工业控制系统(ICS)是我们世界关键基础设施的核心,为我们在联系社中提供了我们所享受的一切。随着组织继续更新其运营技术(OT)的最新进步,他们也应该意识到这些威胁cyber-physical系统暴露在一起。并且它不仅仅是应该有关组织的外部攻击的风险。他们还需要保持警惕不断增长的内幕威胁。
当您考虑在作为电力供应,饮用水,食物或药物的供应时可能发生的事情发生,即使只是区别,您也可以看到为什么实现严格的网络安全实践从未更重要。以下是您应该考虑的6个ICS安全最佳实践:
1.建立对工业控制系统中每个设备的深刻理解
完整的ICS资产清单为应用任何安全控制或最佳实践提供了必要的基础。我们说的不仅仅是硬件和软件(虽然这很重要)。你还需要访问数据,比如设备的物理位置,它对工业过程的重要性,以及出现问题时打电话给谁。如果不了解这些细节,您将无法处理与安全相关的信息。我们现在都知道,传统的IT库存方法不是为ICS设计的,可能会导致意想不到的后果,包括影响关键流程、拒绝服务,在最坏的情况下,会造成设备堵塞。此外,其他非扫描IT工具可能需要安装不支持旧版本Windows/Linux和精品操作系统的代理,这些在ICS环境中很常见。
那么,你有什么选择呢?一种最近在ICS安全社区得到广泛关注的库存方法是被动网络监控。使用这种方法没有什么错,它应该被用作资产管理难题的一部分。挑战在于,该方法只返回有关资产的有限信息(特别是如果它有遗留操作系统),而且不包括软件、补丁、可执行文件、注册表项或开放端口和服务等重要内容。另外,如果一个设备没有通过网络进行积极的通信,它通常会完全丢失。混合使用代理、无代理、本机ICS协议轮询和被动监视方法,可以确保您不会错过任何关键设备信息,并创建系统中实际存在的最完整的图像。
2.全面的能见度
为了完成完整的ICS资产库存和被动网络监控,包含数据包级别可见性是一个基本的最佳实践,以维护所有网络设备,更新和所有的系统库存工业控制系统(IC),以及它们之间的联系。
数据包级别可见性还可以通过消除隐藏威胁和异常的盲目来实现漏洞管理和威胁检测策略,从而提高工具性能。
数据包可见性是通过两种方式完成的-交换SPAN/镜像端口和可见性最佳实践网络水龙头。在整个工业以太网框架中部署网络抽头可确保完整的数据包可见性,以便安全和监控解决方案,从而改进正常运行时间,从而消除跨度不可避免地引入的数据包传递问题和漏洞。
3.集中管理用户帐户的管理
许多ICS服务器和工作站使用一组标准用户名和密码,默认情况下,授予管理员权限。这些系统可以包括像域控制器这样的内容,如果损害可能会影响ICS完整性。为防止这种情况发生,安全团队应集中管理,管理和报告访问,身份验证和帐户管理,以保护和验证用户帐户。
拥有一个可以与IAMs和SIEMs共享信息的监视帐户更改和访问事件的系统是至关重要的。如果安全团队能及早发现不寻常的账户活动,那么以后大家就不会有很多麻烦了。您还应该创建并实施有助于防止用户帐户被滥用的策略,包括复杂的密码要求和根据需要进行的有限访问。
4.为ICS自动化漏洞管理
正如我们之前谈过的那样,正在发现关键漏洞随着频率的增加。为了最大限度地减少攻击者利用新弱点的机会窗口,您需要一种漏洞 - 首先方法。并非所有漏洞都有一个补丁,尤其是在ICS环境中,它通常可以立即修补这些系统来不切实际。
被动地确定新漏洞的需求是资产所有者的巨大优势。您可以使用将其拍摄ICS设备数据进行比较并将其进行比较nist的cve数据库和ICS-CERT咨询告诉您哪些资产受到影响,如果有可用的补丁。然后,您可以使用此信息并使用它来优先考虑修补工作(适用于实际修补的资产)。请记住的重要警告是,您的漏洞管理工具仅与您的资产库存一样好,因此请先遵循#1的建议。
5.实施异常检测技术
错误配置的设备可以为攻击者提供一个简单的入口点,以便为攻击者提供一个易于的IC,因此您可以为您连续监控更改的每个端点都有一个已知的好配置的基准。可移动媒体是另一个攻击载体最近一直在牵引力,因此也保持密切关注。如果在端点中检测到任何类型的更改,包括可移动介质,请确保您获得有关可疑事件的足够的上下文数据来快速行动。
使用网络入侵检测系统,其中有时也称为被动网络监控,提供额外的威胁检测层,因为它在网络中使用协议识别通信异常。如果您具有端点和网络监控,您将能够以多种方式检测可疑活动。这可以充当一种故障安全机制,因此如果您以某种方式错过了一种技术,另一个将抓住它。
6.具有正确数据的安全响应者
首先,确保您的安全人员不仅积极地查看ICS事件数据,而且具有一定程度的关于这些环境如何工作的知识和培训。向SOC团队提供交叉培训将帮助他们理解他们传统监控的IT网络和最近出现的OT网络之间的差异,后者更加异构和复杂。
对合适的人员获得正确的数据对于ICS安全团队来说是至关重要的。具有足够足以实现OT系统复杂性的解决方案,但也可以扩展,以适应更广泛的企业安全生态系统,肯定是一个挑战。在考虑ICS网络安全解决方案时,请确保它提供了SoC团队需要的可操作数据,例如工业设备在其所在的地方,以及在该资产中检测到临时异常,在工厂呼叫谁。此外,您应该确保通过与公司SIEMS,CMDB和票务系统的API集成,以直观的方式共享此数据。最后,如果发生最坏的情况,您应该始终为所有可由IT安全和OT运营团队处于紧急情况下访问的所有ICS设备的已知安全配置的存储备份。
如果您想了解关于如何在您的环境中应用这些ICS安全性最佳实践的更多信息,我们建议研究20 CIS控制。该框架优先考虑网络安全的最佳实践,以消化的实现组,以帮助您完成安全性。检查我们20 CIS控制IC的实施指南,它使这个框架适应工业环境的独特需求,并提供了来自安全专家的有用提示。
