工业控制系统(ICS)是全球关键基础设施的核心,为体育博彩平台推荐在互联社会中享受的一切提供动力。随着组织不断更新其操作技术(OT)的最新进展,他们也应该意识到这些网络物理系统所面临的威胁。组织应该关注的不仅仅是外部攻击的风险。他们还需要对日益增长的内部威胁保持警惕。当你考虑到电力、饮用水、食品或药品供应中断(即使只是区域性的)可能发生的情况时,你就会明白为什么实施严格的网络安全措施从未像现在这样重要。以下是您应该考虑的6个ICS安全最佳实践:
1. 深入了解工业控制系统中的每个设备
完整的ICS资产清单为应用任何安全控制或最佳实践提供了必要的基础。体育博彩平台推荐讨论的不仅仅是硬件和软件(尽管这很重要,很明显)。您还需要访问数据,例如设备的物理位置,它对工业过程的重要性,以及如果出现问题应该呼叫谁。如果不了解这些细节,您将无法处理与安全相关的信息。体育博彩平台推荐都知道,传统的IT库存方法并不是为ICS设计的,可能会导致意想不到的后果,包括影响关键流程、拒绝服务,以及在最坏的情况下损坏设备。此外,其他非扫描IT工具可能需要安装代理,该代理不支持旧版本的Windows/Linux和小型操作系统,这在ICS环境中很常见。那么,你有什么选择?最近在ICS安全社区中获得大量关注的一种盘点方法是被动网络监控。使用这种方法没有什么错,它应该被用作资产管理难题的一部分。挑战在于,该方法返回的关于资产的信息有限(特别是如果它具有遗留操作系统),并且不包括软件、补丁、可执行文件、注册表项或开放端口和服务等重要内容。另外,如果一个设备没有主动通过网络进行通信,它通常会被完全忽略。混合使用代理、无代理、本地ICS协议轮询和被动监视方法,可确保您不会错过任何关键设备信息,并创建系统中实际情况的最完整图像。
2. 全面的可见性
为了完成完整的ICS资产清单和被动网络监控,结合包级可见性是维护所有网络设备、更新和所有工业控制系统(ICS)及其之间链接的系统清单的基本最佳实践。数据包级别可见性还支持漏洞管理和威胁检测策略,通过消除隐藏威胁和异常的盲点来提高工具性能。数据包可见性通过两种方式实现-交换机SPAN/镜像端口和可见性最佳实践网络tap。在整个工业以太网框架中部署网络tap,确保了安全和监控解决方案的完整数据包可见性,提高了正常运行时间,消除了数据包传输问题和SPAN不可避免地引入的漏洞。
3. 集中管理用户账号
许多ICS服务器和工作站使用一组标准用户名和密码,并在默认情况下授予管理员特权。这些系统可能包括域控制器之类的东西,如果受到损害,可能会影响ICS的完整性。为了防止这种情况发生,安全团队应该集中监控、管理和报告访问、身份验证和帐户管理,以保护和验证用户帐户。拥有一个监视帐户更改和访问事件的系统,并与iam和siem共享该信息是至关重要的。如果安全团队能及早发现不寻常的账户活动,就能避免以后大家的很多麻烦。您还应该创建和执行有助于防止用户帐户滥用的策略,包括基于需要了解的复杂密码要求和限制访问。
4. 自动化ICS漏洞管理
正如体育博彩平台推荐之前所讨论的,越来越频繁地发现了关键漏洞。为了最大限度地减少攻击者利用新弱点的机会,您需要一种漏洞优先的方法。并不是所有的漏洞都有补丁,特别是在ICS环境中,而且立即给这些系统打补丁通常是不切实际的。被动地根据需求识别新的漏洞对资产所有者来说是一个巨大的优势。您可以使用一个工具来完成此操作,该工具将ICS设备数据与NIST的CVE数据库和ICS- cert建议进行比较,以告诉您哪些资产受到影响,以及是否有可用的补丁。然后,您可以获取这些信息并使用它来确定修补工作的优先级(对于那些实际上可以修补的资产)。这里要记住的一个重要警告是,您的漏洞管理工具仅与您的资产清单一样好,因此请确保首先遵循第1条的建议。
5. 实现异常检测技术
配置错误的设备可以为攻击者提供进入ICS的简单入口点,因此请确保为持续监视更改的每个端点提供已知良好配置的基线。可移动媒体是最近获得关注的另一种攻击媒介,所以也要密切关注它。如果在端点中检测到任何类型的更改(包括来自可移动媒体的更改),请确保获得有关可疑事件的足够上下文数据,以便快速采取行动。使用网络入侵检测系统(有时也称为被动网络监控)提供了一个额外的威胁检测层,因为它使用网络中的协议识别通信异常。如果您有端点和网络监控,您将能够以多种方式检测可疑活动。这可以作为一种故障安全机制,以便如果您不知何故错过了一种技术的异常,另一种技术将捕获它。
6. 为安全响应人员提供正确的数据
首先,确保您的安全人员不仅积极地查看ICS事件数据,而且还具有一定程度的关于这些环境如何工作的知识和培训。为您的SOC团队提供交叉培训将帮助他们了解他们传统监控的IT网络与最近进入画面的OT网络之间的差异,后者更加异构和复杂。将正确的数据提供给正确的人对于ICS安全团队来说至关重要。拥有一个足够专业的解决方案来应对OT系统的复杂性,同时又具有足够的可扩展性以适应更广泛的企业安全生态系统,这无疑是一个挑战。在考虑ICS网络安全解决方案时,请确保它提供SOC团队所需的可操作数据,例如工业设备的重要性,位置,以及如果在该资产中检测到关键异常,该向工厂的谁打电话。此外,您应该确保可以通过与公司siem、cmdb和票务系统的API集成,以直观的方式共享这些数据。最后,万一发生最坏的情况,您应该始终为所有ICS设备存储已知安全配置的备份,以便在紧急情况下IT安全和OT操作团队都可以访问。如果您想了解有关如何在您的环境中应用这些ICS安全最佳实践的更多信息,体育博彩平台推荐建议您研究20个CIS控件。该框架将网络安全最佳实践按优先顺序划分为易于理解的实现组,以帮助您完成安全工作。查看体育博彩平台推荐的ICS 20 CIS控制实施指南,该指南根据工业环境的独特需求调整了该框架,并提供了来自安全专家的有用提示。
