书评:工业网络安全

Eric D. Knapp和Joel Thomas Langill合著的一本新书探讨了如何保护关键基础设施网络的应用,包括智能电网、SCADA和其他工业控制系统。

Aw 82264 Andyrobinsonweb

作为一名资深的自动化专业人士,我在从大型化工到制药等行业都有经验,并曾从事过将dcs扩展到具有20个I/O和两屏人机界面的微型系统的项目。当我看到标题时,我很兴奋这本书因为我希望能够平衡地看待现实世界中的解决方案。现在在我们的行业中有一个严重的问题,人们传播恐惧、不确定和怀疑,因为我们的协议是不安全的,供应商没有实践适当的安全开发生命周期,所以我们都注定要失败。尽管许多被公开的令人恐惧的细节是真实的,但我认为一个更平衡的方法是突出缺陷,然后提供终端用户可以从讨论中获取并付诸实践的可操作信息。这种方法几乎就是这本书的大纲。

作者通过历史教训和工业控制系统(ICS)网络设计中的基本概念来了解读者,使读者提供一些优秀的工作。接下来,他们通过描述不安全协议来提高赌注,并有关于如何解决这些协议的讨论。显示的信息肯定不是地球破碎,并且一旦学习协议,就可能是某人的黑客102或103。然而,这本书真正成功的地方,就是让您从一个可怕的地方浏览您通过可用于保护您的系统的真实世界任务。

作者在评估风险、划分风险、然后监控网络上不受欢迎的活动等逻辑步骤方面做了出色的工作。它本质上是一步一步地告诉你如何有条不紊地降低你的总体风险,我认为这是一本内容广泛的书的适当细节水平。虽然没有办法做到百分之百的安全,这本书提供了一长串的事情要做,使对手的任务无限困难。

但是,如果它没有包括诚实的批评,则不会审查。住在美国以外,我被迫通过Kindle下载并阅读这本书。文本布局和格式是可接受的,但许多表格在Kindle格式中格式化得非常差和义务。它似乎没有花时间来格式化这些表以在Kindle上进行最佳观看,而是被复制为黑白图像并包含在线。一些较长的表格在系列中作为多个图像呈现,使其非常难以遵循。

另一个问题是不断返回数据二极管作为解决工厂中许多潜在问题的解决方案。是的,当在ICS网络之外进行通信时,数据二极管对于有限的用例来说是一个极好的解决方案,但它似乎在几乎每一次都被重新作为一种解决方案来使用。相反,我更愿意把重点放在保护内部网络上,使用灵活且相关的解决方案,如防火墙和IPS/IDS。精心设计的攻击即使与C2(指挥和控制)基础设施切断,也有可能造成严重破坏。这是我们在ICS中唯一的风险,空间攻击者可以在不泄露任何一个字节数据的情况下造成严重伤害。

对于那些已经在网络安全空间工作的人来说,我也有一个头脑。本书对与ICS安全有关的任何特定主题并不深入潜水。如果您想了解不安全协议的详细讨论,它们可以攻击的许多方式以及改变安全协议的建议,这不是您的书。此外,如果您是经验丰富的ICS Professional,则本书的开放章节可能是多余的,因为它们只是将读者介绍给一些基本的网络安全概念。最后,如果您对自己的安全专家们,并认为阅读本书将为您提供所有工具,您需要走进炼油厂并展示您对其独特系统的卓越知识,您可以进行严重叫醒。鉴于此,我认为这本书的目标是以下群体:

  • ICS工程师知道如何使系统工作,但并不真正知道系统如何工作。这里有一个例子来帮助阐明我的观点:你可以在你的服务器和客户端之间建立一个Modbus TCP连接并运行,但是你不知道Modbus TCP数据包是如何工作的,因此,你不知道它是如何被攻击的。阅读本文后,您将更好地理解这个问题,然后您就可以开始考虑最有效的方法来确保您的安装。
  • 希望开始了解ICS网络及其带来的独特挑战的安全专业人员。作者出色地描述了与ICS网络相关的基本概念,以及它们与传统IT系统的不同之处。有了坚实的基础和对我们在ICS领域所做事情的必要的尊重,我认为IT安全专业人员可以开始努力帮助我们的系统更接近于我们的IT同行。

我的总体印象是,对于广大的潜在读者来说,这是一本好书,但你也应该准备继续更深入地学习。

安迪·鲁宾逊是热心的解决方案公司的注册会员控制系统集成商协会.有关Avid Solutions的更多信息,请访问工业自动化交换。

本文中的公司
更多的在家里