使数字取证成为网络安全防御的关键部分

在工业控制系统(ics)及其网络中使用数字取证技术是一种非常强大的防御工具，但它是网络安全中最不被理解的概念之一。当人们听到“数字取证”这个词时，他们通常会想到电视节目CSI并假设这是一种仅用于刑事调查的反应模式。事实远非如此。数字取证是防御的关键组成部分，与机械、电子和化学研究没有什么不同。当您的员工理解这些概念是如何工作的时，它们将导致更高水平的可靠性。

数字取证是法医学的一个分支，专注于数字领域。它包括计算机取证、网络取证和移动取证等领域。与其他科学和工程相比，这是一个相当新的领域;因此，将其分解并尝试更全面地理解主题是很重要的。

法医学是一种收集和检查信息的方法。这一切都是关于提出一个问题并寻找答案。当这种思维过程应用于数字取证时，重点不仅在于恶意活动和网络入侵，还在于理解一般系统和网络活动以及某些事件发生的原因。数字取证的过程和科学有助于更好地理解操作环境以及什么构成正常。

想象一个简单的例子:假设数据历史学家没有收集从SCADA(监督控制和数据采集)服务器发送到RTU(远程终端单元)的命令。为什么不呢?网络中是否存在恶意活动?是否存在可能导致代价高昂的错误的网络异常、故障或错误配置?这些问题非常适合进行数字取证调查。

随着ICS环境的互联性日益增强，必然会出现网络和设备配置问题。也会有恶意行为者闯入网络造成破坏或窃取敏感数据。威瑞森2013年的数据泄露调查报告显示，在过去一年观察到的47000多起网络入侵中，20%涉及制造业、运输业和公用事业。在这些入侵中，66%的入侵需要数月或数年才能被发现。攻击者，特别是那些不完全了解控制系统的独特性质的攻击者，可以在访问敏感网络的几个月内造成重大破坏。然而，在现实中，关于网络威胁的炒作一直存在，而且还将继续存在。确定多大的安全性才是足够的安全性是一个持续的决策，可能会占用核心业务操作的时间和金钱。防御威胁的相关成本很高，而收益有限。与此同时，数字取证的好处之一是，启用它所需的步骤与资产所有者必须采取的步骤相同，以确保操作的可靠性。通过这种方式，数字取证可以成为力量倍增器，或者增加收入的机制而不仅仅是一个商业诋毁者。

要实现这些好处，有适当的流程和程序来确定组织中的适当人员或知道在组织外呼叫谁是至关重要的。Verizon的报告还指出，69%的入侵是由外部发现的，只有9%是由内部资源发现的。

关键的第一步

有效地使用数字取证要求您了解自己的网络。一旦牢牢掌握了这一点，就更容易发现入侵，并减少对外部团队的需求。此外，如果需要外部数字法医调查人员，深入了解您的网络以及关键数据存在的位置将大大减少与调查相关的时间和成本。

了解您的网络是数字防御的一个方面，防御者拥有攻击者永远不应该拥有的。事实上，只有公司内部的人才知道网络的细节，而攻击者却不知道，这是防御最重要的一个方面。全面了解您的网络、网络上有什么以及网络如何运行是包括数字取证在内的所有网络安全的基础。当取证团队试图识别和追踪网络中的问题时，无论是否恶意，他们最困难和最耗时的工作通常是识别网络的外观以及存在哪些设备。

在传统的IT世界中，研究人员通常只需要了解基于Windows和linux的系统，以及各种web应用程序和服务器。虽然这可能是一个挑战，但有大量的工具和精心排练的方法来获取证据和绘制网络。

对于与ics相关的调查，要识别和理解所有不同的rtu、历史学家、plc、嵌入式设备、HMI工作站和其他不被视为传统IT设备的资产，编译这些信息可能是一项令人难以置信的艰巨任务。此外，可行的取证工具在ICS设备和网络中并不常见。尽管许多工厂都是自动化的，但所有ICS资产的标识通常只存在于电子表格、蓝图和纸质日志中。这些信息的维护通常更多地是出于物流和遵从性的原因，而不是为了理解网络。如果一个分析团队想要了解这些设备是如何连接的，他们通常必须跟踪连接设备的电线和光纤。随着无线通信路径的激增，这项工作变得更加困难。当事故发生时，这不是你想要的位置，时间是至关重要的。

当资产所有者和ICS团队成员投入时间来了解他们的网络环境时，将在许多方面为运营带来好处。如前所述，绘制网络并识别在其上运行的设备对数字取证团队有很大帮助。此外，它还使操作员和工程师能够参与数字取证过程。通过更好地查看网络，运行操作的人员可以快速识别出不合适的东西。网络用户可以开始像调查人员一样思考，并在看到奇怪的事情发生时提出问题:

• 为什么网络上有没有记录的新设备?
• 内部设备是否应该进行通信并将数据发送到外部位置?
• 该设备的延迟和连通性损失高于预期。它会失败吗?

知道应该发生什么的人可以识别出什么时候事情没有达到他们的预期行为。网络上的每个用户都成为监测网络健康状况的传感器。但如果没有正确的理解和知识，这是不会发生的。让员工接受培训是迈向安全性和可靠性主动方法的重要一步。

您应该采取哪些步骤来更好地保护环境、提高系统可靠性并为数字取证做好准备?最关键的一步是盘点参与日常运营、应急管理、工程、IT以及控制环境和业务办公室管理的个人的网络安全技能。这种技能分析是一个战术步骤，用于了解哪里有足够的技能和需要填补的空白。

美国国土安全部的报告，国土安全顾问委员会:网络技能工作组报告，关于在国家层面进行的技能评估，可以帮助您了解如何在内部进行评估。与自己的人力资源部门合作，无论其规模大小，都是一个良好的开端，因为你可以尝试了解谁可以做什么。这一资源列表对于形成网络事件响应能力是必要的，无论是内部的还是外包的。第二个关键步骤是确定使用什么机制来保护您的敏感信息。如果没有机制，那就创造一个。当您了解数字资产并记录它们的交互时，您将制定需要保护的信息基线。考虑在存储时如何保护它，如何决定与谁共享它，如何与他人通信，以及这些接收者将如何处理它。

了解了前两个需求之后，下一个任务是确定在站点建立检测和响应能力所需的内容。重要的是要认识到，我们将概述的每一个步骤都有其自身的挑战。为了保持本文的重点，我们只提供概述。下面的表格列出了一些必要的步骤。

ICS环境下的数字取证是一个新兴领域。对于能够更好地使ICS社区面对现代挑战的工具、流程和方法，还有很多研究要做。然而，没有必要等待进步来利用已经建立的好处。记录ICS环境的可靠基线，该基线易于检索，并可在可疑事件期间用作参考，以确保及时恢复。网络和信息技术操作您的ICS环境。它们不能与更大的商业环境脱钩，因为它们目前定义了现代竞争性企业的一个很大的成功因素。法医和事件响应意味着做最坏的打算，抱最好的希望。它们意味着创建对关键资产至关重要的方法和理解。数字战场正在扩大，瞄准工业目标的专业技术也在扩大。确保你拥有在网络攻击中做出适当反应所需的知识的时间从未如此之多，而帮助你做到这一点的知识正在迅速扩展。

Robert M. Lee是Dragos Security LLC的联合创始人，该公司是一家网络安全公司，开发工具和研究，使工业控制系统社区成为可能。他还是一名现役美国空军网络空间作战官员。

马修·e·卢艾伦(Matthew E. Luallen)是控制工程。他也是Dragos Security LLC和Cybati的联合创始人。

在线

https://cybati.org

www.dragossecurity.com

www.us-cert.gov

https://ics-cert.us-cert.gov/

看到相关的控制工程网络安全网络直播。

请参阅下面有关网络安全的相关报道。

关键概念:

• 如果不深入了解您的网络架构，就很难确定攻击者是如何侵入您的工业网络的。
• 识别错误的能力取决于理解什么是正常。
• 你对自己系统的了解是维持防御的关键。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。