工业控制系统(ICS)安全团队应检查的三大问题和响应能力。为了将ICS安全付诸实践,每个组织在保护ICS网络时需要考虑以下三个主要问题:1.我们知道要保护什么吗?要保护网络,第一步是创建技术和关键资产库存。没有基本的了解就没有保护。一般来说,工业控制器(PLC、RTU和DCS)是ICS网络中最关键的组件,因为工业控制器负责工业过程的整个生命周期。自动控制器确保持续安全运行。保护控制器需要准确了解正在运行的固件、正在执行的代码和逻辑以及当前配置。对控制器固件、逻辑或配置的任何更改都可能中断操作。由于大多数ICS网络都是几十年前部署的,因此某些资产被遗忘的情况并不少见。大多数组织不清楚其环境中需要保护的关键资源。手动记录这些关键资产的手动过程不仅不准确,而且乏味且占用大量资源。缺乏自动化资产发现和管理迫使许多组织依赖使用电子表格的手动文档。这种过时的方法不仅会导致员工倦怠和错误,还会为网络漏洞创造机会。自动化资产发现和管理为ICS安全团队提供了精确的清单,使他们能够规划和实施有效的安全控制。2.ICS网络怎么样?不幸的是,ICS网络中发生的许多事情都是未知的。ICS网络与IT网络有着本质上的不同,因为它们不仅缺乏可见性和安全控制,而且还使用专门的技术和供应商特定的通信协议。这使得IT控制不适用于这些环境。一些ICS网络监控解决方案专注于发生在ICS网络数据平面上的HMI/SCADA应用程序活动。这些活动是在易于监控的已知和标准化通信协议下执行的。然而,在工业控制器上执行的核心工程活动,包括控制、逻辑、配置设置和固件上传/下载的更改,无法在这些数据平面网络协议中进行监控,因为这些控制平面活动是在特定的专有供应商中执行的协议。这些协议通常是无证和匿名的,使监督更加困难。本文由E安全独家整理(搜索“E安全”公众号关注),未经授权不得转载。在IT网络中,执行控制平面活动通常需要特殊权限。然而,大多数ICS网络缺乏身份验证或加密控制。因此,任何具有网络访问权限的人都可以执行上述活动。此外,缺少捕获更改和活动(以支持取证调查)的审计跟踪或日志。了解工业控制平面中的工程活动应该是ICS安全团队的首要任务。这是恶意活动和人为错误可能造成重大损害的地方。3.能否有效管理和应对安全事件?由于缺乏对ICS网络的可见性和控制,大多数组织无法及时有效地响应事件,这不仅削弱了防御,还增加了缓解的总体成本。对工业网络的实时可见性是ICS安全的关键。为了保护ICS网络免受外部威胁、恶意内部人员和人为错误的影响,工业组织必须监控所有ICS活动——无论是由未知人员还是受信任的内部人员执行的,以及该活动是否经过授权。只有全面了解数据平面和控制平面网络活动,组织才能应用有效的安全和访问管理策略。实施精确的安全策略还可以确保ICS安全团队在发生未经授权和意外的活动时收到警报。这些安全策略可以提供快速查明问题根源并缓解问题所需的信息,从而最大限度地减少损害和中断。
