有效保卫工业控制系统的七个步骤
美国人得出的结论是:攻击者的能力已被证明,网络事件的频率和复杂性正在持续增加。
以今年的例子来看,美国主要燃油管道运营商殖民管道公司(Colonial Pipeline)遭到了网络攻击,不得不关闭整个燃油管道输送系统以控制威胁的传播,科洛尼尔(Colonial Pipeline)供应占美国东海岸燃料消耗量45%。由于受勒索软件攻击而停止了运营,这再次证明了基础设施面对网络攻击是何其脆弱。
Colonial管道是美国最大的成品油管道,一个5,500英里(8851公里)的系统,用于将超过1亿加仑的汽油从德克萨斯州休斯敦市运送到纽约港。
据彭博社和《华尔街日报》报道,网络安全公司FireEye的Mandiant事件响应部门正在协助调查,该攻击可能与名为DarkSide的勒索软件有关。
美国网络安全和基础设施安全局(CISA)表示,正在就此情况与Colonial及其跨部门合作伙伴进行接触。并鼓励每个组织采取行动,加强其网络安全状况,以减少遭受此类威胁的可能性。
美国燃料管道被黑客攻击后,世界肉类加工企业巨头JBS也在近日被“黑”,北美地区和澳大利亚的部分工厂受到影响,据报道美国的肉类批发价格应声出现上涨。
美国很多安全专家认为网络入侵美国的关键基础设施系统的网络攻击干扰事件越来越频繁发生。对于许多工业控制系统(ICSs)来说,不是入侵是否会发生的问题,而是何时发生的问题。
传统的工业控制保护的认知明显是不够的,若想保护ICSs免受现代威胁需要精细的、良好的安全策略,优秀的策略将为网络防御团队提供快速、有效地检测、提供了对抗和驱逐攻击者的机会。
NIST提出七种策略,认为在建造控制系统时若可以实现,可以对付常见的可利用的弱点。
2、合理配置,及时更新
明确资产,需要梳理资产清底数,才能更好的跟踪需要哪些补丁。优先处理在HMI、数据库服务器和工程工作站角色中使用的“PC”机器的补丁和配置管理,攻击者显然对这些IT常规的设备具有显著的网络攻击能力。受感染的笔记本电脑就是一个重要的恶意软件载体。规范的管理程序将限制外部笔记本电脑与控制网络的连接,最好为供应商提供自己公司已知安全的笔记本电脑。规范的程序鼓励先测试系统安装更新。包括先对更新进行恶意软件检测功能,再安装在实际运行的操作系统上。系统入侵者往往瞄准那些未打补丁的系统。以安全输入和可信补丁的实现为中心的配置和补丁管理程序,将有助于保持控制系统更加安全。
4、构建防御环境体系
如果需要从安全区域到不安全区域的单向数据传输,请考虑使用经批准的可移动介质而不是网络连接。如果需要实时数据传输,请考虑使用光电隔离。允许获取数据而不使控制系统处于危险之中。
5、加强身份管理认证
攻击者如今越来越关注如何获得合法凭证,来伪装成合法用户进行工业控制系统的攻击,特别是特权账户相关的凭证。攻击者获取合法凭据后伪装成合法用户,则留下更少的可供审计的记录和证据,这样减少利用漏洞或执行恶意软件。采用多因素认证,实现特权用户权限最小化。
6、加强远程访问安全
7、监测与应急响应
当发现入侵活动时,需要一个有效的应急预案。
应急预案可能包括断开所有互联网连接,运行适当范围的防恶意软件,禁用受影响的用户账户,隔离可疑系统,并立即全部进行密码重置。应急预案也可以定义升级触发和执行,包括事件响应、调查、分析、报告等。
防御网络对抗现代威胁需要积极监测黑客攻击渗透,并迅速执行应急响应。可以考虑在以下五个关键点建立监测计划:
5)监视管理账户动作以检测访问控制操作。
以上文字翻译自美国NIST文章,本文英文原文由美国国土安全部、联邦调查局、国土安全局的专家完成,翻译过程中部分采用意译,以及由于本人能力水平有限,难免存在舛误,不到之处请方家多多海涵。
最近,我整理了一些有关工业控制安全的文字,其中整理了有关DCS的四个思维导图,只不过是在不断提醒网络运营者能够提升安全意识,使安全意识付出行动,最终采取技术和管理措施,提升安全防护水平。网络安全是非传统动态的,是魔与道永无休止的抗争。