1/30/14问答环节

我们刚刚被黑了吗?为您的工业控制系统应用数字取证技术:问答环节

网络直播问答环节,主持人Matt Luallen,联合创始人Dragos Security LLC和Robert Lee,联合创始人,Dragos Security LLC。

  1. 问:你推荐蜜罐来检测工业系统中的入侵吗?

    • 答:警告:在加入任何蜜罐之前,确保你已经采取了类似于20个关键控制的措施。只要运用得当,任何东西都可以成为伟大的工具;但说实话,蜜罐是我最喜欢使用的工具之一,我们认为它们对工业系统非常有益。工业网络所有者可用的关键防御措施之一是,他们的网络、配置、设备类型等在最初基本上都不为对手所知。因此,在不应该有人访问的网络内部设置蜜罐会非常暴露。当在蜜罐中检测到活动时,它要么是恶意的,要么是错误配置,这可能是妥协的最初迹象之一。此外,在您的网络之外使用蜜罐可以指示哪些类型的威胁尚未影响到您的网络。通过这种方式,您可以对网络上从未接触过的威胁建立防御和缓解措施。这是威胁情报的一个概念,如果使用得当,它是非常强大的。

  2. 问:我们的控制系统使用公司局域网。这种体系结构(从安全的角度来看)的优点和缺点是什么?

    • 答:从安全的角度来看,我们要提醒大家,这在很大程度上不利于控制系统的安全。诚然,在公司局域网上拥有控制系统的一个好处(尽管我们反对这样做)是局域网的防御系统由控制系统继承。例如,公司局域网可能有入侵检测系统、配置的防火墙和其他安全应用程序,控制系统将从边界防御方面受益。然而,正确地与公司局域网隔离的控制系统具有更高级别的此类防御。想象一下,一个攻击者必须侵入一个网络。他们的主要入口之一将是用户浏览网站或阅读电子邮件的企业网络。攻击者可以利用一系列入口向量,如客户端攻击来渗透网络。如果控制系统在网络上,它们在很大程度上是脆弱的。如果控制系统在隔离的网络上,其中与公司网络的连接有限(如果有的话),防御者有更多的机会和时间来捕捉攻击者。最后,大多数控制系统协议被设计成只用于被认为是安全的网络,并且与其他易受攻击的IT网络有气隙。 We know that the air gap is not a feasible defense strategy but it is important to keep in mind that the ICS protocols were not designed with security in mind.
  3. 问:我们能否获得试图访问我的控制网络的设备的MAC地址?如果是这样,我们能假设MAC地址是真实的而不是假的吗?

    • 答:这取决于你检测MAC地址的点。例如,如果您注意到有趣的IP流量试图从另一个网络控制(如公司网络)访问您的控制网络,那么请查看该网络上相应路由器和/或交换机上的ARP和MAC地址表。但是,如果IP地址来自您无法控制的另一个网络,则您不太可能确定MAC地址。确定MAC地址可能并不总是有用的,因为它很容易欺骗或伪造MAC地址。攻击者可以声明他们的MAC地址是一个值,而实际上是另一个值。然而,如果你对你的网络有深刻的了解(你应该控制网络),并且可以根据MAC地址识别机器,这有助于识别流氓或受感染的设备,并将它们与网络隔离。例如,您可以使用MAC地址(IEEE OUI)上的前缀来尝试识别您正在寻找的设备类型,并使用该信息限制您在网络上的搜索。

  4. 问:列出你们(两位)提到的工具(及其来源)