工业控制系统(ICS)网络安全并不是一个新话题,许多公司多年来一直在解决这个问题,但由于保护方面的差距仍然存在,这对许多公司来说仍然是一个挑战。在某些情况下,这些困难是由复杂性引起的——多个工厂地点、多个供应商、多条业务线以及遗留和专有设备;在其他情况下,这是由于许多公司采用的零碎的、逐个资产的网络安全方法。
为了有效地解决ICS网络安全问题,来自NextNine(工业运营技术安全管理软件供应商)提倡基于三个原则的安全方法:
- 自顶向下的安全方法,具有集中定义的全厂范围的自动化策略,以确保对所有现场资产的一致保护。
- 关注安全要点,即确保重要事项的安全,并反复做好基本工作,以保护工业资产免受风险。
- 优先保护现场资产,这是生产安全和完整性的关键。
Mahal说:“我们相信安全加固是一个持续的过程,每个迭代步骤都会一点一点地缩小安全差距。”
Mahal说,解决这些原则的第一步是获得端到端的可见性。NIST框架和NERC-CIP v5都表示,资产识别是了解必须保护的内容的基础。全面和最新的资产清单对于开发和维护工业网络和基础设施的适当防御至关重要。所有者/运营商需要清楚地看到网络上有哪些设备;他们用什么交流,如何交流;器件的特性;以及任何已知漏洞的存在。”
在操作技术(OT)环境中进行这种资产发现是有挑战的。由于几十年的老设备可能对自动资产发现方法很敏感,Mahal建议以“一种不引人注目的方式来使用发现方法,以避免破坏其可用性。应该实施被动和主动方法的组合来映射设备,并了解它们与什么通信以及如何通信。”
一旦组织对其网络资产有了清晰的了解,就可以建立纵深防御,实施适当的强化流程,并进行下一步:建立安全连接和远程访问控制。
由于内部和外部专业人员越来越需要访问工业控制系统来维护和监控设备,执行补丁和日志收集等安全流程,并提高资产的正常运行时间,因此这些资产的攻击面不可避免地增加了。Mahal说:“组织通常使用虚拟专用网络(vpn)和专有的远程访问工具,但这些做法会因为跨企业的多条通信线路和共享访问凭证而给组织带来风险。”“更好的安全通信方式是将所有远程访问都集中在一个完全由IT安全专业人员控制的位置。这消除了直接进入工业资产的安全控制的专有终端运行。”
这种方法的最佳实践包括远程用户身份验证,“不需要共享资产的凭据,最好是通过密码库进行访问,而不需要共享实际密码,”Mahal说。“所有用户访问权限都应设置为‘最低权限’模式,个别情况除外。最后,所有用户的活动都应该被监控和审计,IT和OT能够在必要时批准、拒绝或终止会话。”
Mahal表示,一旦企业拥有了完整的资产清单,并可以通过安全连接远程访问所有这些资产,下一步就是使用“自上而下的集成方法”实施持续保护。Mahal解释说,“自上而下”意味着运营和控制办公室应该推动政策、程序和技术解决方案,以确保整个环境的安全。他使用的术语“集成”解决了IT和OT之间的交叉点,包括远程工厂、总部和设备供应商等第三方。
Mahal说:“ICS安全策略的创建、部署和监控应该是自上而下的,并考虑到集成操作,该策略的主要重点应该是保护现场资产。”“如果这些资产受到损害,将对作业安全、完整性和效率构成最大的风险。因此,必须自动执行安全策略。组织应该解决安全问题,并专注于做正确的基本事情,比如应用合格的操作系统补丁和反病毒签名,收集和分析设备日志,扫描IP地址范围以寻找意外变化。”
