保護(hù)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全是一項***挑戰(zhàn)性的任務(wù)，主要是因為ICS網(wǎng)絡(luò)缺乏IT基礎(chǔ)設(shè)施中的威脅監(jiān)控、檢測以及響應(yīng)能力。為了將ICS安全落實到實際情況中，每個組織機(jī)構(gòu)在保護(hù)ICS網(wǎng)絡(luò)安全時，需考慮以下三個首要問題：

1.我們知道要保護(hù)的內(nèi)容嗎?

為了保護(hù)網(wǎng)絡(luò)，***步就是創(chuàng)建技術(shù)和關(guān)鍵資產(chǎn)詳細(xì)目錄。缺乏基線理解就談不上保護(hù)。一般而言，工業(yè)控制器(PLC、RTU和DCS)最I(lǐng)CS網(wǎng)絡(luò)最關(guān)鍵的組件，因為工業(yè)控制器負(fù)責(zé)工業(yè)過程的整個生命周期。自動化控制器確保持續(xù)安全的運(yùn)作。

保護(hù)控制器需要準(zhǔn)確了解運(yùn)行的固件、執(zhí)行的代碼和邏輯以及當(dāng)前配置。控制器固件、邏輯或配置發(fā)生任何變化都有可能導(dǎo)致運(yùn)行中斷。

因為大多數(shù)ICS網(wǎng)絡(luò)是幾十年前部署的，某些資產(chǎn)被遺忘也是司空見慣的事。大多數(shù)組織對環(huán)境中需要保護(hù)的關(guān)鍵資源不明晰。手動記錄這些關(guān)鍵資產(chǎn)的手工流程不僅不準(zhǔn)確，還乏味、耗費(fèi)資源。

缺乏自動化資產(chǎn)發(fā)現(xiàn)和管理迫使許多組織依賴使用電子表格的手動文檔。這種過時的方法不僅導(dǎo)致員工倦怠和誤差，還給網(wǎng)絡(luò)泄露創(chuàng)造可乘之機(jī)。

自動化資產(chǎn)發(fā)現(xiàn)和管理為ICS安全團(tuán)隊提供***的精準(zhǔn)詳細(xì)目錄，賦予他們規(guī)劃并推行有效安全控制的能力。

2. ICS網(wǎng)絡(luò)情況如何?不幸的是，很多發(fā)生在ICS網(wǎng)絡(luò)中情況未知。ICS網(wǎng)絡(luò)本質(zhì)上不同于IT網(wǎng)絡(luò)，它們不止缺乏可見性和安全控制，還使用專門技術(shù)和廠商特定通信協(xié)議。這就使得IT控制不適用于這些環(huán)境。

一些ICS網(wǎng)絡(luò)監(jiān)控解決方案專注于發(fā)生在ICS網(wǎng)絡(luò)數(shù)據(jù)平面的HMI/SCADA應(yīng)用活動。這種活動在容易監(jiān)控的已知和標(biāo)準(zhǔn)化通信協(xié)議下執(zhí)行。

然而，在工業(yè)控制器上執(zhí)行的核心工程活動，包括控制、邏輯、配置設(shè)置和固件上傳/下載的變化無法在這些數(shù)據(jù)平面網(wǎng)絡(luò)協(xié)議中被監(jiān)控，那是因為這些控制平面的活動在專有廠商特定協(xié)議中執(zhí)行。這些協(xié)議通常無正式文件且匿名，這就使得監(jiān)控難上加難。本文由E安全(搜索“E安全”公眾號關(guān)注)獨(dú)家編譯，未經(jīng)授權(quán)不得轉(zhuǎn)載。

IT網(wǎng)絡(luò)中，執(zhí)行控制平面活動通常需要專門特權(quán)。然而，大多數(shù)ICS網(wǎng)絡(luò)缺乏驗證或加密控制。因此，具有網(wǎng)絡(luò)訪問權(quán)的任何人可以執(zhí)行以上活動。此外，缺乏捕捉變化和活動的審計跟蹤或日志(用來支持取證調(diào)查)。

了解工業(yè)控制平面中的工程活動應(yīng)該是ICS安全團(tuán)隊的首要任務(wù)。這是惡意活動和人為錯誤會造成重大損失的地方。

3. 我們能有效管理并響應(yīng)安全事件嗎?由于缺乏ICS網(wǎng)絡(luò)的可見性和控制，大多數(shù)組織無法及時有效響應(yīng)事件，這樣一來，不僅削弱了防御力，還增加了緩解的總體成本。

實時了解工業(yè)網(wǎng)絡(luò)是ICS安全的關(guān)鍵。為了保護(hù)ICS網(wǎng)絡(luò)免受外部威脅、惡意內(nèi)部人員以及人為錯誤的威脅，工業(yè)組織必須監(jiān)控所有ICS活動—無論通過未知或受信任的內(nèi)部人員執(zhí)行，以及活動是否授權(quán)。

只有全面了解數(shù)據(jù)平面和控制平面的網(wǎng)絡(luò)活動，組織機(jī)構(gòu)才能運(yùn)用有效的安全和訪問管理政策。

實施準(zhǔn)確的安全策略還能確保ICS安全團(tuán)隊在未授權(quán)和意外活動發(fā)生時及時提醒。這些安全策略可以提供必需信息快速查明問題源并進(jìn)行緩解，將損害和破壞最小化。