前言:虽然操作技术环境与IT环境有很大不同,但运营技术环境具有共同的风险和最佳实践。
关键信息基础设施和管理这些设施的工业控制网络不断受到各种恶意的威胁——来自国家、政治或金融动机的黑客、内部人士和心怀不满的前雇员等。
不幸的是,一般工业控制系统(ICS)网络都有一个共同的弱点:它们是在网络威胁产生之前建设的,没有采取专门的安全防护措施。
对工业控制系统(ICS)网络的破坏可能是灾难性的,而且代价高昂。造成的后果包括物理和环境破坏,生产过程中代价高昂的停机时间,以及对员工生命安全的威胁。此外,生产过程的中断可能会招致监管机构的巨额罚款,并由此导致索赔或被损害的各方提起诉讼,还可能动摇股东信心。
以下列出了对工业控制系统(ICS)网络最常见的五种威胁以及对策。
配置越弱,攻击成功的可能性就越大。例如,一旦控制设备由于配置不良而暴露于互联网——攻击者可以在网络中获得立足点并利用敏感资产。
对策
工业控制系统(ICS)设备永远不应直接连接到Internet。应该实施严格的网络分割,即使为了方便,也不应该牺牲网络的完整性。
审计跟踪对于了解任何网络中正在发生的事情是至关重要的。然而,有些工业控制系统(ICS)环境中的日志机制并不存在或不完整。在许多情况下,安全团队缺乏操作技术(OT)知识,无法知道如何收集日志或在何处查找日志。
对策
保存基本的日志记录对事件响应和攻击调查取证都至关重要。它也是任何类型的监管合规审计所必需的。首先要了解环境的局限性,监控和收集哪些数据,包括所有日志的收集和聚合。
大多数工业控制系统(ICS)网络都有生成审计跟踪的组件,但这些功能往往没有得到充分利用。所有事件都应该自动报告给安全事件响应团队,记录并通过实时审计机制进行关联。
许多工业控制系统(ICS)环境没有设计基本的安全防护控制措施,因此,OT网络中的安全防护措施通常是事后的想法,并且存在以下脆弱性:
● 补丁通常不能轻易部署
● 没有集中的,最新的资产清单、配置、软件版本、补丁级别等
● 内部安全政策没有被监控或执行
● 安全模型基于“如果它有效,最好不要调整”的原则
对策
为OT网络实施集中式自动化资产管理功能至关重要。如果没有最新且准确的工业控制系统(ICS)资产清单,尤其是负责管理物理流程的控制器,则几乎不可能评估风险,应用补丁以及检测未经授权的更改和活动。
正如在IT环境中一样,员工薄弱的安全意识对OT网络安全构成了巨大的风险。网络钓鱼攻击、社交工程和不安全的浏览行为都有可能造成漏洞,攻击者可以利用这些漏洞通过横向移动来破坏IT、OT或两者的网络。
对策
安全培训,网络分段和多因素身份验证都可以防止因员工缺乏意识,违反政策或人为错误而导致的违规行为。
OT环境中的内部人员与IT环境中的安全风险相同。来源可能是恶意的,例如心怀不满的员工,被窃取或破坏资产的内部人员,或者攻击者与内部人员相互勾结造成的泄密。由于人为错误,内部威胁也可能是无意的。
对策
执行风险评估,以识别和解决漏洞,如特权帐户。内部人员拥有过多权限的账户,关闭这些账户是减少内部攻击面的关键。了解和监控OT攻击载体(主要是网络和通过串口直接访问设备)也可以应对这些威胁。网络活动异常检测和常规设备完整性检查可以识别恶意活动。最后,将IT和OT安全性统一起来,因为这两个环境通常是相互连接的,这有助于防止网络攻击从一个网络横向移动到另一个网络。
尽管IT和OT之间存在差异,但这两种环境都有共同的威胁和漏洞。OT安全漏洞虽然在本质上更具有威胁性,但IT中的许多经验教训和最佳实践可以在OT环境中发挥作用。
原文链接:
https://www.darkreading.com/endpoint/the-top-5-security-threats-and-mitigations-for-industrial-networks-/a/d-id/1332816
免责声明:
本公众号的海外版块中所有文章及图片出于传递更多信息之目的,属于非营利性的翻译转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。
原文始发于微信公众号(e安在线):海外丨工业网络的五大安全威胁和对策
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论