當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

工業(yè)控制系統(tǒng)ICS安全團(tuán)隊(duì)?wèi)?yīng)審視的三大問題

責(zé)任編輯：editor005 |來源：企業(yè)網(wǎng)D1Net 2016-10-11 14:24:30 本文摘自：51CTO

保護(hù)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全是一項(xiàng)極具挑戰(zhàn)性的任務(wù)，主要是因?yàn)镮CS網(wǎng)絡(luò)缺乏IT基礎(chǔ)設(shè)施中的威脅監(jiān)控、檢測以及響應(yīng)能力。為了將ICS安全落實(shí)到實(shí)際情況中，每個(gè)組織機(jī)構(gòu)在保護(hù)ICS網(wǎng)絡(luò)安全時(shí)，需考慮以下三個(gè)首要問題：

1.我們知道要保護(hù)的內(nèi)容嗎?

為了保護(hù)網(wǎng)絡(luò)，第一步就是創(chuàng)建技術(shù)和關(guān)鍵資產(chǎn)詳細(xì)目錄。缺乏基線理解就談不上保護(hù)。一般而言，工業(yè)控制器(PLC、RTU和DCS)最I(lǐng)CS網(wǎng)絡(luò)最關(guān)鍵的組件，因?yàn)楣I(yè)控制器負(fù)責(zé)工業(yè)過程的整個(gè)生命周期。自動(dòng)化控制器確保持續(xù)安全的運(yùn)作。

保護(hù)控制器需要準(zhǔn)確了解運(yùn)行的固件、執(zhí)行的代碼和邏輯以及當(dāng)前配置。控制器固件、邏輯或配置發(fā)生任何變化都有可能導(dǎo)致運(yùn)行中斷。

因?yàn)榇蠖鄶?shù)ICS網(wǎng)絡(luò)是幾十年前部署的，某些資產(chǎn)被遺忘也是司空見慣的事。大多數(shù)組織對環(huán)境中需要保護(hù)的關(guān)鍵資源不明晰。手動(dòng)記錄這些關(guān)鍵資產(chǎn)的手工流程不僅不準(zhǔn)確，還乏味、耗費(fèi)資源。

缺乏自動(dòng)化資產(chǎn)發(fā)現(xiàn)和管理迫使許多組織依賴使用電子表格的手動(dòng)文檔。這種過時(shí)的方法不僅導(dǎo)致員工倦怠和誤差，還給網(wǎng)絡(luò)泄露創(chuàng)造可乘之機(jī)。

自動(dòng)化資產(chǎn)發(fā)現(xiàn)和管理為ICS安全團(tuán)隊(duì)提供最新的精準(zhǔn)詳細(xì)目錄，賦予他們規(guī)劃并推行有效安全控制的能力。

2. ICS網(wǎng)絡(luò)情況如何?不幸的是，很多發(fā)生在ICS網(wǎng)絡(luò)中情況未知。ICS網(wǎng)絡(luò)本質(zhì)上不同于IT網(wǎng)絡(luò)，它們不止缺乏可見性和安全控制，還使用專門技術(shù)和廠商特定通信協(xié)議。這就使得IT控制不適用于這些環(huán)境。

一些ICS網(wǎng)絡(luò)監(jiān)控解決方案專注于發(fā)生在ICS網(wǎng)絡(luò)數(shù)據(jù)平面的HMI/SCADA應(yīng)用活動(dòng)。這種活動(dòng)在容易監(jiān)控的已知和標(biāo)準(zhǔn)化通信協(xié)議下執(zhí)行。

然而，在工業(yè)控制器上執(zhí)行的核心工程活動(dòng)，包括控制、邏輯、配置設(shè)置和固件上傳/下載的變化無法在這些數(shù)據(jù)平面網(wǎng)絡(luò)協(xié)議中被監(jiān)控，那是因?yàn)檫@些控制平面的活動(dòng)在專有廠商特定協(xié)議中執(zhí)行。這些協(xié)議通常無正式文件且匿名，這就使得監(jiān)控難上加難。本文由E安全(搜索“E安全”公眾號關(guān)注)獨(dú)家編譯，未經(jīng)授權(quán)不得轉(zhuǎn)載。

IT網(wǎng)絡(luò)中，執(zhí)行控制平面活動(dòng)通常需要專門特權(quán)。然而，大多數(shù)ICS網(wǎng)絡(luò)缺乏驗(yàn)證或加密控制。因此，具有網(wǎng)絡(luò)訪問權(quán)的任何人可以執(zhí)行以上活動(dòng)。此外，缺乏捕捉變化和活動(dòng)的審計(jì)跟蹤或日志(用來支持取證調(diào)查)。

了解工業(yè)控制平面中的工程活動(dòng)應(yīng)該是ICS安全團(tuán)隊(duì)的首要任務(wù)。這是惡意活動(dòng)和人為錯(cuò)誤會(huì)造成重大損失的地方。

3. 我們能有效管理并響應(yīng)安全事件嗎?由于缺乏ICS網(wǎng)絡(luò)的可見性和控制，大多數(shù)組織無法及時(shí)有效響應(yīng)事件，這樣一來，不僅削弱了防御力，還增加了緩解的總體成本。

實(shí)時(shí)了解工業(yè)網(wǎng)絡(luò)是ICS安全的關(guān)鍵。為了保護(hù)ICS網(wǎng)絡(luò)免受外部威脅、惡意內(nèi)部人員以及人為錯(cuò)誤的威脅，工業(yè)組織必須監(jiān)控所有ICS活動(dòng)—無論通過未知或受信任的內(nèi)部人員執(zhí)行，以及活動(dòng)是否授權(quán)。

只有全面了解數(shù)據(jù)平面和控制平面的網(wǎng)絡(luò)活動(dòng)，組織機(jī)構(gòu)才能運(yùn)用有效的安全和訪問管理政策。

實(shí)施準(zhǔn)確的安全策略還能確保ICS安全團(tuán)隊(duì)在未授權(quán)和意外活動(dòng)發(fā)生時(shí)及時(shí)提醒。這些安全策略可以提供必需信息快速查明問題源并進(jìn)行緩解，將損害和破壞最小化。

關(guān)鍵字：ICS 工業(yè)控制器