来自该领域的网络安全建议

二月，SANS研究所举行了ICS和SCADA安全峰会佛罗里达州奥兰多附近控制工程能够和迈克尔·阿桑特和蒂姆·康威在节目中呆上一段时间。Assante目前是SANS的ICS和SCADA负责人，并曾担任NERC的副总裁兼首席安全官。他曾在爱达荷国家实验室领导一个关键控制系统小组，并担任美国电力公司的副总裁兼首席安全官。Conway是NIPSCO NERC合规和运营技术总监。Matt Luallen是一位经常为安全问题撰写文章的人，他提出了这些问题。完整的28分钟视频讨论可以在网上找到，但这里有一些经过编辑的重点内容。

Luallen:你是一个资产所有者，你刚刚收到消息，你的系统被入侵了。你该怎么办?

Assante:通知你的方式将开始一个应该事先计划好的过程。应该有一些步骤来开始分析:

• 我们认为妥协的影响是什么?
• 我们如何收集正确的信息?
• 我们如何做出正确的决定?

很多人会立即做出决定并采取行动，但有时在你开始采取行动做出回应之前，对正在发生的事情有个感觉会更好。希望你有一个剧本，你练习这个剧本。了解什么受到了影响是至关重要的，并且能够通知操作人员，他们可能依赖的系统的完整性和可用性受到了影响是至关重要的。

您可能很容易被愚弄，以为人工制品或证据的来源就是发生妥协的地方，并且是唯一受到影响的地方。你必须退后一步并意识到，如果你看一下统计数据，妥协的平均时间超过400天。所以，仅仅因为证据来自一个盒子，并不意味着它是这个事件中唯一涉及的盒子。你需要警告太多的人，有一个事件正在进行，可能会影响运营，然后你试图得到一个所有人都可能受到影响的指示。然后你攻击它。

康威:通知和沟通是关键——每个人都必须在信息传入时理解它:你知道什么，它会产生什么影响，你将如何回应，以及你将以你多年来一直练习的方式进行练习。如果你是一个没有实践你的事件响应计划的公司，你没有实践你要通知谁，你要如何沟通，或者你要如何在工业控制系统环境中控制这些;当它发生的时候，处理它并不是你想做的时候。你要一直假装你是一家刚刚受到攻击的公司。在你的人际网络的各个层面，在你的组织的各个层面进行练习。然后决定你需要做什么来控制它，根除它，并消除它。然后，当事情真的发生时，你就会按照剧本行事。你像一个坐在办公桌前的操作员一样，遵循操作程序。当电气系统发生故障时，操作人员有操作指南，他们有需要遵守的程序。我们的网络团队也需要这样做。

Luallen:在处理妥协时，资产所有者需要调用的组织内部和外部的重要关系是什么?

康威:当然是你的公司安全团队，物理安全团队，还有你的公司通信团队。在组织之外，FBI和ES-ISAC(电力部门信息共享和分析中心)是我们的两个关键资源。当地联邦调查局和州调查人员非常重要。我们让他们参与我们的练习和演习。大多数人认为ES-ISAC之间的关系是一种必要的报告功能，但我们会与他们进行例行对话，讨论我们所看到的事情、感兴趣的事件、完全不需要的自愿通知，但这些对话非常有价值。

Assante:我想补充的是，你需要考虑外部各方，不仅仅是政府和执法部门，你还需要考虑你的关键供应商。我们非常依赖他们对我们的系统进行故障排除，特别是在ICS领域，坦率地说，我认为如果没有他们的专业知识，在控制系统中很难进行有效的响应。在合同中，或者即使没有合同，供应商也会说:“联系我们。我们有兴趣看看我们的技术是如何被利用的，我们想提供帮助。”还有其他第三方。在我的NERC和AEP经历中，我向第三方寻求帮助，因为我通常能够得到帮助。当我在NERC工作的时候，我认为有义务向外接触，尤其是与我相关的公用事业。如果我的系统受到了影响，我与其他公用事业公司相互连接，我们在系统中的变电站中共享监控设备，那么我也要与他们交谈，看看他们是否看到了同样的事情。也许它们就是真正的路径。我想要理解这一点。 Where did it begin to affect my systems? Or, maybe I’m the path to them. In an interconnected sense, that’s very important.

Luallen:你是一个工厂经理，你的老板告诉你，你的公司IT部门将管理工厂的网络安全。你知道你无法改变这个决定，那么你该怎么做呢?

Assante:在那里有艰难的现实，在一天结束的时候，工厂经理需要知道他必须建立一个成功的团队来完成工作。这正是工厂经理所擅长的。如果这是要发生的事情，工厂经理必须坦率地说明如何才能使人有资格在这样的环境中工作。在IT专业人员前来与设备交互之前，他们必须要有一套完整的安全机制。他们必须与过程控制工程师和工厂工作人员合作，才能完成其中的一些工作。他们需要积极的教育。在操作系统级别的工作站方面存在共性，但他们不会熟悉现场总线级别使用的协议——这对IT人员来说是新的。他们必须尊重在这些环境中如何以及为什么执行工作的操作限制和驱动因素。工厂经理将不得不花很多时间与首席信息官，以及首席信息官之上的首席执行官，来解释为什么他可以完成它，但我们必须遵循一条路径，这条路径将包括教育，对资产如何工作的深刻理解，所以他们将会有一段时间进行大量的实地考察，并在工厂中花费一些时间。我们知道我们已经让他们有资格在一个工作环境中工作，但是他们能改变他们如何执行IT和IT安全工作的哲学吗? You’re used to doing something in a server environment that you can’t necessarily do the same way on a plant floor. You need to learn operational things like scheduling, outages, and how you plan your work. If you’re going to do it, you’re going to be a very busy guy for the next six to eight months.

康威:这种情况在很大程度上是由文化决定的。对目前的运营技术工程师进行教育，教他们在It环境中工作需要做什么，这几乎是一个更容易的提升。之所以做出这样的决定，可能是因为一些管理工具、监控工具、警报、补丁以及IT中定义良好的流程和程序在IT方面存在好处，而运营技术仍在努力实现这些好处。但从文化上讲，更容易的做法是培训工程师，让他们了解执行这些it职能所需的知识，并使他们能够做到这一点。那样会成功得多。如果我是一个工厂经理，我会专注于任务。我知道我在我的角色中需要做什么，为了保证成功，我会选择让我的运营技术工程师在IT方面发挥作用。

Assante:我建议，与其等着某一天听到这个消息，我认为企业必须努力思考未来。在未来，我们已经看到了这一点，工厂现场分析正在转移到云端。你在工厂能做的事情受到限制，所以我们将工厂系统与运营绩效管理系统集成在一起——从供应链方面到实际的生产调度工具。你有很多IT环境，IT专家可以真正受益。我们的OT世界正在改变。现场总线可能不会改变，而且会有一些地方变化缓慢，但开始思考如何开始让it专业人员理解我们在这个级别上的工作方式以及今天的交叉点在哪里并不是一个坏主意。我认为你不想再等了。你应该现在就开始这个过程，知道在未来我们将更多地依赖IT。在我们的OT环境中存在很多应用程序，比如数据库，而OT人员不一定有很多专业知识或经验。我们可以从一个优秀的数据库安全人员那里学到很多东西，可以帮助提高工业控制系统的安全性。

观看完整视频。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。