ICS安全优势可以做的三件事情来最大化更新时间

在工业控制系统(ICS)联网之前,运营商对网络威胁没什么可担心的。但是作为工业环境,诸如能源公用事业、变得更加紧密,他们暴露在弱点和攻击之下。ICS用于大量的关键基础设施,包括电网、交通系统,以及污水处理厂。

ICS攻击如何工作及其代价

大多数工业网络攻击并不是直接对ICS发起的,但是利用其他系统或设备中的弱点来获得进入过程控制网络的入口点。从那里,攻击者在控制网络中横向移动,以跟踪过程逻辑控制器(PLC)或分布式控制系统(DCS)。像这样的,工业网络内的最高目标是运行商业操作系统和数据库的设备,例如Microsoft Windows,LinuxMicrosoft SQL Server,以及活动目录,,攻击者利用获得最初的足迹在工业网络。这些系统运行监控和数据采集(SCADA)应用程序,制造执行系统(MES)的应用程序,工程工作站,历史学家,以及人机接口(HMI)。

安全漏洞可以让黑客访问ICS以获取金钱和智力收益,但这些并不是唯一的风险。在某些情况下,入侵者实际上会对工厂造成物理破坏并伤害员工。ICS运营商的另一个担忧是,由于财务影响,存在停机风险。停机时间成本公司100美元,每小时1000或更高。

为什么现在ICS安全大不了吗??

如果看起来ICS安全是到处都可以看到的主题,这是因为工业经营者发现自己在拼命扑灭一些隐喻性的火灾。除了增加连接性之外,ICS还对网络罪犯更具吸引力,工业环境正在经历成长的痛苦还有其他几种方式。

IT-OT融合。在过去的五十年,操作技术(OT)已经采用信息技术(IT)系统来提高效率。在过去的二十年里,然而,这种采用速度加快了。无线网络,例如,花了不到10年时间从成不被采纳。在未来十年中,这种采用时间段将变得越来越短。

不仅有技术的融合,但也有收敛的责任,尤其是在工业网络安全方面。处理网络安全已经20多年,这对OT来说是一个相对较新的挑战。像这样的,越来越多的IT人员对OT负有网络安全责任,虽然他们可能不完全理解一个工业网络的不同的操作需求。

监管的兴起。产业在全球范围内正被迫遵守网络安全规定,如北美电力可靠性公司。关键基础设施保护(NERC CIP)北美标准工具。国际自动化协会ISA-99的指导方针,国际电工委员会IEC 62443,和国家标准与技术研究所的NIST 800 - 82也迫使运营商提供的证据表明,他们坚持网络安全最佳实践。

因为这些规定执行,ICS运营商提供audit-ready证据证明法规遵从性。考虑到ICS环境的大小和复杂性,使用手动跟踪方法维护遵从性证明几乎是不可能的,因此运营商正在寻求自动遵从性解决方案,保持系统正确配置。毕竟,审计失败可能是毁灭性的。

所有ICS操作员都应该做的三件事

减少ICS的攻击表面和确保它从可怕的停机时间尽快恢复,ICS操作员必须利用连续监测,脆弱性评估,和日志管理工具。

持续监测。许多ICS运营商缺乏可见性在他们的设备上发生了什么,如开关,路由器,还有防火墙——很多东西需要跟踪。但要让事情变得更加困难,连接到网络的设备,例如运行SCADA或MES应用程序的服务器,工程工作站,数据历史学家,智能以太网设备,和制度,还必须进行监控。这些未经授权的或意想不到的配置更改资产可以被忽视,直到为时已晚。

持续监控是关于使用安全配置管理(SCM)来检测ICS中发生的每个相关更改。变化,必须监控可以发生在文件,开放运行的端口和服务,数据库模式,网络设备配置,以及活动目录配置。为了跟踪可能指示较高潜在风险的重要变化,必须首先建立一个安全的基线来衡量。要做到这一点,搜索专门针对将SCM置于前端和中心的ICS优化的安全工具。

漏洞评估。修复已知的漏洞是ICS的健康的基础。这意味着最终用户必须理解哪些资产暴露于主要自动化供应商公开的漏洞,比如洛克韦尔,西门子ABB霍尼韦尔,以及工业控制系统网络紧急响应小组(ICS-CERT)。ICS操作员必须养成识别和分类来自供应商或负责识别和通信网络安全相关活动的组织的已发布漏洞的习惯。

最好的方法是依赖于工具,自动化的过程识别系统,网络,以及在环境中运行的应用程序,然后匹配已知的漏洞。寻找一个网络扫描仪扫描设备,确定设备是什么以及它正在运行,然后报告哪些漏洞适用于该设备。

日志管理。ICS上的许多设备都具有发送日志的能力。这些日志包含信息网络正在运行,周围是否有任何潜在的错误操作中断,以及安全事件,比如许多不成功的登录。但是没有日志管理工具,那些数据不可行。

日志管理是从许多不同类型的资产(如服务器)中获取日志的能力,应用,网络设备,防火墙、和数据库)到一个中央存储库,可用于法医分析。安全事件信息管理通过能够将来自多个源的不同类型的日志事件相关联,以查看事件是否可以绑定在一起,从而将日志管理提升到另一个级别。

避免停机需要为ICS配备用于连续监测的工具,脆弱性评估,以及日志管理。这些基本策略需要测量你的ICS安全姿势有助于减少潜在威胁的攻击表面和识别妥协的早期指标。

-加布·奥瑟尔与绊网产品经理。