检测。投入时间和精力学习基础设施如何工作的能力至关重要。如果你走进任何建于上世纪八九十年代的设施,都会发现几十年前安装的资产。初创企业极有可能找不到任何文档或知道设施协议覆盖范围的人。创始人必须投入时间和精力,对30-40年前的技术进行逆向工程,了解正常情况是怎样的,以及因此而导致的威胁检测是怎样的。要做好这一点,需要时间、金钱和精力。
设计可扩展的市场推广战略的复杂性
前面讨论过的市场分散、缺乏明确的安全预算所有者、缺乏早期采用者,以及必须处理遗留基础设施的挑战,使得在OT安全领域设计可扩展的市场推广战略变得异常困难。
通常情况下,第一批采用者都是亲朋好友,但当公司要制定可重复的市场推广计划,并在最初的五到十个客户基础上发展壮大时,这种做法就不适用了。在所有挑战中,最难克服的是没有一个明确的预算负责人,其任务是保证运营技术的安全和可靠。
由于发电厂和天然气管道等地方没有暂存环境,初创企业无法提供漏洞百出的最小可行产品(MVP)。相反,他们必须在获得第一个客户之前,甚至在进行一次概念验证(POC)试验之前,就投资建立强大、全面的解决方案。这种情况,再加上高度分散且监管严格的可寻址市场(TAM),意味着OT安全领域的公司需要大量资金才能起步。
销售周期长,需要将费用资本化
在OT安全领域,增长需要时间,而且很少是渐进式的。常见的情况是,潜在客户在关键资产上部署几个传感器,或提供短期服务,然后在五年后与厂商签订一份价值数百万美元的合同。该细分市场的销售周期很长,尤其是产品的销售周期:审核和批准一项服务约定可能需要两到三个月的时间,而采购一项产品则可能需要两年或更长的时间。要进入加时赛的采购周期很难,因为建造新工厂或新反应堆的决策是十年一次,一旦一切敲定,就不会有任何变化,初创企业不可能在实施阶段中途介入。
OT安全公司的收入是不稳定的:大笔数百万美元的采购之后,就是没有收入的时期。之所以会出现这种情况,是因为买方有经济动机将尽可能多的支出资本化。这些公司核算收益的方法是尽可能降低运营和维护费用,尽可能提高资本费用。这使它们能够回到监管机构说:"事实证明,确保电力输送的成本非常高,因此我们需要重新谈判我们的费率"。实际上,这意味着与只能作为运营费用的解决方案相比,可以作为资本支出的解决方案更有可能被购买。简单地说,与按月付费的SaaS解决方案相比,预付费的5年期合同更有可能被购买。在政府限制盈利的市场(电力、公用事业等),人们自然不愿意购买任何无法资本化的东西。这种方法确实给初创企业带来了一些好处。首先,公司可以提前获得资金,并将其投资于研发、增长和产品创新。其次,虽然签订新合同需要很长时间,但这也大大降低了客户流失的可能性。最后,长期合同能让聪明的创始人提前数年规划扩张。
尽管购买OT产品的方式有很多积极的一面,但在我看来,消极因素仍然多于积极因素。最关键的不利因素之一是,OT安全初创企业无法吸引风险投资。任何在支持B2B SaaS方面有经验的传统投资者,都在寻求增长的可预测性、经常性收入和易于理解的定价模式(按座位、按摄取的数据量等)。大笔预付款之后几个月没有收入,这让投资者很难理解和预测公司的经营状况,从而大大增加了投资OT的风险。
潜在创始人人数不多
能够在OT安全领域创建初创企业的潜在创始人数量少得令人难以置信。他们需要在该领域拥有丰富的经验,并对技术、架构、变革管理、法规和政策等方面有很好的理解。资产所有者社区希望看到有同情心的创始人,他们知道利害关系,明白如果水泵断电,设施将无法向反应堆供水,所有人都会死亡。如果一个人不是来自这个群体,就很难有这种同理心和直觉。
了解IT固然重要,但很多东西在OT领域却无法很好地转化。向一家大型公用事业公司的运营负责人展示金融机构的产品实施组合是行不通的。由来自硅谷的产品经理和软件工程师组成的团队在没有任何ICS经验的情况下试图快速逆向设计需求、了解需求并构建MVP也行不通。
OT领域的成功创始人需要对运营技术有深入的了解。理想的情况是,他们已经积累了许多不同的视角。作为ICS SCADA工程师、企业IT部门的系统管理员、公用事业IT部门大型项目的领导者、OT领域的安全领导者等等。实际上,要找到一个既能积累如此多的视角和经验,又能深入了解行业内的细微差别,同时还能保持足够激情来创建公司的创业者是非常困难的。
为资产所有者工作并不是创办一家成功的OT安全公司的硬性要求。另一种途径是在军队或特殊机构工作,在那里人们可以接触到民族国家的攻击方式。在领先的OT安全公司之一Dragos,最初的11人中有7人来自美国国家安全局。另一家领先的OT安全公司Claroty的创始人则拥有来自以色列国防军的经验。了解运营技术环境的人才很少;来自资产所有者的人才少于来自情报机构和特种部队的人才。
企业无法设计出吸引最优秀人才加入加时赛的激励措施
众所周知,与商品和公用事业等利润受限或较低的市场相比,利润较高的市场在安全方面投资较多。较低的安全投资、遗留的基础设施和不明确的所有权通常不会使关键基础设施中的公司成为安全从业人员非常理想的工作场所。
最优秀的安全工程师和SOC分析师被驱赶到可以获得更高薪酬和更好发展机会的地方。我们正目睹着OT安全领域的人才流失,虽然政客们不断宣称OT对国家安全有多么重要,但那些需要保卫关键基础设施的人却有理由寻求更高的薪酬和更好的工作条件。
风险投资公司在OT安全上亏损
造成OT安全市场竞争艰难的另一个因素是,缺乏愿意为这一领域的未来下注的投资者。
风险投资公司对2018年左右开始的OT安全的兴奋并没有持续太久。2020年代初,他们投资的许多公司开始倒闭。事实证明,OT安全市场是一个复杂的市场,许多投资者血本无归。出现这种情况的原因都是一样的,市场分散、缺乏明确界定的买家、需要大量资金,以及上文讨论过的所有其他挑战。
占市场大多数的综合型风险投资公司没有真正的理由将OT安全作为一个投资领域。他们的投资任务相当广泛,因此他们的业务并不是寻找最好的安全公司,而是寻找最有前途的初创企业,而不管市场如何。当他们想把资金分配给安全领域的公司时,他们没有理由选择像OT这样的高风险领域,因为这些领域的TAM难以解读,复合年增长率(CAGR)很低,而且还面临着我们刚才讨论过的所有挑战。相反,他们会选择云安全或身份识别等高增长类别。
另一方面,以网络为重点的风险投资公司可选择的公司较少,最终只能投资于OT安全领域。然而,由于很多投资者在OT上亏了钱,他们并不急于将更多资金投入这一领域。这种行为既可以理解,也非常普遍,因为在清洁技术等领域也发生过同样的情况。
目前,有两类投资者仍然忠实于OT安全,一类是企业风险投资基金,如NextEra Energy Investments和西门子,另一类是风险投资公司,这些技术的采用者作为有限合伙人(LP),如Energy Impact Partners。除这两类公司外,愿意在OT安全市场下注的投资者明显不足。
OT安全对风险投资仍缺乏吸引力的其他原因包括:
目前还不清楚这一细分市场能否产生年经常性收入达1亿美元及以上的上市公司。尽管许多人认为,OT领域的可寻址市场总量很大,但迄今为止,几乎没有证据表明该细分市场中的公司能成功上市。风险投资公司并不惧怕发展缓慢的复杂市场,Palantir和Anduril等公司就是明显的例子。然而,他们害怕的是那些发展缓慢、复杂、没有既定预算的小型市场。
要建立一家只提供产品的OT安全公司很难,而通过提供服务来放弃发展关系和交易的机会往往是一个糟糕的选择。风险投资者不喜欢看到产品公司的大部分收入来自服务。从利润和收入倍数的角度来看,服务公司不够吸引人,而且很难看到以服务起家并成功转型为产品公司的例子。
普通风险投资人并不熟悉资本密集型公司,也不了解OT证券买家。再加上没有大型的退出案例,投资者很难认为会发生什么变化,这些趋势会神奇地逆转。
风险投资公司希望看到的经常性收入模式与购买OT安全产品的方式不匹配。OT安全购买者购买工具是一次性购置设备,以实现其业务的经济效益。这使得风险投资公司很难了解公司是否在成长,或者这种一次性购买是否是一种异常现象。
解决OT安全市场问题
在仔细研究了ICS和OT安全领域之后,我确信,我们对确保美国关键基础设施安全的需求存在着完全的误解。如今,有关ICS和OT安全的讨论大多发生在政策制定者、专门机构和军方的圈子里。这使得许多人认为,关键基础设施安全以及随后的OT安全问题可以通过发布行政命令、起草指令和通过新立法来解决。虽然所有这些工作无疑都很重要,但我们必须认识到,在任何市场经济中,没有市场的参与,复杂的生态系统层面的问题是无法解决的。换句话说,确保OT和关键基础设施的安全不是一个政策问题,而是一个市场问题。要解决这个问题,我们需要寻找设计系统的方法,创造正确的经济激励机制,并解决OT、ICS和关键基础设施所面临的系统性问题。
培训下一代OT安全从业人员
首先,我们需要培养下一代OT安全从业人员。虽然有很多教育项目、训练营和培训机构,但绝大多数都专注于IT,而非OT安全。如果关键基础设施的安全确实是国家生存的关键,我们就需要看到更多专门针对OT的教育计划。此外,政府还应该为OT安全从业人员的培训提供补贴。
另一个重要的部分是,让OT工作比现在更具吸引力。如果不重新设计安全预算的分配方式,就很难改变我们现有的为数不多的OT安全从业人员的薪酬水平,也很难留住那些最终会加入这一领域的人。
为OT创业者提供支持
为了让更多的安全从业人员愿意并能够承担风险,创办OT安全公司,我们需要尽一切努力建立一个OT初创公司创始人的管道。很多事情都会自然而然地发生,尤其是在Dragos、Nozomi和Claroty等成功的OT安全产品公司积累了经验的人,将会继续创办自己的初创公司。例如,Dragos的校友创办了SynSaber和Insane Cyber。
尽管事实证明孵化器和加速器模式对安全公司并不像我们所希望的那样有效,但仍有理由将这类计划的设计重点放在OT上。许多为资产所有者以及国家安全局、中央情报局和联邦调查局等机构工作的人,对关键基础设施的安全都有很好的技术理解,但缺乏构建产品并将其推向市场的经验。这正是以OT为重点的加速器和孵化器能够填补空白并为创始人提供成功所需的资源的地方。好消息是,我们已经开始看到朝着这个方向做出的一些努力。2023年,由美国国家可再生能源实验室(NREL)管理、美国能源部能源效率和可再生能源办公室、网络安全、能源安全和应急响应办公室、杜克能源公司、Xcel能源公司和伯克希尔-哈撒韦能源公司赞助的清洁能源网络安全加速器(CECA)迎来了第一批毕业企业。CECA的工作将取得怎样的成果还有待观察,但我们很高兴看到该领域取得了一些进展。
为OT安全初创企业提供资金
我们需要将更多的资本引入OT安全领域。在过去的十年中,许多风险投资公司在投资那些为关键基础设施提供商的风险提供服务的公司时,多次受过伤。现在,美国在关键基础设施安全领域日渐衰弱和无助,而投资者却对投资OT安全望而却步。
投资者远离OT是有正当理由的。毕竟,他们的业务是为有限合伙人创造回报,而不是解决国家安全问题(这方面有其他实体)。我们应继续努力改变ICS和OT市场的现状。我们面临的挑战是,生态系统层面的变革需要时间,而我们没有那么多时间;我们现在就需要解决方案。
好消息是,我们有一个非常成功的模式,可以帮助政府解决这个问题。我说的是In-Q-Tel(IQT),这是一家美国非营利性风险投资公司,主要投资于为中央情报局(CIA)和其他情报机构提供实现目标所需工具的公司。
In-Q-Tel模式可以复制到OT安全领域。我不确定它看起来会是什么样子,也不确定它的基础是什么。它可以是国家安全局、CISA和私营部门组织之间的合作吗?有可能。政府机构和来自不同关键基础设施部门的组织之间的公私合作伙伴关系?也许可以。类似“能源影响合作伙伴”(Energy Impact Partners),由公用事业公司、能源供应商和其他类型的关键基础设施参与者作为有限合伙人?也许吧。所有这些的组合?有可能。比形式更重要的是,我们需要一个愿意将国家利益置于盈利之上的投资者。我们需要投资者建立强大的投资组合,让对手远离美国电网,远离美国银行、医疗设备、汽车充电基础设施等。而且,由于目前还不存在这种投资组合,我认为必须建立这种投资组合。如果政府继续反复强调OT安全的重要性,那么它就必须愿意为其提供资金,或制定激励措施,鼓励他人来做这件事。
培养一批早期采用者
最后,我们需要尽一切努力扩大OT领域的早期采用者队伍。S4等活动固然很好,但如果没有额外的支持,我们就不能指望它们能解决问题。一个流传已久的想法是成立公私合作的OT安全买方联盟,试图整合市场的买方力量。由国防部等大型OT资产所有者和受监管的上市公司组成的买方财团是有道理的,因为这些买方往往试图获得相同的OEM产品和服务,而这些产品和服务从本质上讲可能被视为"双重用途"。
培养早期采用者群体的方法之一是设计创新沙箱,政府、代表关键基础设施不同领域的精选公司群体和私营部门初创企业之间的公私合作伙伴关系,这些初创企业可以在安全、低风险的环境中构建和测试其解决方案。在美国能源部(DOE)的领导下,我们也开始看到朝这个方向的早期努力。几天前,能源部宣布向6个州的16个项目拨款4500万美元,以保护国家能源部门免受网络攻击。根据该公告,这些“项目将帮助开发新的网络安全工具和技术,以降低网络风险,加强美国能源系统(包括电网、电力设施、管道和风能或太阳能等可再生能源发电资源)的复原力”。现在谈论该计划的成果还为时尚早,但我很乐观,我认为我们需要在关键基础设施的其他部门开展更多这样的项目。
新希望:不断发展的市场和OT安全的成熟
虽然听起来似乎一切都很悲观,但实际情况却大相径庭。市场已经发生了变化,不再是过去的样子。现在有了The Forrester Wave™: ICS Security Solutions和实际的市场焦点,而这在几十年前是不存在的。越来越多的公司专注于关键基础设施安全,这表明一切都在慢慢向前发展。
来源:https://www.energyimpactpartners.com/
除了OT和ICS市场的演变,关键基础设施行业本身的动态也在发生变化。以能源为例。能源经济正在发生转变,这种转变正在创造新的风险和机遇。能源经济正在慢慢从中央规划和集中设施按需发电转向分散系统,在分散系统中,每个居民都可以利用太阳能电池板和其他可再生能源自行发电。这种转变需要新的基础设施,如发电和计量系统。此外,随着一切都在数字化,可能受到攻击的不再只是集中式电网,还包括住宅交付和单个建筑。
当每个家庭和每个商业办公空间都能生产和消费自己的电力时,世界将会变成什么样?肯定会与今天大不相同。在后柴油经济时代,每个商业办公场所都必须考虑如何提供备用电源。每个房主都需要考虑如何确保太阳能电池板产生的电力。虽然今天的发电站和公用事业提供商可以抵制云计算(也许这样做最好),但未来的基础设施将使用软件来构建。在这个世界上,创始人将有更多机会在风险较低的环境中设计、测试和快速迭代创新的OT解决方案。破坏一个住宅供电系统与导致整个城市停电的影响是不同的。这样的变化可能会使初创企业克服向大型集中式垄断企业销售所带来的摩擦。
然而,这将是未来的事情。今天,我们要面对的是更难解决的问题,在这样的环境中,很少有人了解不解决这些问题的潜在后果。例如,我们正在投资75亿美元在全美建设电动汽车充电网络,但目前还不清楚如何确保该网络的安全,也不清楚从对美国不友好的国家进口的车辆插入该网络充电时会发生什么情况。
结语
如今,大家都在谈论关键基础设施、工业控制系统和OT安全。公众对这些问题的认识毫无疑问是重要的,但同样重要的是要认识到,没有私人企业的参与,任何解决方案都不可能大规模运作。OT领域正苦苦挣扎于市场基本面之中,很难将资金分配给安全领域、建立初创企业并在这一领域获得投资回报是有结构性原因的。我们需要的政策不仅仅是宣称保护关键基础设施安全的重要性,而是帮助解决我们讨论过的挑战,为初创企业吸引资金,为创始人提供支持,为下一代OT安全专业人员做好准备。
原文链接:
https://ventureinsecurity.net/p/securing-critical-infrastructure
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
