ICS網絡安全培訓：抵御對抗性攻擊的有效手段之一

勒索軟件攻擊、硬件漏洞和供應鏈入侵的持續沖擊，以及網絡戰的新維度，導致需要在工業控制系統(ICS)和關鍵基礎設施中采用更強大的安全措施和更大的運營彈性部門。應對不斷變化的網絡安全形勢的方法之一是通過開展涵蓋不同技能水平的ICS網絡安全培訓課程來發展和加強網絡安全員工的技能，以更好地保護ICS 和關鍵基礎設施資產。Industrial Cyber聯系了ICS網絡安全培訓領域的專家，評估此次美國參眾兩院關于ICS安全培訓立法行動的反響，包括此類立法措施對加強關鍵基礎設施領域普遍存在的網絡安全態勢的影響。專家認為，立法推動是積極的舉措，但其成效短期內恐難看到，監管者、運營者，服務供給方都必須著眼于長期效應并超越合規要求。

ICS網絡安全培訓可以通過各種機構提供的課程和培訓計劃獲得，包括網絡安全和基礎設施安全局 (CISA)、SANS研究所和ISA（國際自動化學會）。此外，還引入了立法措施，例如“工業控制系統網絡安全培訓法”，旨在修訂2002年授權 CISA建立ICS網絡安全培訓計劃的國土安全法。另一個例子是美國兩黨的“供應鏈安全培訓法”，它將幫助為聯邦官員制定供應鏈安全培訓計劃。

ICS網絡安全培訓背后的根本目的是創建一個生態系統，提供相關培訓和技能，保護電網和水處理設施等關鍵基礎設施部門免受網絡安全威脅和攻擊。建立解決系統性弱點的可持續運營彈性，包括對對手和民族國家攻擊者采用的新方法和技術的培訓，將幫助資產所有者和運營商避免對抗性攻擊。網絡安全技能不能一蹴而就——它們必須隨著時間的推移不斷地得到改進和更新，并具有適當的曝光和相關經驗。 

CISA通過以ICS 為重點的網絡演習設計、開發和執行來支持網絡準備和彈性改進。該安全機構提供一系列練習類型，從桌面演飛討論到全面的國家級練習，包括ICS安全基礎知識的ICS培訓能力，以及可供學習者使用的高級在線和課堂培訓。它還提供區域課程和研討會，以及為期五天的定期實踐高級培訓活動。

此外，通過CISA管理的教育計劃將致力于保持企業運營和基礎設施免受外國網絡威脅。它還將擴大美國不同地區的女性和代表性不足的人群獲得ICS教育和培訓的機會。網絡安全培訓有助于在面臨可能的安全問題時培養關鍵能力，同時提高員工識別和應對潛在網絡威脅的能力。 

ISA提供全面的工業網絡安全證書的編程和培訓課程。這些計劃涵蓋工業自動化和控制系統(IACS)評估、設計、實施、運營和維護的整個生命周期。每個證書課程和培訓課程都基于基于ISA/IEC 62443共識的自動化網絡安全標準系列。 

SANS研究所還舉辦ICS網絡安全培訓課程。此外，它還運行多個計劃，以吸引更多人才進入網絡安全領域，并賦予這些人進入人才市場和完成相關任務所需的動手網絡安全技能和知識。

ICS網絡安全培訓法案的立法推動將授權CISA開展培訓，以發展和加強與保護 ICS相關的網絡安全員工的技能。通過允許CISA開展培訓，技能提升和再培訓員工的可用性將使雇主能夠帶來更大的運營網絡安全。該法案還將致力于教育全國的信息技術 (IT) 專業人員如何最好地防止對計算機網絡安全系統的攻擊。 

Industrial Cyber聯系了ICS網絡安全培訓領域的專家，評估此次立法行動的反響，包括此類立法措施對加強關鍵基礎設施領域普遍存在的網絡安全態勢的影響。

ThreatGEN創始人、總裁兼首席執行官Clint Bodungen告訴ndustrial Cyber，“不幸的是，影響很小。CISA已經提供免費的工業網絡安全培訓。雖然這確實為負擔不起的組織提供了有償（而且通常是昂貴的）培訓的替代方案，但它缺乏培訓足夠多的運營商、資產所有者和利益相關者以產生真正影響的能力，”他補充道。

Bodungen進一步指出，班級人數有限，總是有等候名單，而且預定的班級人數稀少。“該指令還應該提供哪些尚未到位的內容？如果是更多的資金，我懷疑是否有足夠的資金來增加班級規模和頻率以產生很大的影響，”他補充道。 

“雖然我對CISA 的努力表示贊賞，但即使有資金，他們也無法獨自做更多的事情，他們還沒有嘗試去做，”Boduungen說。他補充說：“這項法案只不過是一個消息不靈的政客，試圖解決我們幾十年來一直試圖解決的問題，但沒有做任何不同的事情。”

Applied Risk的創始人兼首席執行官Jalal Bouhdada訴Industrial Cyber：“人為因素的人一直是網絡安全中最薄弱的。” “該法案肯定會提高負責CI 的專業人員的技能和知識。此外，這一舉措可能是一個很好的機會，可以加強許多組織的網絡安全，并解決行業所遭受的日益嚴重的技能短缺問題，”他補充道。

ICS網絡安全培訓法案要求向參與者免費提供虛擬和面對面培訓和課程。它還涵蓋了不同技能水平的培訓和課程，包括入門級課程。此外，它還提供涵蓋ICS網絡防御策略的培訓和課程，包括了解ICS面臨的獨特網絡威脅和緩解ICS技術中的安全漏洞，并適當考慮美國不同地區的培訓和課程的可用性

該立法還要求與能源部的國家實驗室合作，并與部門風險管理機構（SRMA）協商。此外，它還呼吁與具有相關專業知識的私營部門實體進行磋商，例如ICS技術供應商。

Bodungen評估關鍵基礎設施部門在當前的威脅環境中滿足ICS網絡安全培訓法案的要求的可實現性，并進一步削弱了網絡戰和地緣政治問題，Bodungen 說：“據我所知（我只讀過什么是可用的，似乎并不多），對運營商和資產所有者沒有要求。這些要求適用于CISA和政府。它們也非常廣泛和模棱兩可，”他補充說。 

從表面上看，“他們很容易在表面上滿足概述的要求，因為沒有任何細節，而且他們已經接受過培訓，”Bodungen 說。“從技術上講，他們可以擴展他們所擁有的并稱之為‘成功’。然而，要創造真正的成功并真正改變法案的實際‘精神’是另一回事，”他補充說。 

“國會最近為加強工業網絡安全而采取的所有‘姿態’都不過是戲劇性的，”Bodungen說。“這些法案、法律、標準、法規等都不會在 90 天、100 天或一年內完成我們作為一個行業幾十年來一直在努力做的事情。我們正在取得進展，但任何政府法律法規（甚至資金）都無法加快這一進程。真正的改變和進步必須來自社區和行業，而不是政府，”他補充說。 

Bouhdada說，所有這些驅動因素都是相關的，當然，挑戰將在執行中，因為隨著威脅形勢的迅速變化，培訓和教育應該是一個持續的過程。“當然，可用性或預算和資源是滿足這些要求需要解決的關鍵要素，”他補充說。

評估ICS網絡安全培訓法案等舉措是否能夠跟上包括勒索軟件組織在內的快速發展的威脅形勢，Bodungen說：“沒有任何培訓能達到這一目標，我認為這不是該法案的目的。創建具有準確和有價值信息的課程（甚至只是更新課程）、開發內容、對其進行質量測試并正確呈現它需要大量的努力和資源，”他補充道。 

Bodungen說，威脅形勢的發展速度比任何人都無法開發出合適的課程甚至是劣質課程的速度要快得多。“培訓并不意味著跟上最新的威脅。培訓旨在為人們提供知識、技能和資源，以了解如何自己跟上威脅形勢。所以我想答案是……直接，不。間接地，是的，但在大多數情況下并不孤單。沒有單一的培訓來源可以為任何人提供他們需要的一切。這需要一個村莊、一個社區和一個行業……共同努力，”他補充道。

“培訓應該始終是防御戰略的一部分，尤其是在ICS網絡安全方面。行業需要訓練有素且合格的專業人員，他們能夠應對不斷變化的威脅形勢，”Bouhdada說。這應該超越安全意識，并專注于事件響應、攻擊能力和實踐經驗。

確定ICS網絡安全培訓法案是否存在任何缺陷，Bouhdada表示，總的來說，這是一項積極的舉措，只要它能夠著眼于長期并超越合規要求。“它應該具有包容性，關注整個社區（不僅是系統所有者/運營商），還包括供應商和系統集成商。就像任何新法案一樣，只有時間才能證明是否存在任何差距或不足，”他總結道。

原文鏈接：

https://industrialcyber.co/ics-cyber-security-training/ics-cybersecurity-training-can-help-fight-off-adversarial-attacks-in-evolving-threat-landscape/