关于网络安全你需要知道的更多答案

12月3日的网络安全网络直播提出了更多的问题，超过了两位专家最后的回答时间，他们对工业控制系统网络安全的额外问题的回答如下。网络直播，有一个可用的PDH，存档一年。通过以下链接注册网络直播:网络安全:你需要知道的。该网络直播旨在帮助与会者:

• 识别用于控制、自动化和仪器的网络安全设计架构。
• 了解网络安全培训应该包括哪些内容。
• 接收有关网络安全最佳实践的提示。
• 审查网络安全风险评估的要素。
• 审查相关控制工程网络安全研究成果及建议。

两位主持人回答了下面的附加问题。

• Brad Bonnette, Wood自动化与控制技术总监
• Anil gosin, MG Strategy+全球项目

更多ICS网络安全答案

问:哪些是经常被忽视的网络安全最佳实践，它们代表着薄弱环节?它们是因组织和行业的不同而有很大的差异，还是所有人都有共同点?

Bonnette:看似简单的事情，如关闭或主动管理USB，蓝牙和可移动/便携式媒体连接。缺乏对未使用帐户、人员离职、(临时)人员、承包商或供应商访问凭证的管理。不监控防火墙或安全监控软件的报告或警报。

Gosine正确配置所采购的系统，并低估持续维护和解决问题所需的时间/精力。您希望避免类似的情况，例如操作员忽略警报，然后在初始ICS部署后的几年内需要再次进行警报管理。一篇发表于控制工程， “ICS的关键安全组件和策略，是一个很好的参考。

问:对于基于监控和数据采集(SCADA)和可编程逻辑控制器(PLC)的系统，是否有特殊的网络安全建议?

Bonnette:边缘保护和纵深防御仍然是主要的基本模式。然而，如果SCADA的环境包括利用不完全由所有者/运营商控制的云或广域网(WAN)，则必须考虑额外的措施来验证流量、端点设备、用户，并保护(加密)通过云或合同运营商网络传输的数据。外部网络应被视为不受信任的边缘。然而，仅仅因为您的公司拥有特定的LAN或WAN并不意味着它可能不需要被认为是不可信的，这取决于对网络的技术和物理访问控制。外部网络应始终被视为不可信的，并被视为潜在的威胁载体。参考文献:ISA-TR100.15.01-2012技术报告《回程架构模型》

问:苹果产品需要防火墙吗?

Bonnette:是的，两者都是为了保护设备，但主要是为了保护系统的其余部分免受设备的攻击。苹果的操作系统和微软的Windows (Linux也一样)一样容易被利用。至少，任何类型的网络设备都可以用于分布式拒绝服务攻击(DDoS)攻击和机器人数据风暴攻击，或者作为数据、流量或访问的枢纽点，以获得对OT系统或网络的访问权。手机恶意软件引发OT事件，将手机(智能手机)插入OT工作站的USB接口充电，将恶意软件传播到OT系统，导致设施控制系统加密锁定或感染病毒。

Gosine苹果无线直连协议创建网状网络可以利用最近的安全通知。

问题:硬接线有什么特别的优点吗?还是把所有的数据都保存在内部?

Bonnette:“硬线路”可能更容易用屏障和物理访问控制进行物理保护。然而，一旦网络离开物理控制的边界，任何连接点或分发点都是可访问的，但通常不像无线系统那样可访问。关于将数据保留在“内部”存在很多争论，如果您对维护数据系统和数据的安全性和完整性感到不知所措，那么外包实际上可能是提高系统安全性或完整性的一种手段，但是供应链(服务供应商)的完整性、安全实践和能力中的风险需要像评估自己的财产一样进行评估。

Gosine你需要权衡失去基于云的数据分析能力的风险/收益，这种能力可以在保留内部数据的情况下提高生产力、效率和利润。

问:我们正在努力弄清楚网络安全人员培训应该包括哪些内容，培训对象是谁，培训频率是多少?

Gosine:通过遵循NIST框架类别的基线问答，了解您的组织的理解处于何处。将需要为操作员、安全管理员和一般用户提供不同的培训课程材料。为操作和安全管理员举办的年度研讨会。操作员-侦测异常的训练;管理人员-风险评估的工具、管理技术和优先次序;一般用户-社会工程和态势感知。将相关的安全信息整合到可用的公司新闻提要/网络广播更新中也可能是有益的。

问题:是什么决定了网络安全风险评估应该多久进行一次?小型评估是否应该在某些领域比所有操作、所有企业或所有连接的供应链更频繁地完成?

Bonnette:风险评估的频率应与先前评估的风险相称。应该比潜在后果较低的区域更频繁地评估具有较高潜在危害后果的系统或区域。对单个区域或子集的中期风险评估应考虑到管道与其他区域的连接。

Gosine关键的操作流程正在更频繁地完成，以向c级显示风险规避/缓解(可能每18个月一次)。这将取决于修复工作完成的速度。适用的法规要求将有所需的最低频率要求。

问:在网络安全弹性方面，RTO/RPO是如何分类的?

Bonnette:通常，更高级别的高级过程控制应用程序和系统被归类为安全体系结构中的独特区域，具有通往底层基本过程控制系统(BPCS)的通道，它们为其提供监督输入。在某些情况下，某些类型的先进过程控制(APC)对于维持复杂工艺装置(例如炼油厂加氢裂化装置或放热异构化反应器)的常规运行稳定性至关重要。在这种情况下，当APC离线时，对操作人员保持机组稳定运行限制的要求大大增加，危险过程偏移的可能性也增加了。控制危害和可操作性(CHAZOP)是一种有用的风险评估方法，它遵循“如果”方法，并提出这样的问题:“给定系统受到损害的影响或影响是什么?”来识别潜在的后果，并确定一个特定的系统是否比其他系统具有更高的后果潜力，是否值得单独的区域。如果更高级别的系统或软件可能导致过程中的重大混乱或事件，那么可能需要额外的措施来保护底层过程免受更高级别系统的损害。最佳实践是在较低级别的BPCS配置中设计弹性，这样可以很容易地从BPCS关闭监控系统，甚至在需要时物理断开，BPCS配置为在系统关闭或断开时切换到(仅BPCS)控制和操作的安全模式。

问:你们有网络安全审计的通用检查表吗?

Bonnette:Wood为现有设施网络安全评估提供了45个元素加权清单。与风险评估不同，这些评估检查表衡量设施中现有的保护和缓解措施的程度，以对现有设施进行基准测试或识别初始“软点”。检查表中的45个元素参考了ANSI/ISA 62443标准和推荐实践。一个好的第一个问题是“您是否有OT系统资产(硬件和软件)的当前清单?”如果你不知道你拥有什么，你怎么能保护它?

Gosine我附上了一套通用的项目，可以作为初始清单的一部分。演示文稿中的参考幻灯片10。

问:布拉德提到的哪些工具将有助于OT风险评估?

Bonnette:目前有几个安全软件供应商和服务提供商为操作技术(OT)系统提供威胁评估工具。我们无权在本次网络直播中透露具体供应商的名字。我建议与您的控制系统平台供应商进行检查，因为许多供应商都与安全软件供应商合作，为其平台提供威胁和安全监控。

问题:建议哪些典型的人的责任?他们会让客户提供密码、访问权限等吗?

Bonnette:作为社会工程和网络钓鱼/鱼叉式网络钓鱼有价值目标的用户，这些用户试图出于恶意目的获取系统的访问权限、凭据或信息。有能力更改配置、编程和帐户的工程师和管理员是风险最高、价值最高的目标。操作员也面临风险，因为他们可以操作更改设定值、设置、启动命令等。(参考2015年乌克兰电力系统攻击，操作员帐户被用于在线“劫持”人机界面(HMI)站)。

问:软件版本定期更新。新暴露的漏洞可能会暴露修订。是否有一个存储库，其中控制系统软件安全状态可用?

Gosine:两个资源是https://us-cert.cisa.gov/ics和www.strategicefficiency.org(会员需要)。

问:您能谈谈自动更新对具有安全功能的Microsoft Windows pc的安全影响吗，特别是运行楼宇自动化或门安全的过程控制系统?

Gosine我将此归类为与建筑管理系统和物联网(IoT)部署相关的建议的一部分;计划和计划的更新是更好的实践。了解更新对系统其他部分的影响，是否也需要更新或在PC更新后重新建立连接。根据补丁更新，您可能会有轻微的中断

问:就遵从性IT政策标准而言，是否支持OT作为通用文档?

Gosine是的，信息技术(IT)和OT政策有很多相似之处，但也有不同之处。可以实现政策、程序和反应的协调。差异将继续包括安全目标、网络分段、拓扑、功能分区、用户帐户、未经测试的软件等，但工业控制系统(ICS)和IT人员有一种方法可以有效地协同工作，并为其组织提供所需的网络安全措施。

问:转向工业物联网项目是否大大增加了硬资产和软资产的风险?

Bonnette:是的，工业物联网的采用创造了更多的连接，并暴露了控制系统可见性之外的边缘(不受信任，可能不受保护)。一些工业物联网设计有可能创建“双家”连接，为入侵者提供进入OT网络和系统的潜在矢量路径。随着工业物联网和云连接技术的快速采用和部署，这是一个关键挑战。端点保护和身份验证对于确保IIoT部署中涉及的内部和外部设备的完整性至关重要。一些工业物联网可能以某种方式隔离以防止网络物理影响，但仍然可能对业务构成网络(知识产权或关键业务信息)风险，因为工业物联网技术的IP访问可能提供有关生产企业中使用的制造过程或技术的见解或关键信息。工业物联网可以使用数据采集连接，这适用于单向防火墙(数据二极管)技术，但必须仔细评估和设计提供“写入命令”、数据、指令、设定值或监督控制的连接，以确保它们能够得到适当的保护。

问:是否假设所有设备都在VPN上运行?这个问题没有得到解决。在什么情况下(如果有的话)VPN会降低安全性?有什么建议要注意或避免吗?

Bonnette:与数据或文件加密一样，如果端点没有得到适当的保护和身份验证，虚拟专用网络(VPN)可能是一把“双刃剑”，VPN或加密可以用来掩盖流量或数据，使其不受某些防火墙的检查，并“强化”恶意有效载荷或从系统中泄漏的数据。强烈建议使用支持VPN或VPN“识别”的防火墙，其中防火墙会暴露于流或容器中的本机未加密数据。最佳实践是不要通过防火墙扩展vpn，而是在防火墙处终止vpn，以便检查和监视管道流量。VPN只有在数据加密或VPN来源的设备(及其用户)的安全性下才有效。

问:有线网络安全与无线网络安全的最佳实践有什么不同吗?

Bonnette:边缘保护和纵深防御仍然是主要的基本模式。在无线中还有一些额外的考虑，因为边缘被认为更暴露，物理安全保护层的程度更低。选择采用固有设备认证、锁定acl和加密的技术是无线系统中的关键工具。也要遵循减少攻击面和/或机会窗口的原则，不使用开放的、常见的和容易利用的无线技术(例如蓝牙)——不要使用蓝牙或无线键盘、鼠标、蓝牙打印机。这些漏洞很容易被利用来获取数据、键捕获甚至是键盘劫持，甚至是打印机。)用于SCADA网络的软件可配置数字无线电系统也很容易被利用，并且必须得到保护。参考:ISA-TR100.14.01-2011无线工业自动化中的可信度。

问:您推荐的网络安全信息的最佳来源是什么?

Bonnette:NIST，美国ICS-CERT, ISA，自动化联盟

网络安全框架| NIST

工业控制系统| CISA (us-cert.gov)

工业自动化与控制系统安全- ISA

查找ISA标准:按数字顺序- ISA

• ISA 62443
• ISA 99
• ISA 100(无线)。

SIS与控制网络集成的网络安全含义(automationfederation.org)

问:你们如何向高管利益相关者推销网络安全投资以获得支持?系统集成商应该如何将网络安全构建到他们的服务产品中，以帮助保护最终用户(客户)?

Bonnette:进行风险评估，将网络入侵风险作为业务和物理设施风险考虑在内。参考ANSI-ISA 62443-2-4-2018 IACS服务提供商的安全计划要求-所有者和控制系统提供商/集成商就提供商将采用和确保作为所提供服务(设计/构建/配置/测试/交付)的一部分的网络安全措施范围达成共同协议的框架。

编辑:Mark T. Hoske，内容经理，控制工程、《媒体，mhoske@cfemedia.com。

关键词:工业网络安全，网络安全风险评估

工业网络安全网络直播看看你需要知道什么。

额外的问题关于网络安全的问题都有答案。

考虑一下这个

你在干什么?如何将网络安全风险降低到可接受的水平?

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。