停止制定策略。开始收听。让员工感到快乐和提高安全性的秘诀。(以科赫工业为特色)

作者:卡罗琳·劳伦斯 |

制造领域网络安全的成功需要倾听员工的心声,从他们的本地专业知识到他们的担忧。为了不让运营商的日常工作变得过于复杂,制定整体安全策略至关重要,该策略应像关注IT解决方案一样侧重于OT保护。如果没有这种有意识的方法,安全往往会变得笨拙,麻烦多于帮助。

加入我们,与 Koch Industries 首席信息安全官 Gabe Green 讨论如何采取明智的方法来实现制造业安全。在本集中,Green 与我们分享了 Koch 在截然不同的环境中提供一致的 IT 和 OT 安全的旅程中的见解,以及自下而上的方法如何为利用每位员工的比较优势创造空间。

立即收听:停止制定策略。开始听。让员工感到快乐和提高安全性的秘诀。 (由 Koch Industries 主演) 苹果播客 Spotify、 Stit cher 、T uneIn

时长:00:18:47

描述自下而上的方法的价值
“当我们考虑网络安全时,在这些制造业中,在这些过程控制
环境中,我们真的想确保我们不只是冲洗和重复同样
的方法,而是真正从对这些环境重要的事情开始。” — Gabe Green

关于 “本地专业知识” 的重要性
“我们的部分重点是在这些制造环境中部署安全措施时,我们可以利用网络安全团队、运营公司内部的IT和OT团队的一些比较优势,并利用工厂环境中运营商的本地专业知识来补充其中一些优势。他们将最了解自己的日常情况。” — Gabe Green

关于普通的 IT 人员可能不会想到的 OT 问题:
“我认为我们正在学习的一件事是,
在我们的 OT 制造环境中可能发生攻击的方式可能看起来与我们在
IT环境中看到的有很大不同。我认为,当我们审视这些 OT 环境时,我们必须认识到的一件事是,这确实是业务中最关键的。” — Gabe Green

精选资源

Dragos 如何使用 亚马逊云科技 为工业控制系统和运营技术增强集体防御

https://aws.amazon.com/blogs/industries/how-dragos-uses-aws-to-empower-collective-defense-for-industrial-control-systems-and-operational-technology/

行业高管云安全指南

https://pages.awscloud.com/GLOBAL-ln-GC-A4IND-The-Industrial-Executives-Guide-to-Cloud-Security-learn.html?trk=c4f05b13-ff7a-4e06-bacb-d146f7de17a1&sc_campaign=el

亚马逊云科技 Security Hub

https://aws.amazon.com/security-hub/?nc2=type_a

了解西门子如何使用 亚马逊云科技 增强安全性并提高生产力

https://aws.amazon.com/solutions/case-studies/siemens-security/

了解大众汽车集团如何集中管理 亚马逊云科技 上的安全威胁

https://aws.amazon.com/solutions/case-studies/volkswagen-group-guardduty/

问一个问题

请将你的问题发送 到 industrialpodcast@amazon.com。 您也可以在下面的评论部分中发布您的问题。我们将在 1 个工作日内回复所有问题。

什么是 亚马逊云科技 行业洞察?

欢迎来到 亚马逊云科技 行业洞察。在每一集中,我们都会采访工业公司富有远见的领导者,分享他们对技术、创新和领导力的见解。该播客专为希望做出数据驱动决策并向经历过类似挑战的人学习的工业商业领袖而设。通过采访领先的高管,我们将揭示他们的见解,并确切了解他们的组织是如何找到解决方案的。你可以在你最喜欢的流媒体平台上找到 亚马逊云科技 Industrial Insights 的所有剧集,也可以在下面收听。

剧集笔录:

Caroline
技能差距扩大,网络威胁增加,供应链中断。这些听起来很熟悉吗?

道格
这是一个艰难的行业,我们随时为您提供帮助。

卡罗琳
我是你的房东,卡罗琳。

道格
我是你的房东,道格。

Caroline
你正在收听 亚马逊云科技 Industrial Insights,这是一部面向不怕大胆思考的制造业和工业商业领袖的播客。

道格
我们采访知名公司的高管,分享他们的颠覆性想法和话题,例如领导力、技术和创新。

Caroline
所以让我们开始吧。

Caroline W
ell,欢迎大家,再次感谢您今天加入我们的 亚马逊云科技 Industrial Insights。在我们开始之前,我只想对我们的听众表示感谢,非常感谢,他们参与了这个节目,给了我们很好的反馈,并收看了每一集。我们最近被宣布入选2022年工业物联网世界前20名制造业和工业物联网播客,能被列入该榜单真是令人难以置信。

因此,非常感谢我们的听众。这完全是因为你,我们才能够做到这一点。

道格
所以记住,卡罗琳,这意味着明年的门槛提高了。因此,明年我们必须再做一次,甚至更高。所以,让我们继续前进。


绝对是卡罗琳。也许我们会像前五名一样进入。他们应该缩小名单。

道格
好吧。今年有一个目标。

Caroline
我们走吧。

是的,能被列入这份名单我们真的很兴奋,能继续为你制作更多剧集让我们感到非常兴奋。那么,接下来,让我们直接进入本月的剧集。今天,我们很高兴加布·格林也加入了我们的行列。

Gabe,你能否向我们简要介绍一下你在所代表的公司中扮演的角色?

Gabe
当然。谢谢,卡罗琳。Gabe Green,我是科赫工业公司的首席信息安全官。

Caroline
真棒好吧,非常感谢你加入我们。我们很高兴你能收看今天的剧集。我认为这是一个很好的过渡。在过去的几集中,我们特别谈到了安全性。因此,有趣的是,你刚从一个以安全为中心的角色出现... 以及为用户提供的安全应用程序在战略背后如何发挥着极其重要的作用。

你能不能和我们谈一谈:以用户为中心的方法在制造环境中是什么样子?而且,从安全的角度来看,为什么贵公司要采取这种方法呢?

Gabe
当然。我认为,在我们开始了真正努力在制造环境中完善安全能力的旅程之际,我们经常谈论的一件事就是意识到我们的运营商已经在做的工作,以及他们可能已经为自己的工作负担过重——从制造和创造产品、运输产品,到对安全保持高度警惕、管理供应链挑战等等。

我们最不想做的事情就是部署一大堆安全技术,一大堆硬件和软件,让他们一整天都要跟踪和查看另一件事。你知道,当我们在这些制造环境中部署安全性时,我们可以在哪些方面利用网络安全团队、运营公司内部的IT和OT团队的一些比较优势,并利用工厂环境中运营商的本地专业知识来补充其中的一些优势。

Caroline
太棒了,当你说本地专业知识时,你的意思是什么?

Gabe
是的,我的意思是,那些每天在我们的制造环境或过程控制环境中在现场工作的人。他们将最了解自己的日常情况。他们将最了解糟糕的一天是什么样子以及我们应该成为什么样子,围绕网络安全能力进行规划和构建,而不仅仅是部署技术并试图查看我们收到的每一个警报。

我认为我们需要在 IT 环境中寻找很多东西,这会很糟糕或者可能会引发一些危险信号,其中一些在制造环境或流程工程环境中可能是完全正常的。因此,[我们] 只是利用当地的专业知识来知道我们应该把重点放在哪里,应该优先考虑哪里。

Doug S
o,Gabe,如果你考虑安全性,你就会想到用户的生活日子。你是如何理解安全将在哪里为他们增加价值的?

Gabe
是的,这是个好问题。我想第一,我们还在那段旅程中。我们仍在仔细研究科赫的每家运营公司,以及我们想要完善安全方法的关键基础设施或制造环境。

我们所做的一件事就是尝试从某种一致的风险视角来看待我们所有不同的制造环境。我们把重点放在安全第一。如果我们不失去对资产的控制并造成安全问题,我们在哪里有想要确保的资产?会对我们的盈亏产生重大影响的资产在哪里?如果他们倒闭,我们就无法运送产品。

那么,在制造或工程环境中,我们真正想重点保护知识产权的资产或流程在哪里?我们试图了解这一点的方法之一是在我们的网络安全能力、本地企业 IT 和安全能力,再到那些 OT 或制造业从业者之间建立非常牢固的合作伙伴关系。

能够在这些不同的群体中建立这种信任,并就这些环境中发生的事情以及我们可以最好地部署网络安全能力的地方进行透明的对话。

道格
你如何与他们保持亲密关系?我的意思是,安全不是一成不变的,所以存在下一代问题,下一代问题。你如何理解两件事:第一,他们如何使用产品,然后是这如何影响他们的角色?我猜三,你是如何跟上这个步伐的?

Gabe
是的,这些都是挑战。我认为我们试图重点关注的一件事是认识到,在我们不同的制造环境中,不可能有一种放之四海而皆准的安全方法。

你知道,科赫工业公司由许多不同的运营公司组成。当我们谈论我们的过程环境或制造环境时,这些环境存在并运行在许多不同的垂直行业中。因此,它实际上是在尝试根据该公司的概况采取基于风险的方法,从PNL的角度来看,什么对他们很重要,从制造的角度来看,哪些对他们很重要,并确保我们区分这些能力,使它们在这些环境中发挥作用。

这方面的一个例子是,我们有一家隶属于科赫工业的公司,名为Georgia-Pacific。他们是一家制造公司。他们生产建筑产品、消费品和纸制品之类的东西。我们还有一家名为Flint Hills Resources的公司,该公司从事能源行业,经营炼油厂和管道。这些公司截然不同,商业模式也截然不同。

因此,要想从安全的角度来看,我们部署的某些流程和工具在哪里可以保持一致性,同时也要认识到,重要的是什么,以及我们如何运用这些安全技术,会因环境而有所不同。

Caroline
对此进行了快速提问。听起来,你知道,我听到的是,你非常重视这个方程式的人性方面以及应用程序的实际使用方式。这是不是专门来自你,还是你认为这是组织内部的一种文化思维方式?

Gabe
我认为这绝对是组织内部的一种文化思维方式。在科赫,我们非常重视个人的比较优势。他们最有利于做什么,他们所拥有的知识是什么?这有助于我们真正采取自下而上的方法来看待这些环境中的网络安全。

这不仅是一种自上而下的方法,即 “我们将在所有这些环境中以完全相同的方式做 X”,而是真正利用最接近这些问题的人的技能和知识,帮助我们了解从网络安全的角度来看真正有意义和有所作用的东西。

Caroline
我不得不说这听起来真令人耳目一新。尤其是当我们与许多制造商交谈,阅读大量有关该行业正在发生的事情时,人们非常关注技术。听到人们如此关注人,创造一个让人们感到被重视和被照顾的环境,真是令人耳目一新。

听到这个消息我真的很兴奋。我还想了解——对于我们的听众来说,当我们在接受Gabe的这集预采访时,他说的就像是针对不同安全场景的广泛规划。他举了很多例子,我以为你们会觉得很有趣。

其中之一是:Gabe,你能否谈谈你是如何理解运营环境下糟糕的一天是什么样子?也许可以给我们举一些例子,说明你使用哪些工具来帮助指导这些场景?

Gabe
是的。当然。当我们在这些制造环境中踏上安全之旅时,我们花了很多时间思考和谈论的一件事就是努力确保我们不只是应用与组织中其他部门应用的相同类型的 IT 安全手册。

如果你考虑一下企业组织、IT,以及所有利用信息系统、电子邮件、云计算资源等的员工,我们有一个看待网络安全的模型,它也是一个非常以用户为中心的模式,对吧?了解我们的员工,了解他们每天面临的挑战,对他们进行教育并提高他们对网络安全威胁的认识,以及他们经常成为网络钓鱼电子邮件的目标,等等。

当我们考虑网络安全时,在这些制造业中,在这些过程控制环境中,我们真的想确保我们不只是冲洗和重复同样的方法,而是真正从对这些环境重要的事情开始。

我们关注点的一个例子是真正利用我们在这些环境中的许多安全团队和安全工程师所采用的有条不紊的方法进行规划。它们最接近这些问题。他们了解流程和现有设备,也知道糟糕的一天会是什么样子。

那么,我们如何利用已经存在的知识并将网络安全规划纳入其中,这样它就不仅仅是一个全新的危机管理场景,而是真正适用于工厂以及运营商在考虑这些环境中糟糕的一天时已经考虑和已经规划的内容。

Caroline
你能不能也聊一聊比如,那是什么后勤工作?你有没有做准备,比如采访他们,或者你是如何收集这些信息的?

Gabe
是的,我认为我们现在还处于早期阶段。我们目前关注的是一些技术部署,只是为了了解这些环境,了解正在发生的事情,不同系统之间的通信情况,并建立基准。

从安全卫生的角度来看,我们可能可以解决一些悬而未决的问题,并让运营商了解他们需要改进的地方。然后,它实际上是回过头来进行情景规划,并真正了解在该情景规划中需要在每个地点或每个工厂的基础上进行哪些差异化。

众所
周知,Doug Technology 是个大玩意,但它不是唯一的玩法。这里必须包含多种不同的技术堆栈。你知道,如果你考虑一下需要依靠的专业知识,那么你真正需要做哪些产品和服务才能制定整体安全策略?你们是什么,你们在和谁一起工作?

Gabe
是的,绝对可以。当我们审视安全和这些制造过程环境时,我们感到非常重要的一件事是理解并谦虚地认识到,我们的 IT 团队或网络安全团队并不完全了解这些环境的运作方式以及什么是重要的。

因此,你知道,我们正在寻找可以与之合作弥合差距的合作伙伴,他们既能了解网络安全挑战及其面貌,又能了解生活中的一天;他们了解过程工程方面,了解设备。我们一直在合作并与之建立非常牢固的合作伙伴关系的公司之一是一家名为Dragos的公司。*

而且 Dragos 有一个硬件技术和服务解决方案,我们正在努力在这些环境中部署,它可以提供我所说的可见性,对吧?它可以让人们了解该环境中发生的所有网络通信。对 Dragos 真正有用的不仅仅是技术,还有他们带来的专业知识。

他们的DNA实际上存在于关键基础设施运营中。他们帮助我们从这个角度思考网络安全,并希望避免我所说的话,那就是在这些关键环境中部署典型的标准 IT 安全手册。

道格
但是,如果你考虑一下 IT 和 OT 之间的细微差别,那么你最想知道的三件最重要的事情是哪三件事——为了帮助我们的听众说:“哦,我们没考虑过——你从吸取的教训中学到了什么?

Gabe
好问题。

道格
我的意思是,Gabe,是:IT 和 OT 的区别,以及普通的 IT 人员不会想到的 OT 事情是什么?

Gabe G
otcha。是的,我认为我们正在学习的一件事是,在我们的 OT 制造环境中可能发生的攻击方式可能看起来与我们习惯在 IT 环境中看到的方式大不相同。在 IT 环境中,有这样的大型、更同质的环境。

我们在任何地方都部署了技术和传感器。我们正在研究进入最终用户的电子邮件,如果有东西通过,哪些可能是网络钓鱼电子邮件,我们如何检测到它?我们如何快速将其关闭?而且我认为,当我们审视这些 OT 环境时,我们必须认识到的一件事是,这确实是业务最关键的环境,对吧?

从很多方面来说,这就是企业存在的原因——运行这些 OT 环境并创建产品。随之而来的是对运营和生产的敏感性。我们可能没有像在 IT 环境中那样大的余地来搞砸某些东西、关闭某些东西,或者遏制我们认为可能是网络安全攻击,但实际上只是正常的业务运营。

这可以追溯到真正利用运营商和工程师的本地专业知识,他们了解这些环境,确保我们为应对潜在的网络安全攻击而制定的行动手册与这些环境中的实际情况相符,并且我们不会使问题变得更糟。

Caroline
是的,这真的很有趣。只是出于好奇,那些 IT 手册是数字剧本,还是写在纸上?我一直很好奇。现在看来很多东西都在纸上。

Gabe
是的,我想说两者兼而有之。在过去的几年中,我们在网络安全能力方面所做的一件事就是尝试自动化和协调许多行动手册,因此这些手册实际上已纳入分析师所关注的响应流程中。

因此,当他们响应警报时,该剧本内置于他们用来响应警报的系统中。但是,当我们谈论更高级的剧本时,我们也有纸上谈论,对吧?比如网站会如何应对勒索软件?

需要参与的人是谁、我们需要引入的能力或我们需要问的问题?所以,两者兼而有之。

Caroline
Good,很好。是啊。听起来你也有不错的备份计划。好吧,这是非常有趣的信息。加布,我认为在这次对话中真正令我印象深刻的一件事是你的方法、自下而上的方法,以及你如何利用谦卑来指导你的安全方法,依靠他人的长处。

你一开始用的是什么名词?你说的是个人优势还是那是什么?

Gabe
是的,比较优势。这就是我们在科赫谈论的话题。这绝对是我们文化的一部分,即利用员工最擅长的领域以及整个组织的比较优势,这并不总是意味着要根据角色或头衔,而是真正利用最接近问题的人的最佳技能和知识。

Caroline
是的。话虽如此,那么,你知道,在我们结束这一集之前,你能不能和我们分享一下 —— 你想说什么,希望你能在五年前甚至十年前告诉自己?关于你的方法,你希望你现在知道什么?你学到了哪些最重要的思考?

Gabe
我想,如果有的话,我个人学到的一件事是,回顾过去,我希望我们能更早地开始在这些运营商和工程环境中建立关系。当我们追求这一点并开始与这些环境中的人们会面并讨论我们正在使用Dragos进行的一些部署时,我们发现的一件事是,在其中一些环境中,人们对Koch Industries甚至存在的网络安全能力以及该团队的日常工作缺乏认识。

为了让他们了解团队、人员是谁、团队做什么、我们认为在这些关键环境中我们可以如何提供帮助,我们必须做很多基础工作。因此,如果有的话,我想说的是,我希望我们过去能早点做,做得更多。

Caroline
感谢您收看 亚马逊云科技 行业洞察。如果您想进一步了解今天的剧集,请前往博客获取有关该主题的精选资源列表。你还可以在剧集描述中找到今天的博客,也可以在我们的网站 aws.amazon.com/Industrial/podcast 上找到今天的博客。

*免责声明:德拉戈斯是科赫工业的风险投资与成长部门科赫颠覆性技术(KDT)的投资接受者。此外,KDT总裁兼首席运营官拜伦·奈特是Dragos董事会成员。