德专家针对Stuxnet推出新框架 提高ICS/SCADA安全

安全
根据ICS/SCADA专家Ralph Langner表示,关键基础设施运营商采用了安全行业流行的风险管理理念,这样做是错误的。这位德国安全专家破译了Stuxnet如何瞄准在伊朗的纳坦兹核设施的西门子PLC,他发布了一个网针对ICS(工业控制系统)的网络安全框架,他称这个框架比美国政府的网络安全框架更适用,目前还是草案的形式。

根据ICS/SCADA专家Ralph Langner表示,关键基础设施运营商采用了安全行业流行的风险管理理念,这样做是错误的。这位德国安全专家破译了Stuxnet如何瞄准在伊朗的纳坦兹核设施的西门子PLC,他发布了一个网针对ICS(工业控制系统)的网络安全框架,他称这个框架比美国政府的网络安全框架更适用,目前还是草案的形式。

这个被称为强大的ICS规划和评估(RIPE)框架采用了一种不同的方法来锁定设施,与NIST的基于风险的网络安全框架相比,这种方法更多地基于流程。

Langner表示:“大家都知道,ICS环境缺乏强制执行的安全政策,特别是针对承包商。在关键基础设施中更大的资产所有者有针对工作人员的政策,但并不是针对承包商。在Stuxnet之后,这似乎被疏忽了。”

再有就是ICS / SCADA系统的修补难题:虽然大部分这些企业声称有一个修补方案,但通常修复周期为一年,并且,你会发现,根据政策需要修复的系统,通常只有一半真正得到了修复。

在私有ICS环境,网络安全只有低优先级。Langner估计,95%的关键基础设施运营商没有专门的安全专业人士来负责其系统,并且,其ICS安全只占其IT预算的不到1%。

Langner表示:“如果有说明网络安全能力的指标,那就是资源。如果电厂、炼油厂或者管道运营商没有专门负责ICS安全的专职人员,关于ICS安全的任何进一步讨论都是没有意义的。”

Langner指出,基于风险的安全方法可以是捏造的,并非基于经验数据或者关于ICS环境的现实。他指出,NIST网络安全框架让企业可以基于“部署层”来确定其部署框架的方向,从而确定其安全状态的成熟度。 “几乎没有企业可以简单地决定其目标部署层,这基本上意味着一个完全不成熟的网络安全过程。”

风险管理基本上已经成为安全界的“宗教”,Mandiant公司首席安全官Richard Bejtlich表示,“风险管理已经深入每个人的心里,但在业务水平之下,我不认为大多数IT安全人员都专注于其中。”

RIPE明确了需要记录和测量的工厂系统的8个领域来确定安全状态:系统数量,或者软件和硬件清单;网络架构,包括网络模型和图表;组件交互或者工艺流程图;员工角色和责任,身份、特权数据库,以及针对所有工作人员和承包商的政策;员工技能和能力发展,或者培训课程以及操作和维护记录;指导,又称政策和标准操作流程;设计和配置变更,或者工厂规划和变更管理流程;以及系统收购,或采购指南。

部署每个步骤都有模板。“我要说的是,如果你使用我们的模板,或者通过其他工作来对上述8个领域进行测量,你将能够提高你的网络安全态势。使用RIPE的人将会对可衡量网络安全保证比合规性更感兴趣。”

RIPE还包括这8个方面的度量基准和评分。Langner表示,RIPE是基于工厂车间操作员的见解,这是一个切实可行的办法,能够更好地保护这些环节。同时,Langner希望RIPE将影响NIST网络安全框架的最后版本。

责任编辑:蓝雨泪 来源: IT168
相关推荐

2013-11-05 13:16:10

2010-10-12 16:30:25

2014-07-09 14:02:16

2021-09-13 05:23:00

谷歌Android 12 API

2010-09-27 11:23:53

2023-03-14 14:55:44

2015-10-12 13:29:27

2009-05-13 09:57:33

AdobeStrobe框架

2012-07-31 09:43:53

2015-03-13 10:04:01

2015-07-29 15:51:23

2015-11-17 10:58:07

巴黎恐怖袭击谷歌推特

2009-08-07 13:08:21

2018-08-29 08:13:22

Google 学习框架技术

2015-05-28 11:15:55

2011-10-28 17:08:40

2012-12-19 14:38:52

2019-12-23 10:47:54

ICS安全物联网安全物联网

2011-11-08 10:30:05

Eclipse

2010-04-15 00:46:20

CompuwareChangepoint
点赞
收藏

51CTO技术栈公众号