确保ICS:衡量解决方案的有效性和成熟度
ICS安全程序需要定期评估;评价过程应该是形式化的和可重复的。
许多关注网络安全的文章强调了保护工业控制系统(ICS)的重要性,并分享了实现这种安全性的方法。在本文中,假设已经采用了该建议来保护ICS,并且已经实现了一个计划。
现在怎么办呢?人们如何确定安全计划执行得如何?以极简方式满足安全规则的系统与以更成熟的方式执行安全规则的系统之间有什么区别?
为了回答这些问题,J. M. Huber公司于2016年开始建立正式的企业ICS安全计划。2017年,该公司邀请罗克韦尔自动化公司MAVERICK Technologies加入该项目。MAVERICK和Huber公司在过去的四年里一直在合作开发工业控制系统成熟度评估计划(ICSMAP)。ICSMAP是一个自定义程序,派生自包含在ISA / IEC 62443系列标准。本文的元素是基于德鲁·富兰克林(j.m.休伯)和作者以前的出版物。这里将讨论ICSMAP作为评估ICS安全计划的有效性和成熟度的一种方法。
评估ICS安全有效性
为了评估ICS安全程序的有效性,设施必须从一组特定的安全控制开始。这些控制可能是对流程及其漏洞进行彻底的基于风险的评估的结果,例如ISA/IEC 62443流程。这些控件可能是从互联网下载的列表。无论来源是什么,所需的控制都必须记录下来。在大多数情况下,将会有一组主要的顶级控件,以及一组更详细的子控件。表1显示了围绕冗余、备份和恢复的ICSMAP控件和子控件。
表1:冗余、备份和恢复。由Maverick Technologies提供
通过检查、观察和询问来评估有效性。评估可以通过正式的审计程序、非正式的自我评估或介于两者之间的方式进行。每个控制组将获得1到5分的分数,以描述控制达到的程度。具有奇数个值的刻度允许中点或中性值。只有三个可能的分数不能提供足够的可变性,超过五个可能的分数很快就会导致分数之间的差异变得任意。ICSMAP还允许0分表示控制不适用。表2显示了备份方法的ICSMAP子目标,以及它的测试程序和可能的有效性分数。
一旦有效性审查完成,将为每个控制或子控制确定一个分数。当一个较大的控制被分解成一组子控制时,应该在子控制级别测量和报告有效性,以提供对该控制操作的最佳可见性。控制分数的集合可以很容易地用颜色编码,以快速识别高和低效率的区域(见表3)。
表2:备用方法的ICSMAP子目标。由Maverick Technologies提供
定义成熟度
通常有许多方法可以实现安全控制,人们需要能够区分各种方法的质量。方法本身没有好坏之分,但不成熟方法和成熟方法之间的差异是可以识别的。
一个不成熟的系统可能是劳动密集型的,容易出错,难以分析,依赖于人而不是过程。一个成熟的系统可能是自动的、有弹性的、自记录的,并且利用了技术和过程。
用于备份过程控制器的低成熟度程序可能完全是手动的。根据日程安排,技术人员携带一台笔记本电脑到每个控制器,将程序备份到本地硬盘上,再将硬盘备份到磁带上,然后用公文包将磁带带离现场。此过程有多个单点故障,容易出现人为错误,可能没有操作日志,并且可能错过计划备份之间的关键更改。
表3:颜色编码的识别分数。由Maverick Technologies提供
同一系统的高成熟度程序可能是完全自动的。程序监视器可以连续地评估过程控制器的状态,并在检测到更改时触发自动备份。它可以通过网络进行备份,以确保共享存储的安全,并记录其所有操作。共享存储可以使用经过验证的商业解决方案进行异地备份。系统的每个元素——从网络到服务器再到商业服务——都可以被构建为冗余且具有弹性。
评估成熟度
成熟度评估过程的一部分是为每个安全控制区域开发判断的成熟度评分(JMS)。由于成熟度更具可评价性而较少说明性,因此成熟度评分通常是在控制级别而不是在子控制级别开发的。每个安全控制的成熟度在五个方面进行评估,这对所有控制都是通用的:
- 文档
- 效率
- 弹性
- 监控
- 利用现有技术。
对于每个领域,都需要一个特定的描述性评分标准列表。在为控件开发整个JMS时,将五个组件JMS分数取平均值以创建单个JMS分数。ICSMAP在效率类别中有以下分数描述(见表4)。
表4:效率类别的得分描述。由Maverick Technologies提供
在评估ICS安全控制的成熟度之前,企业应该执行一项操作,以确定系统所需的一组成熟度分数(RMS)。这项工作是一项管理活动,但可能需要工业控制专业人员协助。管理人员应该将流程的风险概况和业务的风险偏好纳入到有关特定系统需要有多成熟的总体决策中。
例如,由于失败的潜在负面影响,可以判断控制是关键的。业务单位可能会将控制的RMS分配为5,因为它需要在当前技术的最高水平上执行。一个单独的控件可能会被分配一个2的RMS,因为旧的、更手工的和不太成熟的系统被业务单位认为是可以接受的。
一旦确定了每个控制目标的JMS和RMS值,并且通过从JMS中减去RMS确定了两者之间的差异,就可以进行完整的成熟度评估。这种差异将被称为差异成熟度评分(DMS)。DMS为零(0)表示表示就地系统的JMS与表示所需状态的RMS完全匹配。积极的DMS表明现有系统比业务所需的系统更成熟。DMS为负值表示现有系统不符合要求。JMS和RMS得分的1到5分范围导致DMS的得分范围为负4到4分。
商业智能
分析完成后,可以将有效性和成熟度结合起来,从基础数据中收集业务智能。有效性和成熟度是互补但独立的度量标准,用于度量ICS安全系统满足业务需求的方式。有效性描述了项目被遵循和执行的程度。成熟度描述了ICS上的程序。将两者结合起来可以提供有关ICS程序如何执行的可操作信息。
选取一个特定的控制,并在图形的y轴上绘制有效性评分,在图形的x轴上绘制DMS。通过查看结果落在哪个象限,人们可以对所考虑的系统做出一般性的陈述(参见图1)。
从左上角开始,我们看到负DMS的高效率。这可能是有能力的专家运行手动系统的地方。他们的日志都是用原始的活页夹归档的,并且有一丝不苟的笔记。在效率和自动化方面有投资的空间。右上方是公司可能在最新和最好的产品上过度投资的地方。投资的商业价值很低。安装比需要的更成熟。右下象限可能会有一种虚假的安全感。先进的系统已经建立,但它们没有得到有效利用。高成熟度系统可能被忽略或未充分利用。 Systems may be misunderstood because operators are not fully trained. In the bottom left is the critical quadrant and suggest immediate intervention is warranted.
图1:为了确定有效性和成熟度,采用一个特定的控制,并在图的y轴上绘制有效性评分,在图的x轴上绘制DMS。通过查看结果落在哪个象限,人们可以快速地对所考虑的系统做出一些一般性的陈述。由Maverick Technologies提供
正式的、可重复的过程
在组织内构建ICS安全程序是一项重大任务,但在构建和运行之前,这项工作还没有完成。需要定期对其进行评估,以确保它仍按设计执行,并与业务需求保持同步。评估过程需要形式化和可重复。甚至评价过程本身也应该随着业务和技术环境的变化而进行审查和调整。通过评估ICS安全计划的有效性和成熟度,组织可以有信心他们的安全计划按照设计执行,风险得到适当的缓解,并从安全投资中获得价值。
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
