“首先,每个公司都应该关注,”西门子工业安全服务公司(Siemens Industrial Security Services)的业务发展总监兼主管斯特凡·沃龙卡(Stefan Woronka)在谈到网络安全威胁时表示美国计算机应急准备小组(CERT) TA18-074A警报Woronka指出,不仅能源行业的工业公司需要注意CERT警报中揭示的问题,西门子支持的所有行业都面临网络安全挑战
鉴于美国CERT警报中提供的检测和预防措施清单非常广泛,工业网络安全技术供应商Nozomi Networks的创始人兼首席技术官莫雷诺·卡鲁洛(Moreno Carullo)表示,用户必须意识到,有一项关键技术用于实现这类监控建议该技术是混合威胁检测。“这包括使用特征码和基于行为的异常检测来识别威胁,”他说。“结果相互关联,并与作战环境相关,提供对正在发生的情况的快速洞察,从而缩短缓解时间。”
卡鲁洛指出亚拉鲁勒斯是混合威胁检测的“一种特征方法”,因为它由“一个高级脚本库组成,用于检查是否存在恶意软件IOC(危害指标)。YaraRules汇总检查多个恶意软件IOC,以减少手动威胁检测工作。”他补充道,由于雅拉鲁莱斯是由全球安全研究人员组成的开放社区开发的,因此雅拉鲁莱斯图书馆“创新速度与集体知识体系一样快。”
每当政府发出警告时,卡鲁洛说,现在正是各组织注意并优先考虑或重新优先考虑其网络安全防御的好时机。考虑到这一建议,以下是发布CERT警报TA18-074A后他的建议:
- 设置防火墙策略以限制出站通信服务。阻止SMB作为允许的出站通信协议。
- 确保密码既复杂又长。尽可能使用双因素身份验证。
- 指导人们定期更改密码,特别是与关键系统和管理员密码相关的密码。
- 向员工传达情况的严重性,要求每个人警惕可疑的电子邮件、活动或设施内的人员。
- 让关键人员可用并处于备用紧急模式。
- 审查您的事件响应和停机计划。
- 检查所有管理员帐户。识别和禁用未授权的。
- 确保物理防御很高。如果存在阻止ICS系统编程的硬件密钥,则应检查它们以确保它们未处于编程模式。
- 优先检查网络的异常行为和妥协指标(IOCs)。
- 从网络中清除IOCs。
- 加强防火墙规则,限制入站和出站通信之间的网络和行业网络的部分。这包括将出站协议限制为最小集,这就排除了SMB。
- 实施实时网络安全和操作可视性技术,这将有助于提供早期预警高级威胁保护(APT),并允许在感染造成损害之前采取行动根除感染。
- 实施实时监控和警报关联,以减少检查IOC存在的工作量。
沃龙卡说,作为确保工业设施安全的关键一步,西门子建议“完成对其资产的彻底分析,然后建立一个将IT和OT结合在一起的整体安全概念。我们称之为整体安全概念,有助于回答业务安全的关键问题,包括:我需要在我的业务中保护什么?我需要什么级别的安全? 如何保护特定资产?”
沃龙卡表示,西门子采用的整体安全方法整合了IEC 62443和ISO 27001的要求,以提供对IT和OT要求的关注。(有关这方面的更多信息,请访问www.siemens.com/industrialsecurity)执行此过程的初始步骤包括确定保护范围内最有价值的资产以及潜在的威胁和影响。
“根据这些信息,可以进行威胁和风险分析,”他说。“这很好地概述了哪些资产需要更高的保护级别。”
为了建立一种包括基于IEC 62443的深度防御在内的整体安全方法,Woronka说,用户应该考虑将该过程分为三个主要类别:
- 透明度进行评估。这涉及到提高生产环境的透明度。
- 采用不同的措施实施纵深防御体系结构。这可能包括用于网络分割的防火墙、加强端点、实施强健的补丁管理程序、使用端点软件(如白名单或防病毒软件)、适当的用户和访问管理以及远程连接管理。“这些措施通常被视为基本的网络卫生措施,”他说。“他们只是需要在那里。”
- 网络安全管理。实施的系统和架构需要保持最新,并通过定期修补、维护防病毒保护、安装防火墙等方式进行监控。