上月乌克兰停电百余座城市没有电,初步调查由乌克兰政府和美国国土安全部确定黑客负责拆离电网实现之道是用高功率恶意软件BlackEnergy感染公司计算机
问题在于它能表示网络战的开始对离家近的制造商来说,这意味着他们的工业控制系统绝对不安全并不是说我们还不知道国土安全工业控制系统网络应急队(ICS-CERT)显示,2015年报告事件295起,更多事件未报告或未检测
ICS-CERT最近刷新建议帮助公司预防网络事件,详细报告七大策略可消除自建控制系统常用漏洞
技术需求从ICS扩展至网络架构、补丁管理权和行政权,但各组织必须实施多维方法,以综合方式编织各种安全技术
显示ICS-CERT报告七大安全ICS建议包括:
应用白列表用于检测并预防未经授权程序运行,这可能包括试图执行恶意软件数据库服务器和人机接口计算机等系统静态性使得这些理想候选者运行AWL
配置/批量管理网络对手目标无源系统配置/批处理程序以安全导入和实施可信补丁帮助控制系统更加安全程序从精确基线和资产盘点开始跟踪需要补丁优先补丁配置管理HMI使用、数据库服务器和工程工作站角色
减少攻击面面积孤立ICS网络不受信任,关闭所有未用端口并关闭未用服务只有当业务需求或控制函数定义时,才允许实时连接外部网络
构建可防御环境限制网络外围漏洞段网络逻辑飞地并限制宿主对宿主通信路径并允许正常系统通信继续运行
管理验证- 视可能实施多因子认证将权限减到用户职责所需要权限需要密码时,执行安全密码策略,强调长度重复杂性包括系统和非交互账户在内的所有账户确保证书独有性并至少每90天更改所有密码
实现安全远程存取一些对手有效远程存取控制系统, 查找隐式存取向量, 甚至系统操作符刻意创建的“隐藏后门 ” 。尽可能删除这些存取器,特别是调制解调器,因为这些器基本不安全不允许远程持久供应商连接控制网络要求远程访问操作符受控、受时间限制和程序相似性为 锁出标签 。 可能时使用二因子认证机制避免两种令牌类型相似并易失窃(例如密码和软证书 ) 。
监控响应考虑在以下五大点建立监控程序并制订响应计划
- 观察IP边界异常或可疑通信
- 监控控制网络内恶意连接或内容流量
- 使用宿主产品检测恶意软件和攻击图
- 登录分析(时间和地点等)检测失窃证书使用或不当访问,用快速电话验证所有异常
- 监视账号/用户管理动作检测访问控制操作
制造厂商最大的开销可能是 需要改变方式 安全控制系统网络外围加防火墙 并加载病毒检测软件计算机需要层次技术、最佳做法和更重要的是IT操作技术团队之间的合作安全策略必须持续进程不静止,因为总有新威胁出现
至此,没有任何系统会百分之百安全记住,即使是这七大策略 也不能保证保护但它是一个极佳开始
