工业控制系统(ICS)是世界关键基础设施的核心,为我们在互联社会中享受的一切提供动力。随着组织继续用最新的进步更新他们的操作技术(OT),他们也应该意识到这些威胁cyber-physical系统接触。组织需要担心的不仅仅是外部攻击的风险。他们也需要警惕越来越多的内幕的威胁.
如果像电力、饮用水、食品或药品供应这样重要的东西被破坏了,甚至只是地区性的,你就会明白为什么实施严格的网络安全措施从来没有像现在这样重要。以下是你应该考虑的6个ICS安全最佳实践:
1.深入了解工业控制系统中的每个设备
完整的ICS资产清单为应用任何安全控制或最佳实践提供了必要的基础。我们说的不仅仅是硬件和软件(尽管这显然很重要)。你还需要访问数据,比如设备的物理位置,它对工业流程的重要性,以及如果出现问题应该打电话给谁。如果不了解这些细节,您将无法处理与安全相关的信息。我们现在都知道,传统的IT库存方法不是为ICS设计的,可能会导致意想不到的后果,包括影响关键流程、拒绝服务,在最坏的情况下,还会导致设备砖化。此外,其他非扫描IT工具可能需要安装一个代理,该代理不支持旧版本的Windows/Linux和小型操作系统,这在ICS环境中很常见。
那么,你有什么选择?最近在ICS安全社区中获得了广泛关注的一种库存方法是无源网络监视。使用这种方法并没有错,它应该作为资产管理难题的一部分。挑战在于,这种方法返回关于资产的有限信息(特别是如果它有一个遗留操作系统),并且不包括重要的东西,如软件、补丁、可执行文件、注册表项或开放端口和服务。此外,如果一个设备没有通过网络主动通信,它通常会完全丢失。混合使用代理、无代理、本机ICS协议轮询和被动监视方法,可以确保您不会错过任何关键设备信息,并创建系统中实际情况的最完整图像。
2.全面的可见性
为了完成完整的ICS资产清单和无源网络监控,合并包级别可见性是维护所有网络设备、更新和所有网络设备的系统清单的基本最佳实践工业控制系统(ICS),以及它们之间的联系。
包级别的可见性还支持漏洞管理和威胁检测策略,通过消除隐藏威胁和异常的盲点来提高工具性能。
包可见性通过两种方式实现-交换机SPAN/Mirror端口和能见度最佳实践网络点击.在整个工业以太网框架中部署网络tap可确保完整的数据包可见性,从而提供安全和监控解决方案,提高正常运行时间,消除SPAN不可避免地引入的数据包传递问题和漏洞。
3.集中管理用户帐户
许多ICS服务器和工作站使用一组标准用户名和密码,默认情况下授予管理员特权。这些系统可能包括域控制器之类的东西,如果被泄露,可能会影响ICS的完整性。为了防止这种情况发生,安全团队应该集中监视、管理和报告访问、身份验证和帐户管理,以保护和验证用户帐户。
拥有一个监控帐户更改和访问事件的系统非常关键,这些事件可以与IAMs和SIEMs共享这些信息。如果安全团队能够及早发现异常的账户活动,那么以后就会为大家省去很多麻烦。您还应该创建并实施有助于防止用户帐户滥用的策略,包括复杂的密码要求和基于了解需求的有限访问。
4.自动化ICS漏洞管理
我们之前讲过,关键漏洞正在被发现越来越频繁。为了减少攻击者利用新弱点的机会,您需要一种漏洞优先的方法。并不是所有的漏洞都有补丁,特别是在ICS环境中,立即给这些系统打补丁通常是不切实际的。
被动地根据需要识别新的漏洞对资产所有者来说是一个巨大的优势。您可以使用一个工具来完成这一任务,该工具获取ICS设备数据并与之进行比较NIST的CVE数据库和ICS-CERT警告告诉您哪些资产受到影响,以及是否有可用的补丁。然后您可以利用这些信息并使用它来对您的补丁工作进行优先级排序(对于那些实际上可以被补丁的资产)。这里需要记住的一个重要警告是,漏洞管理工具的好坏取决于你的资产清单,所以务必首先遵循第1条建议。
5.实现异常检测技术
一个配置错误的设备可以为攻击者提供进入ICS的简单入口,因此请确保对每个端点都有一个已知的良好配置基线,以便持续监控更改。可移动媒体是最近获得关注的另一个攻击向量,所以也要密切关注它。如果在端点中检测到任何类型的更改(包括来自可移动媒体的更改),请确保您获得了有关可疑事件的足够上下文数据,以便快速采取行动。
使用网络入侵检测系统,有时也被称为被动的网络监控,提供了一个额外的威胁检测层,因为它使用网络协议识别通信异常。如果端点和网络都进行了监视,就能够以多种方式检测可疑活动。这可以作为一种故障安全机制,因此,如果您在某种程度上错过了一种技术的异常,另一种技术将会捕捉到它。
6.用正确的数据授权安全应对人员
首先,确保您的安全人员不仅积极地查看ICS事件数据,而且还对这些环境如何工作有一定程度的知识和培训。为您的SOC团队提供交叉培训将帮助他们理解他们传统监视的IT网络和最近出现的OT网络之间的差异,后者更加异构和复杂。
将正确的数据提供给正确的人员对于ICS安全团队来说是非常关键的。对于OT系统的复杂性,要有一个足够专门化的解决方案,同时又要有足够的可伸缩性,以适应更广泛的企业安全生态系统,这无疑是一个挑战。在考虑ICS网络安全解决方案时,确保它提供SOC团队需要的可操作数据,比如工业设备有多重要,它位于哪里,如果在该资产中检测到严重异常,应在工厂呼叫谁。此外,您应该确保这些数据可以通过与公司SIEMs、cmdb和票务系统的API集成以一种直观的方式共享。最后,在最糟糕的情况下,您应该始终将所有ICS设备的已知安全配置的存储备份保存在IT安全和OT运营团队在紧急情况下都可以访问的地方。
如果您想了解更多关于如何在您的环境中应用这些ICS安全最佳实践的信息,我们建议您研究20 CIS控制.该框架将网络安全最佳实践按优先级划分为易于理解的实现组,以帮助您完成安全工作。检查我们的ICS的CIS控制实施指南,该公司对该框架进行了调整,以满足工业环境的独特需求,并提供了安全专家提供的有用提示。
