准备事件响应

保持系统正常运行和生产是每个制造商的首要任务。即使有最好的网络防御机制，网络事件也可能发生。现在的问题是:您的组织是否准备好正确地识别出问题所在并进行恢复?

准备和计划对于组织应对网络事件的能力至关重要。根据工业控制系统网络应急响应小组监视器(ICS-CERT监视器)的一份报告，识别事件来源和分析泄露程度的能力对于快速发现问题、最大限度地减少损失、减轻被利用的漏洞和恢复计算服务是必要的。

网络事件是紧张、复杂的，通常不是日常行动的一部分。如果维护得当，操作准备措施可以确保获得必要的信息，以迅速从事件中恢复，同时最大限度地减少影响。

有权及时作出关键决定的高级技术人员应领导一个专门的事件处理小组。除了领导和取证分析师之外，控制系统事件响应团队还应包括来自企业信息技术(IT)网络和主机管理的控制系统主题专家和利益相关者，如有必要，还应包括公共关系、法律顾问和执法部门。

团队最终应该接受适当的事件处理技术培训，并应该练习使用这些工具来建立和保持熟练程度。控制系统环境有特殊需求，需要在建立操作程序时进行评估。最终应创建一个全面的事件准备检查表，并使用“桌面”练习每年进行检查。文件应便于操作人员查阅，以帮助对事件进行分析并确定恢复的优先事项。还应该有一个事件响应信息收集清单。该检查表应确定应收集的信息类型，以帮助外部cert或合作伙伴进行分析。

建立“带外”通信政策也很重要。任何关于事件或潜在事件的通信都不应通过标准通信渠道，例如公司电子邮件或IP语音(VoIP)系统，因为这些可能已经遭受了破坏，并会向攻击者提示，您知道他们存在于您的网络中。此外，任何与事件或处理政策有关的文件都应在事件响应团队的控制下存储在网络之外。

日志记录对于事件响应至关重要

日志记录是事件响应的一个重要方面。系统和网络设备日志对于事件调查人员来说是必不可少的。用户需要考虑的日志类型包括防火墙、代理、DNS (domain name server)、DHCP (dynamic host configuration protocol)、web应用、a /V (audio video)、IDS (intrusion detection system)/ IPS (intrusion prevention system)、主机和应用程序日志。需要考虑的其他日志记录是来自路由器、交换机和数据包捕获的流数据。这种类型的网络数据在响应控制系统事件时很有帮助，因为与网络相关的日志有时是所有可用的。如果控制系统端点确实支持日志记录，那么也应该对它们进行检查，以便更好地理解发生了什么。日志完整性在事件调查中是必不可少的;因此，日志应该连续存储在单独的系统上，经常备份，并通过加密散列来检测日志更改。

事件响应的其他关键组成部分是取证数据收集、分析和报告。这些因素对保存重要证据至关重要。在实施任何恢复或法医工作之前，各组织应咨询训练有素的法医调查人员，以获得建议和协助。

格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．由CFE媒体制作编辑克里斯·瓦夫拉编辑，控制工程，cvavra@cfemedia.com．

在线额外

下面是ISSSource关于网络安全的更多报道。

有关工业控制系统网络事件响应的更多信息和资源，请参阅ICS-CERT题为“准备事件响应”的情况说明书。

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。