保护工业控制系统(ICS)网络安全是一项***挑战性的任务,主要是因为ICS网络缺乏IT基础设施中的威胁监控、检测以及响应能力。为了将ICS安全落实到实际情况中,每个组织机构在保护ICS网络安全时,需考虑以下三个首要问题:
1.我们知道要保护的内容吗?
为了保护网络,***步就是创建技术和关键资产详细目录。缺乏基线理解就谈不上保护。一般而言,工业控制器(PLC、RTU和DCS)最ICS网络最关键的组件,因为工业控制器负责工业过程的整个生命周期。自动化控制器确保持续安全的运作。
保护控制器需要准确了解运行的固件、执行的代码和逻辑以及当前配置。控制器固件、逻辑或配置发生任何变化都有可能导致运行中断。
因为大多数ICS网络是几十年前部署的,某些资产被遗忘也是司空见惯的事。大多数组织对环境中需要保护的关键资源不明晰。手动记录这些关键资产的手工流程不仅不准确,还乏味、耗费资源。
缺乏自动化资产发现和管理迫使许多组织依赖使用电子表格的手动文档。这种过时的方法不仅导致员工倦怠和误差,还给网络泄露创造可乘之机。
自动化资产发现和管理为ICS安全团队提供***的精准详细目录,赋予他们规划并推行有效安全控制的能力。
2. ICS网络情况如何?不幸的是,很多发生在ICS网络中情况未知。ICS网络本质上不同于IT网络,它们不止缺乏可见性和安全控制,还使用专门技术和厂商特定通信协议。这就使得IT控制不适用于这些环境。
一些ICS网络监控解决方案专注于发生在ICS网络数据平面的HMI/SCADA应用活动。这种活动在容易监控的已知和标准化通信协议下执行。
然而,在工业控制器上执行的核心工程活动,包括控制、逻辑、配置设置和固件上传/下载的变化无法在这些数据平面网络协议中被监控,那是因为这些控制平面的活动在专有厂商特定协议中执行。这些协议通常无正式文件且匿名,这就使得监控难上加难。本文由E安全(搜索“E安全”公众号关注)独家编译,未经授权不得转载。
IT网络中,执行控制平面活动通常需要专门特权。然而,大多数ICS网络缺乏验证或加密控制。因此,具有网络访问权的任何人可以执行以上活动。此外,缺乏捕捉变化和活动的审计跟踪或日志(用来支持取证调查)。
了解工业控制平面中的工程活动应该是ICS安全团队的首要任务。这是恶意活动和人为错误会造成重大损失的地方。
3. 我们能有效管理并响应安全事件吗?由于缺乏ICS网络的可见性和控制,大多数组织无法及时有效响应事件,这样一来,不仅削弱了防御力,还增加了缓解的总体成本。
实时了解工业网络是ICS安全的关键。为了保护ICS网络免受外部威胁、恶意内部人员以及人为错误的威胁,工业组织必须监控所有ICS活动—无论通过未知或受信任的内部人员执行,以及活动是否授权。
只有全面了解数据平面和控制平面的网络活动,组织机构才能运用有效的安全和访问管理政策。
实施准确的安全策略还能确保ICS安全团队在未授权和意外活动发生时及时提醒。这些安全策略可以提供必需信息快速查明问题源并进行缓解,将损害和破坏最小化。