ICS攻击响应

对于那些仍然觉得自己“太小”、不会遭受网络攻击或“不够重要”的制造商来说，他们应该接受警告。攻击可以发生在任何地方和任何时间，它们不一定是由民族国家发动的重大攻击。他们可能来自内部也可能来自外部。

本质上，控制环境中的专业人员需要了解用户从评估到实现再到维护系统的安全生命周期。但问题是，安全性不是一次性的解决方案，因此生命周期会不断发展，并以圆周运动的方式进行。

在评估模式中，用户应该从风险评估开始，以了解漏洞的位置，并建立区域和管道。然后在实施阶段，有培训，然后用户能够设计区域和管道，然后验证和测试。在维护阶段，用户将定期进行漏洞评估，并测试和部署补丁。

无论是无意的网络事件还是故意的攻击，安全仍然是自动化行业的重要组成部分，而且在未来几年，安全仍将是制造商日益关注的一个领域。

根据ICS-CERT的说法，只要看看一个遭受控制系统异常的水处理设施。该组织回应了一起涉及水和废水处理设施操作异常的事件。

资产所有者报告说，一名控制系统维护人员至少在四次不同的场合不恰当地访问了控制系统。根据报告，其中一个实例导致系统废水处理过程溢流。根据ICS-CERT Monitor的报告，业主要求ICS-CERT部署一个现场事件响应小组，以确定是否发生了未经授权的系统访问，以及是否导致了盆地溢出。

事故响应小组与执法部门一起，对车主提供的四个日期前后的控制系统和历史趋势数据进行了广泛的分析。该小组无法最终确定可疑员工是否在溢流日期未经授权进入或是否该进入导致了水池溢出。导致非结论性发现的重要因素包括:

• 每个主机都没有记录登录事件
• 整个网络中只使用了一个用户名
• 缺乏适当的网络监控系统可能会对这种活动进行核实
• 主机上看到的任何远程访问工具(pcAnywhere、RealVNC、NetVanta VPN客户端、WindowsRemote Desktop)未启用日志记录或与日志记录无关。
• 由于报告的访问事件的年龄，操作系统记录最终被消除。

这是与日志分析相关的详细日志功能和策略的重要性的一个完美示例。此外，网络管理员应该实现最小权限实践，并确保每个用户都有唯一的登录凭据，只提供对员工需要控制的系统的访问。

在现场，事件响应团队进行了设计和架构审查以及网络安全评估，以彻底评估设施。该团队确定了漏洞，并提供了减轻和提高安全性的建议。

在德克萨斯州休斯顿举行的2014年工业以太网基础设施设计研讨会上，来自RedHat Cyber的独立ICS安全研究员Joel Langill谈到了公司在安全规划方面需要改变方法的必要性。

Langill说:“目前的安全是短期的战术措施，比如补丁管理或安装防病毒软件。”“安全必须考虑战略控制或长期规划。还有其他办法可以帮助解决这些问题。”他提到的其中一个领域是密切关注测井数据。

与此同时，在向ICS-CERT报告的另一起事件中，一个大型关键制造组织在几个月内遭受了多个老练的攻击者的攻击。ICS-CERT接收并分析了组织提供的数字媒体数据，并部署了现场事件响应团队，以协助组织进行恢复工作。

该团队使用泄露指标执行了网络扫描，并识别出大量泄露主机以及威胁行为者在整个网络中的横向移动。响应小组还发现了被破坏的域帐户的证据，这为入侵者提供了整个网络的特权访问。除了事件响应活动，ICS-CERT还分析了其整体网络架构，并提供了改进其整体防御态势的策略。

这个组织是近年来收购的多家公司的集合体。多个网络的收购和随后的合并在网络管理和可见性方面引入了潜在的弱点，这使得入侵者的横向移动在很大程度上不被发现。

该组织有超过100个入口/出口点连接到互联网，使网络边界保护的实施复杂化。在这种情况下，重新架构网络是确保公司在整个企业范围内具有一致的安全态势的最佳方法。

兰吉尔说:“我们今天不得不处理昨天没有处理过的问题。”“防范明天的事件意味着用户必须改善访问控制，获得态势感知，并为网络事件做好计划。”他说，针对工业场所的袭击仍在继续。虽然他无法透露细节，但Langill提到了一家南美炼油厂，该炼油厂的恶意软件漏洞影响了3000个节点，并侵入了他们的plc。

格雷戈里·黑尔是《工业安全和安全来源》的编辑和创始人(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容原载于ISSSource网站．由CFE Media数字项目经理Joy Chang编辑，jchang@cfemedia.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。