如果你负担不起一个爱因斯坦来保护网络，试试金丝雀吧

随着对网络系统的攻击变得越来越复杂，制造业it系统被黑客攻击只是时间问题。黑客攻击最糟糕的部分是，在造成损害之前，IT部门可能都不知道。从系统入侵到检测的平均时间超过7个月。除了Internet和intranet攻击外，攻击还可以来自系统中的任何附属设备。甚至那些在形式上被认为是“安全”的设备，如鼠标、键盘、打印机、扫描仪和硬盘驱动器，也被用来偷偷地窃取机密。大多数专家承认，不可能对攻击提供绝对的保护，最好的办法是检测何时发生攻击并迅速做出反应。

美国国土安全部使用一套名为“爱因斯坦”的工具来保护“。gov”网站。爱因斯坦是由美国计算机应急准备小组开发的一套入侵检测系统。Einstein实时监控网络流量，查看正在交换的数据类型和数据的内容。“。gov”网站和网络一直受到业余爱好者、小偷和国家资助组织的攻击，因此美国政府需要一个像爱因斯坦一样复杂、昂贵和全面的系统来保护自己。不幸的是，很少有公司能够分配类似的资源来保护内部系统。

一家有意不具名的大型制药公司开发出了一种低成本的爱因斯坦替代品。它确实需要一些编程工作，但如果系统已被破坏，它会立即发送警报。现在就知道，总比几个月后才发现，数据和系统已经向潜在的竞争对手或数据窃贼开放要好。低成本的爱因斯坦替代系统被称为“金丝雀”系统。就像众所周知的煤矿里的金丝雀一样(在仪器出现之前，笼子里金丝雀的死亡将向矿工发出信号，氧气正在被爆炸性气体取代)，网络安全软件工具在正常的安全和网络扫描发现问题之前就发现了问题。

金丝雀的概念很简单。在每个网段上添加一台受保护程度最低的系统所使用的补丁和版本级别相同的计算机。这意味着如果一家公司仍然在运行没有安全措施或病毒防护的微软Windows 95系统，那么它应该安装另一个没有安全措施或病毒防护的Windows 95系统。将金丝雀系统命名为一个看起来像是环境的一部分的名称，也许是一个常用供应商产品的名称。如果可能，在金丝雀系统中安装但不要执行供应商软件的副本。目标是使金丝雀系统成为攻击的诱人目标。

在金丝雀系统中编写并安装一个简单的应用程序，每隔几分钟检查一次:

• DLL文件长度
• 可执行文件长度
• 对注册表的更改
• 网络接入率
• 磁盘访问速率
• CPU负载
• 磁盘空间已用。

如果金丝雀程序是在金丝雀系统上运行的唯一应用程序，那么任何超出正常值都意味着发生了某些事情，需要进行调查。例如，如果网络流量开始激增，或者CPU负载从不到1%上升到5%，那么可能有什么东西感染了网段。canary程序可以将异常情况写入共享文件，向监控系统发送消息，甚至可以在数据历史记录中设置值。canary程序还应该生成一条心跳消息，以知道它是否停止检查。金丝雀程序的一个关键元素是难以被发现，这就是为什么最好编写一个无法被自动攻击工具发现的自定义金丝雀程序。为了更加安全，对受保护网络中的每一类系统都有一个金丝雀系统。可能有Microsoft Windows 7、Microsoft Windows Server 2003、Microsoft Windows 8.1和Linux金丝雀系统，它们都在同一个受保护的网段上，都与受保护的系统处于相同的补丁级别。

如果一家公司买不起爱因斯坦系统来保护制造业IT资产，而且大多数公司都买不起，那么就应该在每个受保护的网络段上安装金丝雀系统。一旦金丝雀开始“歌唱”(或停止歌唱它的心跳)，IT人员就应该准备好采取行动。

- Dennis Brandl是北卡罗来纳州Cary BR&L咨询公司的总裁，www.brlconsulting.com。他的公司专注于IT制造业。由主编埃里克·艾斯勒编辑，石油与天然气工程， CFE传媒，eeissler@cfemedia.com．

在线额外

这张贴版本包含更多的信息比印刷/数字版本的问题控制工程．

在www.globalelove.com，在Brandl上搜索更多相关主题。

查看2015年的其他文章www.globalelove.com/archive．

看到其他控制工程制造IT产品．

看到其他控制工程网络安全文章．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。