工业控制系统(ICS)是世界关键基础设施的核心,为我们在互联社会中所享受的一切提供动力。随着组织不断更新他们的操作技术(OT),他们也应该意识到这些威胁cyber-physical系统接触。组织应该关注的不仅仅是外部攻击的风险。他们还需要警惕越来越多的内幕的威胁。
当你考虑到像电力、饮用水、食品或药品供应这样重要的事情被中断会发生什么,即使只是地区性的中断,你就会明白为什么实施严格的网络安全措施从未如此重要。以下是你应该考虑的6个ICS安全最佳实践:
1.深入了解工业控制系统中的每一个设备
完整的ICS资产清单为应用任何安全控制或最佳实践提供了必要的基础。我们说的不仅仅是硬件和软件(虽然这很重要)。你还需要访问数据,比如设备的物理位置,它对工业过程的重要性,以及出现问题时打电话给谁。如果不了解这些细节,您将无法处理与安全相关的信息。我们现在都知道,传统的IT库存方法不是为ICS设计的,可能会导致意想不到的后果,包括影响关键流程、拒绝服务,在最坏的情况下,会造成设备堵塞。此外,其他非扫描IT工具可能需要安装不支持旧版本Windows/Linux和精品操作系统的代理,这些在ICS环境中很常见。
那么,你有什么选择呢?一种最近在ICS安全社区得到广泛关注的库存方法是被动网络监控。使用这种方法没有什么错,它应该被用作资产管理难题的一部分。挑战在于,该方法只返回有关资产的有限信息(特别是如果它有遗留操作系统),而且不包括软件、补丁、可执行文件、注册表项或开放端口和服务等重要内容。另外,如果一个设备没有通过网络进行积极的通信,它通常会完全丢失。混合使用代理、无代理、本机ICS协议轮询和被动监视方法,可以确保您不会错过任何关键设备信息,并创建系统中实际存在的最完整的图像。
2.全面的可见性
为了完成完整的ICS资产清单和无源网络监控,结合包级可见性是维护所有网络设备、更新和所有工业控制系统(ICS),以及它们之间的联系。
包级别的可见性还支持漏洞管理和威胁检测策略,通过消除隐藏威胁和异常的盲点来提高工具性能。
数据包可见性是通过两种方式完成的-交换SPAN/镜像端口和可见性最佳实践网络tap。在工业以太网框架中部署网络tap可确保完整的数据包可见性,以实现安全和监控解决方案,提高正常运行时间,消除数据包传递问题和SPAN不可避免地引入的漏洞。
3.集中管理用户帐号
许多ICS服务器和工作站使用一组标准用户名和密码,默认情况下,授予管理员特权。这些系统可能包括域控制器之类的东西,如果被破坏,可能会影响ICS完整性。为了防止这种情况发生,安全团队应该集中监控、管理和报告访问、身份验证和帐户管理,以保护和验证用户帐户。
拥有一个可以与IAMs和SIEMs共享信息的监视帐户更改和访问事件的系统是至关重要的。如果安全团队能及早发现不寻常的账户活动,那么以后大家就不会有很多麻烦了。您还应该创建并实施有助于防止用户帐户被滥用的策略,包括复杂的密码要求和根据需要进行的有限访问。
4.ICS漏洞管理自动化
正如我们之前谈到的,关键漏洞正在被发现越来越频繁。为了尽可能减少攻击者利用新弱点的机会,您需要采用漏洞优先的方法。并不是所有的漏洞都有补丁,特别是在ICS环境中,而且立即给这些系统打补丁通常是不切实际的。
对资产所有者来说,按需被动地识别新的漏洞是一个巨大的优势。您可以使用一个工具来实现这一点,该工具将您的ICS设备数据与NIST的CVE数据库和ICS-CERT警告告诉您哪些资产受到影响,以及是否有可用的补丁。然后您可以利用这些信息,并使用它来确定您的修补工作的优先级(对于那些实际上可以修补的资产)。这里要记住的一个重要警告是,您的漏洞管理工具只和您的资产清单一样好,所以请确保首先遵循第一条建议。
5.实现异常检测技术
一个配置错误的设备可以为攻击者提供一个容易进入ICS的入口点,因此要确保您对每个端点都有一个已知的正确配置基线,您要不断地监视这些端点的更改。可移动媒体是另一个最近获得关注的攻击载体,所以也要密切关注它。如果在终端中检测到任何类型的更改(包括来自可移动媒体的更改),请确保获得有关可疑事件的足够上下文数据以迅速采取行动。
使用网络入侵检测系统,有时也被称为被动的网络监控,提供了一个额外的威胁检测层,因为它使用网络中的协议来识别通信异常。如果您同时具备端点和网络监视功能,就能够通过多种方式检测可疑活动。这可以作为一种故障安全机制,因此如果使用一种技术遗漏了异常,另一种技术将捕捉到它。
6.用正确的数据授权安全响应人员
首先,确保您的安全人员不仅积极地查看ICS事件数据,而且具有一定程度的关于这些环境如何工作的知识和培训。向SOC团队提供交叉培训将帮助他们理解他们传统监控的IT网络和最近出现的OT网络之间的差异,后者更加异构和复杂。
对于ICS安全团队来说,将正确的数据提供给正确的人是非常重要的。拥有一个能够满足OT系统复杂性的足够专门化的解决方案,同时又具有足够的可伸缩性以适应更广泛的企业安全生态系统,当然是一个挑战。当考虑ICS网络安全解决方案时,请确保它提供SOC团队需要的可操作数据,比如工业设备的重要性、位置,以及如果在资产中检测到关键异常,应向工厂呼叫谁。此外,您应该确保这些数据可以通过与企业SIEMs、cmdb和票务系统的API集成以直观的方式为它们共享。最后,在发生最坏情况时,您应该始终为所有ICS设备保存已知安全配置的存储备份,该备份存储在一个位置,在紧急情况下IT安全和OT操作团队都可以访问该位置。
如果您想了解关于如何在您的环境中应用这些ICS安全性最佳实践的更多信息,我们建议研究20 CIS控制。这个框架将网络安全最佳实践优先考虑到易于理解的实现组中,以帮助您完成安全性。检查我们的ICS的CIS控制实施指南,它使这个框架适应工业环境的独特需求,并提供了来自安全专家的有用提示。
