检测和预防潜在的网络攻击行动

偶尔看体育新闻的人会认为，所有的体育赛事都是由几场比赛组成的。同样，当涉及到工业控制系统(ICS)安全的新闻时，安全从业者也可以被原谅。本着ESPN的精神，Trisis/Triton/Hatman (T/T/H)应该被提名为本月最佳。

专家们对这一令人不快的事件进行了精彩的剖析，并频繁发表评论。毫无疑问，Mandiant和Dragos所做的工作是高质量的努力，对事件的理解对工业捍卫者至关重要，这确实是最有新闻价值的。但是，就像阿拉巴马州在大学橄榄球全国锦标赛规定时间凌晨零点的左外场射门一样，我们不应该忘记，在最后的冲刺中，还有9个其他的比赛，结果都是不同的成功，而且比赛还在继续。

在大多数“最终”攻击成功或失败之前，会发生一系列经常被遗忘或看不到的步骤或游戏。对攻击活动的回顾通常反映的步骤可以大致映射到通常被称为“杀伤链”(Kill Chain)的过程，该过程最初是一个军事概念，用于洛克希德-马丁公司(Lockheed-Martin)的网络入侵。从杀伤链概念中得到的一个关键教训是，攻击可以被描述为一系列的过程，其成功取决于通过七个阶段对目标系统进行最终行动的能力。

对Triconex安全系统的直接影响将是杀伤链概念的倒数第二个阶段。袭击者留下了一套攻击工具的证据。这些工具都有非常明确的目标，即Schneider Triconex模型。

准备进攻

进一步的证据表明，攻击者能够成功地制备目标Triconex，从而为最终的“攻击”有效载荷做好准备。然而，他们不成功的是在执行这些最后的步骤时没有被发现——假设发现是不需要的。

然而，与我们广泛报道的大学橄榄球比赛不同，有许多步骤并不为公众所知。缺乏知识可能会带来潜在的破坏性或有益的猜测。

这可能是显而易见的，但仍然值得说明，安全仪器系统(SIS)的存在是为了保护其他过程系统。考虑到这一点，我将提出，在上游的某个地方，攻击者可能已经在SIS旨在保护的流程系统上执行或计划执行类似的活动。如果在您的环境中出现类似的情况，最好也调查一下周围的系统。

杀伤链证据

在杀伤链的上游，可能会有与外部控制源的出站通信、被操纵的系统以及水平和垂直移动的证据。这里假设这个阶段和之前的阶段需要这样的活动。内部可信的来源可以根据他们对目标系统的了解绕过这些步骤。内部和外部攻击源都可能留下与其活动相关联的工件。在这两种情况下，调查的必要步骤没有什么不同。在T/T/H的情况下，上游工作站被发现受到损害(正如预期的那样)。

从该工作站向后工作，一个勤奋的安全取证调查人员有希望检测和重建杀伤链的其余部分以及辅助目标的任何潜在分支。

作为一名防御者，找到这条路径意味着有机会了解系统的弱点并应用正确的防御。

记住，攻击者必须采取的每一步都为防御者提供了减缓甚至可能阻止下一个攻击者前进的机会。这些步骤和玩法可能更普通，没有那么令人兴奋，但从中学习的机会相当于每月ESPN的玩法。

罗伯特Albach他是思科负责安全的高级产品经理。本内容最初出现在ISSSource.com．ISSSource是CFE Media的内容合作伙伴。由CFE媒体制作编辑克里斯·瓦夫拉编辑，cvavra@cfemedia.com．

在线额外

请看下面ISSSource的相关报道。

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。