改善OT网络安全态势

网络安全的见解

• 致力于应对网络安全攻击的公司需要让他们的运营技术(OT)团队做好短期和长期响应的准备，将这两个要素联系在一起，而不是相互分离。
• 问题是信息技术(IT)团队通常不知道OT中发生了什么，需要与相反的团队合作，制定基本协议，以及在涉及网络安全攻击时他们可以和应该寻找什么。
• 响应团队应该向关键设施员工介绍特定的工业威胁，他们拥有哪些关键系统，高管应该了解安全团队能做什么和不能做什么是有限制的。

---

的拜登总统发表了一份声明敦促关键基础设施社区立即加强他们的防御，这是基于他们对俄罗斯意图使用网络攻击的不断发展的理解。

我们的许多客户都在问，他们可以在几周内合理地为他们的操作技术(OT)环境做些什么。下个月有什么实际的事情要做，他们如何提前度过接下来的六个月?

我们最近发布的2021年ICS/OT网络安全年度回顾是一本很好的关于大多数组织的入门书，但它是在宏观层面上的。从一个基本问题开始，以更好地了解您的设施今天的位置:

你们的设施团队是否了解攻击可能是什么样的以及如何升级?他们是否与网络安全团队合作?

OT事故响应是不同的。传统上，网络安全团队习惯于掌握应对攻击的主动权。安全团队仍然需要检测和了解事件的程度(范围)，但当地工程团队将更好地了解调查的潜在影响。从本质上讲，本地团队应该与事件响应经理职能部门协同工作，并与网络安全团队充分了解情况，共同做出决策。如果没有这种配对，响应工作将无法理解他们自己行为的含义(使情况更糟)，或者错过与工业过程相关的关键事实。

安全团队可能没有OT环境的可见性。他们失明或严重受损，可能只能专注于设施的企业环境。在这些情况下，安全团队应该具备:

• 集中监控OT、工程、操作人员的电子邮件隔离和公司端点，以发现有针对性的恶意活动第一阶段工业控制系统(ICS)网络杀伤链．
• 重点了解和审查企业和OT系统之间的通信路径，特别是围绕远程访问解决方案、本地Windows协议(如RDP、SMB)或任何活动目录认证，这些认证可能表明第二阶段ICS网络Kill Chain步骤从IT发展而来。

OT和工程团队应该了解安全团队可以监控什么，并掌握要寻找什么的知识。当地的安保队伍应该如何升级?

• 未识别的配置更改。
• 重复对一个设备/主机或同时对多个设备进行异常活动(重置、重新启动等)。
• 关键工程或操作工位光标意外移动。
• 无法确定根本原因的停机时间。

领导团队在协调中起着至关重要的作用。应对小组应向主要设施工作人员介绍具体的工业威胁，特别是与他们所在行业相关的威胁。这包括活动组和勒索软件组，如Conti，以及他们已知的行为。此外，工厂应向安全团队介绍他们拥有的关键系统、与安全或过程失控有关的关键设备。最后，执行团队应该了解安全团队在其工业环境中所能看到的以及能够或不能检测到的限制。

最后，抛开眼前的紧迫，哪些问题可以帮助你制定中期(2-8个月)战略?

• 你的资产清单是最新的和准确的吗?它是否包含型号/制造商/序列号/固件(或操作系统)的详细信息?
• 您的安全区域是否基于普渡企业参考架构或ISA/IEC 62443-3-2，哪些区域在东/西网络流量中被积极监控?
• 你是否在业务和OT网络之间实现了ICS/OT DMZ，你是否遵循“deny all;跨IT/DMZ/OT信任边界允许例外访问策略?
• 你是否对安全仪表系统进行分段?
• 您如何在内部监控您的东/西流量，以识别控制器上的逻辑更改等行为?
• 如何管理网络、设备和主机的日志记录，您的监视能否映射到定义的关键行为用于ICS的MITRE ATT&CK?

-这最初出现在德拉格的网站．德拉格是CFE媒体和技术内容合作伙伴。

原始内容可以在德拉格．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。