尽管围绕老旧脆弱基础设施保护法案的争论十分激烈,公用事业公司正在寻找各种方法止血。类似Colonial Pipeline这样的事件昭示了网络攻击会对能源行业产生如何广泛而现实的影响。
FireEye、迈克菲和赛门铁克前高管,Attivo Networks首席技术官Tony Cole称:“即使资金雄厚,现代化和保护电力部门都是一项艰巨的任务,更不用说保护整个公用事业部门了。”
咨询公司West Monroe能源和公用事业高级主管Paul DeCotis表示,具体而言,能源行业还在另一条关键战线上作战。
他说:“能源行业运营和资产面临的威胁越来越多,其中一些可能带来非常严重的后果,而随着人才争夺战的继续,这个行业越来越难以招到安全和隐私人才,同时也面临着留住现有人才的挑战。”
无论是招聘网络安全员工还是提升现有员工的技能,特定技能在该行业亟需职业技能清单中排名靠前。想要投身抗击网络攻击的永恒事业?那你可能需要提升或获得一些(或全部)市场上最热门的技能。
1. 能源行业工作经验
Owl Cyber Defense首席创新官Brian Romansky认为,相较于其他行业用来保护电子邮件服务器、文件共享设备和浏览器的技能,保护能源行业各种运行环境所需的技能集截然不同。能源行业的CISO想要寻找的是了解工厂、管道、变电站、炼油厂等运营技术(OT)环境工作机制的人才。同时,他们希望招募到的人才在保护数字控制系统、SCADA系统,以及数字传感器/监视器与操作系统(如泵、阀门和执行器)方面有经验。
Romansky称,理想的候选者“了解Modbus、OPC、DNP3等工业协议的工作原理、其所支持的设备、需要连接(和不可连接)的内容,以及相关的风险”。
2. 嵌入式系统技能
Verve Industrial网络安全洞察总监Ron Brash指出,在恰当保护或评估嵌入式系统方面,存在着巨大且不断扩大的技能缺口。
他说:“这确实很危险,因为OT/ICS中的大多数系统都是嵌入式的,而不是Windows或路由器之类的商用设备。然而,尽管明知随着可绕过防火墙等传统控制措施的5G、LTE和IoT/IIoT的出现,补偿性控制措施越来越难应用,我们还是一直在部署这些东西。”
针对关键基础设施中嵌入式系统的攻击很常见,但往往不出现在新闻报道中。其中一个例子就是佛罗里达州奥尔兹马供水厂远程投毒事件。县治安官Bob Gualtieri在《坦帕湾时报》的新闻报道中表示,这起攻击事件中,黑客修改了系统设置,将氢氧化钠(也叫碱液)的含量短时增加了超过100倍。
报道称:“星期五早上8点的时候,一名工厂操作员正在监控该系统,并且注意到有人短暂访问了该系统。他并未觉得这一现象反常,因为他的主管经常远程登录这个系统。”
3. 了解数据流
Romansky表示,CISO也在寻找了解能源行业数据及数据流的网络安全人才。更具体讲,此类人才应该:
- 了解第三方满足支持协议、执行分析、监控占空比等所需的数据,并具备OSIsoft和Aveva等老牌工业应用的知识。
- 了解外部数据消费者的数据需求,并安全提供所需操作数据。
- 具有军方或政府机构网络安全经验,因为“这类人才经过训练,懂得如何运用各种技术防御黑客国家队的攻击,包括跨域解决方案”。
4. 深入了解关键基础设施网络安全法规
北美能源标准委员会前委员,GlobalSign美洲区总经理Lila Kee表示,鉴于行业的许多安全和合规要求,深入了解影响能源行业的联邦、州和外国法规及联邦指南(如总统政策指令21和2015年国家基础设施保护计划(NIPP)能源部门具体计划),是非常有利的加分项。
对安全专业人员而言,另一大优势是能够按照拜登总统的14028号行政令实现软件物料清单(SBOM),基本“防止恶意软件安装,阻止其实施故意伤害。”
5. 向后工作的能力
OnSolve首席技术官Dustin Radtke称,安全专家预计,基础设施危机和持续中断将显著增加,“无论是由恶劣天气(如得克萨斯州雪灾)还是Colonial Pipeline那样的网络攻击造成的”。
因此,能源行业的安全专家必须“深入了解自家公司面临的特定风险”。通过了解公司最脆弱的地方或危机期间受影响最大的领域,安全团队可以向后工作,以完善自身正在监控的威胁以及监控方法。
在风险情报和危机管理方面,这种类型的“目的性知情输入,可形成更具可操作性和相关性的输出”。
6. 更新的技术技能
当然,能源行业也转向技术来寻求填补人才空缺,尤其是人工智能驱动的那些技术。而这些技术也要求安全团队了解该如何恰当使用。
IronNet Cybersecurity能源副总裁Shawn Wallace表示,部署行为检测技术也有类似的技术诀窍需求。实时集体防御也是必须的。
他说,“集体防御可形成跨部门的安全团队协同工作和实时协作。这么做可缩短检测时间,同时更好地利用现有资源,从而使公司能够快速增强防御态势。”
7. 强大的项目管理和“老旧技术”技能
能源行业倾向于使用过时的老旧系统,比如制造商不再支持的操作系统。安全人员如果具备保护老旧技术的技能,同时能够支持更安全的升级,就成了能源行业的抢手货。
安全消息平台Wire首席执行官Morten Brøgger表示:“考虑到这些公司仍在使用大量老旧硬件和软件,他们必须寻找具有强大项目管理和领导技能,且具有前瞻性眼光的安全人员来推动新的计划。市场上并不缺乏可用的工具,但他们需要强有力的领导者来恰当使用这些工具。”
前瞻
即使你不具备这个行业的全部或多项热门技能也不用担心。面对这么多风险,能源公司可能愿意更新你的现有技能。
Jo Webber博士曾任网络安全公司Sprion的首席执行官,也是全球诸多主要油气管道运营商的软件供应商艾默生Energy Solutions International的前CEO,她指出,尽管类似旧前线,但新前线依然形势严峻。
她表示:“有一次,一位美国政府前能源部长问我,有没有办法检测到有人靠近油气管道。当时我们想的是带着炸弹的恐怖分子。但俄罗斯人对Colonial Pipeline的攻击也是同一类威胁。我们有几条主要油气管道穿越美国,将天然气从得克萨斯州输送到东北部。如果这些主要干线在冬季出故障了,那后果将会是灾难性的。”