完整的ICS资产清单为应用任何安全措施或实践提供了必要的基础。而且,不仅是硬件和软件您还需要访问数据,例如设备的物理位置,对工业过程的重要性以及如果出现问题时应与谁联系。如果不了解这些详细信息,您将无法对与安全性有关的信息做很多事情。到目前为止,我们都知道传统的IT清单方法不是为ICS设计的,并且可能导致意想不到的后果,包括影响关键流程,拒绝服务,甚至在最坏的情况下影响设备。此外,其他非扫描的IT工具可能需要安装不支持Windows / Linux旧版本和Boutique 操作系统的Agent,这在ICS中很常见。
那么,您应该怎么选择呢?被动的安全网络监视是最近在ICS安全社区中引起广泛关注的一种清单方法。使用这种方法没有什么错,应该将其用作资产管理难题中的一个。但面临的挑战是,此方法返回有关资产的信息有限(尤其是如果它具有旧版操作系统),并且不包括软件,补丁程序,可执行文件,注册表项或打开的端口和服务之类的重要信息。另外,如果设备未通过网络主动进行通信,则通常会完全错过该设备。所以结合使用Agent,non-Agent,本机ICS协议轮询和被动监视方法,可确保您不会错过任何关键设备信息,并创建系统中实际内容的最完整描述。
2.网络可见性
要完成完整的ICS资产清单和被动网络监控,数据包级可见性是维护所有网络设备,更新和所有工业控制系统(ICS)以及它们之间的链接的系统清单的基本最佳实践。
数据包级可见性还支持漏洞管理和威胁检测策略,通过消除隐藏威胁和异常的盲点来提高安全性。
数据包可见性以两种方式实现-交换机SPAN /镜像端口和可见性最佳实践网络TAP。在整个工业以太网框架中部署网络TAP可以确保对安全性和监视解决方案的完整数据包可见性,从而延长了正常运行时间,消除了SPAN不可避免地引入的数据丢包问题。
3.集中管理用户帐户
许多ICS服务器和工作站使用一组标准的用户名和密码,默认情况下,授予管理员特权。这些系统可能包括域控制器之类的东西,如果受到损害,则可能会影响ICS完整性。为了防止这种情况的发生,安全团队应集中进行访问,身份验证和帐户管理的监视,管理和报告,以保护和验证用户帐户。
拥有一个监控帐户的更改和访问事件的系统非常重要,事件信息可以与IAM和SIEM共享。如果安全团队及早发现异常的帐户活动,那么以后将为大家省去很多麻烦。您还应该创建并执行策略,从而首先帮助防止滥用用户帐户,包括复杂的密码要求和基于需要的有限访问权限。
4.自动化ICS的漏洞管理
正如我们之前所讨论的那样,发现关键漏洞的频率越来越高。为了最大程度地减少攻击者利用新漏洞的机会,您需要一种以漏洞优先的方法。并非所有漏洞都有补丁,尤其是在ICS环境中,并且立即对这些系统进行补丁通常是不切实际的。
对于资产所有者而言,按需被动识别新漏洞是一个巨大的优势。您可以使用获取ICS设备数据并将其与NIST的CVE数据库和ICS-CERT咨询进行比较的工具来完成此操作告诉您哪些资产受到影响以及是否有可用的补丁程序。然后,您可以获取此信息并将其用于确定修补工作的优先级(针对那些可以实际修补的资产)。这里要记住的一个重要警告是,漏洞管理工具仅当资产清单做好以后效果才好,因此请确保首先遵循#1的建议。
5.实施异常检测技术
错误配置的设备可以为攻击者提供进入ICS的便捷入口,因此请确保您有一个基准,该基准是您要不断监视变更的每个终端的已知正确配置。可移动媒体是最近受到越来越多关注的另一种攻击媒介,因此也请注意这一点。如果在终端中检测到任何类型的变更(包括来自可移动媒体的更改),请确保您获取了有关可疑事件的足够的上下文数据以快速采取行动。
使用网络入侵检测系统,有时也称为被动网络监控,由于它使用网络中的协议识别通信异常,因此提供了另一层威胁检测。如果同时具有终端和网络监视功能,则可以通过多种方式检测可疑活动。这可以作为一种故障安全机制,因此,如果您的某种方式错过某种异常,另一种则会捕获该异常。
6.为安全响应者提供正确的数据
首先,请确保您有安全人员,他们不仅在积极查看ICS事件数据,而且对这些环境如何工作有一定程度的了解和培训。为您的SOC团队提供交叉培训将帮助他们了解他们传统上监控的IT网络与最近出现的OT网络之间的差异,这些差异更加异构和复杂。
对于ICS安全团队而言,将正确的数据提供给合适的人员至关重要。拥有一个既可以针对OT系统的复杂性进行专门化处理又具有足够的可扩展性以适合更广泛的公司安全生态系统的解决方案,无疑是一个挑战。在考虑ICS网络安全解决方案时,请确保它提供SOC团队所需的可行数据,例如工业设备的重要性,它的位置以及如果在该资产中检测到关键异常情况时应致电工厂的人。此外,您应确保可以通过与公司SIEM,CMDB和票证系统的API集成以直观的方式共享这些数据。,最后,在最坏的情况下,您应该始终在一个IT安全和OT操作团队在紧急情况下都可以访问的地方为所有ICS设备存储已知安全配置的备份。
如果您想了解有关如何在您的环境中应用这些ICS安全最佳实践的更多信息,我们建议您探索20个CIS控件。该框架将网络安全最佳实践划分为可消化的实施组,以帮助您完成安全性。查看我们的ICS的20 CIS控制实施指南,该指南使该框架适应了工业环境的独特需求,并提供了来自安全专家的有用提示。