美国国家标准与技术研究院(NIST)最近更新了其网络安全框架(CSF:Cybersecurity Framework),对所有五大支柱进行了更改:鉴定识别,保护,检测,响应和恢复。这些变化给希望或需要遵守该CSF的工业组织带来了一些挑战。上次,我们简单介绍了美国NIST的CSF组件的的五大功能,今天借助国外工业方面的一篇报道,继续延伸的聊一下有关CSF在ICS系统中的影响。
鉴定识别
资产管理:必须根据业务目标和组织的风险策略来识别和管理数据、人员、设备、系统和设施。需要能够自动发现和映射所有ICS设备并保存资产的最新清单。
治理:管理和监控组织的法规,法律,风险,环境和运营要求的政策,程序和流程应该指出并告知管理层网络安全风险。需要策略管理和安全警报基础结构来满足此要求。
风险评估:企业组织必须了解自身运营,资产和个人的网络安全风险。必须实施详细的风险评估报告,以涵盖网络行为、资产库存和风险状况。报告应包括每个漏洞的详细信息,包括受影响的资产,严重性和应急步骤。
保护
访问控制:对资产和相关设施的访问必须限于授权用户,流程和设备,以及授权的活动。由于工业控制器很多都不支持任何类型的身份验证,因此企业组织需要监视和审核访问网络和资产的成功和不成功尝试。这包括监视对控制器的物理访问。
数据安全:必须根据企业组织的风险策略管理信息和数据记录。由于控制器上的静态数据和传输中的数据不受保护,企业组织需要实施一种监视数据访问和更改的方法。应针对任何未经授权的访问或可疑活动以及对数据所做的任何更改发出实时警报。
信息保护:必须维护安全策略、流程和过程,并将其用于管理信息系统和资产的保护。这需要建立其ICS的基准配置,监视配置的所有更改的设施以及漏洞管理计划的实施。
远程维护:必须按照政策和程序执行ICS组件的远程维护和维修。企业组织应能够识别、标记和记录无论是否授权的每个远程访问事件。
防护技术:必须通过管理技术,以确保系统和资产的安全性符合政策和程序。需要审核成功和不成功的访问尝试,以及对可疑和未经授权的访问进行实时警报。
检测
异常和事件:必须能够及时发现异常活动,必须了解事件的潜在影响。这涉及使用网络流量建立网络运营活动的基线,以及在发生偏差时生成警报的能力。
安全持续监控:必须以不间断的监控信息系统及其资产,以识别网络安全事件。需要持续监控所有ICS活动,包括通过专有控制平面协议进行的活动。此类监控应能够实时识别异常,并及时自动发出警报。
检测过程。必须维护和测试过程和程序,以确保及时和充分地了解异常事件。要能够通过用户界面,SIEM警报和电子邮件处理事件信息。
响应
通讯:响应活动时需要不同程度的与外部和内部利益相关者进行协调,包括支持与执法部门的联络。支持基于预定义标准(例如源设备,目标设备,用户,使用的协议和事件时间)对特定事件进行警报的可自定义策略的基础结构可以实现此目的。
分析:必须维护和测试过程和程序,以确保及时和充分地了解异常事件。能够捕获取证信息:原始网络流量,配置和代码更改的审计跟踪,以及有关资产的完整详细信息和上下文。
恢复
恢复计划:恢复流程和程序必须确保及时恢复受网络安全事件影响的系统和资产。需要准确和最新的控制器的准确配置和设置清单来协助加速恢复过程。
NIST 1.1中的许多新要求互相支援与加强。对于工业企业组织而言,为建立一个提供可见性,安全性,控制以及专为运营技术(OT)而构建的基础架构的合规性,指明了最佳途径。
|
……往期也精彩…… 分享是美德,传播是善良 |
原文始发于微信公众号(鼎信安全):NIST CSF1.1升级对ICS工业控制系统的影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论