应用深度安全防御
网络安全工程师在早期工作中最重要的认识之一是,孤立的安全工作是无效的。正是这一重要认识催生了纵深防御的概念,这是一种使用多种不同方法保护系统免受任何特定攻击向量的技术。
|
网络安全工程师在早期工作中最重要的认识之一是,孤立的安全工作是无效的。正是这一重要认识催生了纵深防御的概念,这是一种使用多种不同方法保护系统免受任何特定攻击向量的技术。《孙子兵法》在历史上有记载,并由国家安全局重新构思,这种分层战略旨在提供一种全面的信息和电子安全方法。
这种策略非常适用于工业控制系统领域。虽然许多工业控制系统都具有各种集成的网络安全控制,但现实情况是,这些系统仍然容易受到许多类型的威胁。因此,至少从网络安全的角度来看,它们不应该被孤立地部署。系统所有者和实施者提出的问题是,“我们如何最大限度地保证我们的工业控制系统在部署后能够充分抵御网络攻击?”答案是纵深防御。
本次讨论的主要目的是强调控制系统安全的纵深防御技术,概述网络安全软件产品和解决方案,以及网络安全最佳实践。美国国家标准与技术研究所(NIST)的两份出版物对该主题进行了极好的概述:“联邦信息系统推荐安全控制-特别出版物800-53”和“工业控制系统安全指南-特别出版物800-82”可以应用于目前商用的工业控制系统。
鉴于纵深防御适用于工业控制系统的程度,这将是讨论该主题的系列文章中的第一篇。纵深防御也是工业网络安全博客上的一个持续讨论话题控制工程的网站。
使用专家
在进一步讨论之前,考虑一个简单的医疗保健类比。你可能会去看你的初级保健医生,但在他或她诊断出你的身体问题后会发生什么呢?如果初级保健医生不愿意治疗,你会被转介到专科医生那里。毕竟,如果你得了脑肿瘤,你可能不会希望你的初级保健医生做这样精细的手术,更不用说专门从事胃肠医学的医生了。当你开始寻找网络安全软件解决方案来强化你的工业控制系统时,寻找合适的专家的想法也同样适用。
例如,您可能正在考虑购买经过验证的知名安全信息和事件管理(SIEM)软件解决方案。您发现该产品捆绑了一个新的集成模块,承诺简化用户访问供应。您真的想使用这个新的、可能未经验证的模块来解决您的身份和访问管理操作的这个特定方面吗?或者您应该倾向于另一种已经在这些功能上专攻多年的软件产品?无论新模块有多便宜,您都应该选择后者。随着工业控制系统供应商采取行动保护其解决方案,资产所有者将更频繁地面临这类决策。
使用图表
该图表概述了当前的威胁和解决方案:
工业控制系统常用网络组件;
工业控制系统网络组件面临的普遍网络安全威胁;
网络安全软件产品(即技术网络安全控制)。根据我们的经验,上述例子已经证明能够减轻这些威胁,但可能还有其他例子也可以做到这一点;和
经过验证的网络安全最佳实践(即人员和流程网络安全控制),可以减轻相应的威胁。
通过研究该表,您应该得出结论,工业控制系统网络资产面临的网络安全威胁可以通过建立和执行健全的纵深防御战略(包括技术和程序控制)来有效缓解。本系列2010年的后续文章将详细介绍这些控制,并讨论与工业控制系统安全相关的其他主题,包括:
概述控制网络中使用的典型IT解决方案的优缺点;
提出“控制系统采购语言”概念,并提供安全软件指导;
解释有效保护工业控制系统所需的各种技能;和
为了最大限度地保证适当和充分的安全控制得到控制系统供应商的认可和支持,需要考虑的事项和采取的步骤。
我们期待在我们的博客上看到您的评论。
工业控制系统网络资产 | 主要的网络安全威胁 | 推荐的网络安全软件产品(技术网络安全控制) | 推荐的网络安全最佳实践(人员和流程网络安全控制) |
现场硬件(rtu, plc,其他ied) | •默认,不安全的设置•无法管理 | •外部漏洞扫描评估工具(Tenable Nessus),但请谨慎使用•使用ICS供应商定义的模板进行交互式配置分析 | •仅使用经过认证的固件进行更新•保护敏感的配置信息•在物理安全、网络安全、运营和工程之间进行适当的协作设计飞地,以确保可靠性 |
人机界面(HMI) | •缺乏对系统状态的准确可见性•缺乏真实的控制 | •限制性中间人配置(参见Encari白皮书“保护智能电网”) | •运营商必须综合理解物理、网络和操作感知数据 |
现场技术员/工程工作站 | •高度移动/瞬时笔记本电脑连接到许多网络资产和不同信任级别的网络•物理敏感信息丢失 | •应用程序白名单(CoreTrace Bouncer),以限制流氓应用程序•本地主机防火墙和安全控制(赛门铁克) | •了解系统丢失时的事件响应计划•安全意识,传授有关笔记本电脑管理的最佳实践 |
远程供应商支持计算机 | 不受信任的系统和/或网络允许访问控制网络和系统 | •构建跳跃(使用Hypervisor和VMWare ESX服务器)•应用串行连接访问限制(使用Tripp Lite产品) | 与经过筛选的顾问建立服务水平协议 |
工业通信网 | •默认,不安全的设置•无法管理•连接到许多不同的信任级别的网络 | •示例:迁移到受管Cisco ICS硬件•使用加固指南,可从www.CISecurity.org•使用手动流程或被动探测器(桑迪亚国家实验室的Antfarm和软件定义无线电(SDR))全面发现和记录有线和无线网络资产及其连接。•定义适当的架构隔离功能,以增加事件响应 | •与供应商合作,迁移到标准的可管理IT通信平台和功能•根据威胁指标定义增量监控,警报和响应升级程序 |
DCS/SCADA前端处理器(数据采集/控制服务器) | •具有典型IT漏洞的常见操作系统•与不同信任级别的网络资产进行未经认证的WAN/LAN通信 | •为互不信任定义单向通信流(Waterfall Technologies)•应用程序白名单(CoreTrace Bouncer)以限制流氓应用•现场通信的多路径冗余 | •基于应用程序和受控环境的可信度复制系统(配电与传输) |
历史学家/数据库 | •操作存储的信息,以影响未来的预测或实时处理(取决于实现)•反向通道通信流到信息源(前端应用程序) | •监控数据库修改以防止欺诈活动(NitroSecurity dbm)•应用程序白名单(CoreTrace Bouncer)以限制流氓应用程序•定义单向通信流以消除相互不信任(Waterfall Technologies) | •影响供应商采用与您的员工使用相同的数据库软件(例如公司数据库服务器) |
所有 | •未记录的网络资产或通信渠道的变更或增加•跨控制和公司网络的多归属设备•未记录的网络资产电路板通信•员工流失和内部威胁 | •整合限制性通信和数据流(enclaves)•密码托管(eDMZ安全密码管理)•开发补丁和基线管理解决方案(Lumension/KBox)•建立合规性和文档存储库(Archer Technologies)•保持持续的行业威胁和漏洞意识(关键情报)•开发攻击树方法来执行风险分析(Amenaza SecurItree) | •利用DHS CSSP采购语言集成适当的控制•开发适当的工作流程和通信,以支持可持续的变更管理流程•审查网络资产的工程规范•执行,工程,物理安全和网络安全协作 |
作者信息 |
顾问Matt Luallen和Steve Hamburg是Encari的联合创始人,也是工业网络安全博客的作者控制工程。 |
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。