工業(yè)控制系統(tǒng)ICS安全團(tuán)隊?wèi)?yīng)審視的三大問題
保護(hù)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全是一項***挑戰(zhàn)性的任務(wù),主要是因為ICS網(wǎng)絡(luò)缺乏IT基礎(chǔ)設(shè)施中的威脅監(jiān)控、檢測以及響應(yīng)能力。為了將ICS安全落實到實際情況中,每個組織機構(gòu)在保護(hù)ICS網(wǎng)絡(luò)安全時,需考慮以下三個首要問題:
1.我們知道要保護(hù)的內(nèi)容嗎?
為了保護(hù)網(wǎng)絡(luò),***步就是創(chuàng)建技術(shù)和關(guān)鍵資產(chǎn)詳細(xì)目錄。缺乏基線理解就談不上保護(hù)。一般而言,工業(yè)控制器(PLC、RTU和DCS)最I(lǐng)CS網(wǎng)絡(luò)最關(guān)鍵的組件,因為工業(yè)控制器負(fù)責(zé)工業(yè)過程的整個生命周期。自動化控制器確保持續(xù)安全的運作。
保護(hù)控制器需要準(zhǔn)確了解運行的固件、執(zhí)行的代碼和邏輯以及當(dāng)前配置。控制器固件、邏輯或配置發(fā)生任何變化都有可能導(dǎo)致運行中斷。
因為大多數(shù)ICS網(wǎng)絡(luò)是幾十年前部署的,某些資產(chǎn)被遺忘也是司空見慣的事。大多數(shù)組織對環(huán)境中需要保護(hù)的關(guān)鍵資源不明晰。手動記錄這些關(guān)鍵資產(chǎn)的手工流程不僅不準(zhǔn)確,還乏味、耗費資源。
缺乏自動化資產(chǎn)發(fā)現(xiàn)和管理迫使許多組織依賴使用電子表格的手動文檔。這種過時的方法不僅導(dǎo)致員工倦怠和誤差,還給網(wǎng)絡(luò)泄露創(chuàng)造可乘之機。
自動化資產(chǎn)發(fā)現(xiàn)和管理為ICS安全團(tuán)隊提供***的精準(zhǔn)詳細(xì)目錄,賦予他們規(guī)劃并推行有效安全控制的能力。
2. ICS網(wǎng)絡(luò)情況如何?不幸的是,很多發(fā)生在ICS網(wǎng)絡(luò)中情況未知。ICS網(wǎng)絡(luò)本質(zhì)上不同于IT網(wǎng)絡(luò),它們不止缺乏可見性和安全控制,還使用專門技術(shù)和廠商特定通信協(xié)議。這就使得IT控制不適用于這些環(huán)境。
一些ICS網(wǎng)絡(luò)監(jiān)控解決方案專注于發(fā)生在ICS網(wǎng)絡(luò)數(shù)據(jù)平面的HMI/SCADA應(yīng)用活動。這種活動在容易監(jiān)控的已知和標(biāo)準(zhǔn)化通信協(xié)議下執(zhí)行。
然而,在工業(yè)控制器上執(zhí)行的核心工程活動,包括控制、邏輯、配置設(shè)置和固件上傳/下載的變化無法在這些數(shù)據(jù)平面網(wǎng)絡(luò)協(xié)議中被監(jiān)控,那是因為這些控制平面的活動在專有廠商特定協(xié)議中執(zhí)行。這些協(xié)議通常無正式文件且匿名,這就使得監(jiān)控難上加難。本文由E安全(搜索“E安全”公眾號關(guān)注)獨家編譯,未經(jīng)授權(quán)不得轉(zhuǎn)載。
IT網(wǎng)絡(luò)中,執(zhí)行控制平面活動通常需要專門特權(quán)。然而,大多數(shù)ICS網(wǎng)絡(luò)缺乏驗證或加密控制。因此,具有網(wǎng)絡(luò)訪問權(quán)的任何人可以執(zhí)行以上活動。此外,缺乏捕捉變化和活動的審計跟蹤或日志(用來支持取證調(diào)查)。
了解工業(yè)控制平面中的工程活動應(yīng)該是ICS安全團(tuán)隊的首要任務(wù)。這是惡意活動和人為錯誤會造成重大損失的地方。
3. 我們能有效管理并響應(yīng)安全事件嗎?由于缺乏ICS網(wǎng)絡(luò)的可見性和控制,大多數(shù)組織無法及時有效響應(yīng)事件,這樣一來,不僅削弱了防御力,還增加了緩解的總體成本。
實時了解工業(yè)網(wǎng)絡(luò)是ICS安全的關(guān)鍵。為了保護(hù)ICS網(wǎng)絡(luò)免受外部威脅、惡意內(nèi)部人員以及人為錯誤的威脅,工業(yè)組織必須監(jiān)控所有ICS活動—無論通過未知或受信任的內(nèi)部人員執(zhí)行,以及活動是否授權(quán)。
只有全面了解數(shù)據(jù)平面和控制平面的網(wǎng)絡(luò)活動,組織機構(gòu)才能運用有效的安全和訪問管理政策。
實施準(zhǔn)確的安全策略還能確保ICS安全團(tuán)隊在未授權(quán)和意外活動發(fā)生時及時提醒。這些安全策略可以提供必需信息快速查明問題源并進(jìn)行緩解,將損害和破壞最小化。
