亿迅智能制造网
工业4.0先进制造技术信息网站!
首页 | 制造技术 | 制造设备 | 工业物联网 | 工业材料 | 设备保养维修 | 工业编程 |
home  MfgRobots >> 亿迅智能制造网 >  >> Industrial Internet of Things >> 物联网技术

如何规划​​您的 ICS 网络安全事件响应

运行关键系统的组织必须计划和准备应对工业控制系统 (ICS) 网络事件,无论是由无意的内部人员还是恶意攻击者引起的。

适当的 ICS 网络事件响应 (IR) 计划可以最大限度地减少因系统停机、数据丢失、保险费上涨、企业形象受损以及员工和公共安全下降而造成的经济损失。本文仅适用于 ICS(例如,监督控制和数据采集系统、楼宇管理系统),因为大多数组织已经制定了信息技术 (IT) IR 计划 (IRP)。 Parsons 高级 IT 经理 Robert Talbot 说,它提供了 IR 阶段的高级视图 信息安全办公室和帕森斯关键基础设施运营部首席项目经理 Jack D. Oden。

理由

今天的 ICS 通常由基于 Windows 或 LINUX 的人机界面管理,通过 Internet 协议进行通信,并连接到企业局域网和 Internet。新架构提供了显着的好处,包括节省成本、减少对专有设备供应商的依赖,以及更容易/更快地将数据传输到会计部门和高层管理人员。

不幸的是,随之而来的是基于 Internet 的网络攻击带来的风险增加。这不再是是否会发动攻击的问题,而是何时发动攻击的问题。没有一家公司或组织可以阻止所有网络攻击,但大多数 ICS 组织仍然没有做好准备。

事前准备

尽管为 ICS 创建 IRP 和 IR 团队 (IRT) 是明智之举,但网络事件预防可以节省大量时间和金钱。虽然办公室在一天或更长时间没有电子邮件的情况下可以有效运作,但 ICS 无法承受停机时间。控制 ICS 访问减少了攻击者插入恶意软件的途径。由于大多数 ICS 攻击是通过企业进行的,因此应首先保护访问。此外,最近市场上出现了识别 ICS 协议的入侵检测系统,可以查明攻击者如何获得系统访问权限。

一些基本步骤可以减少事件的影响并帮助 ICS 更快地重新上线。定期测试备份磁带可确保功能备份 ICS 配置可用。使用支持专有协议的入侵检测系统至关重要,因为专有系统容易受到网络攻击,并且容易受到具有系统知识的个人的攻击。<​​/P>

事件响应准备

组建网络事件响应团队

组建网络 IRT 是开发有效 IR 能力的两个重要步骤中的第一步。该团队应包括 ICS 工程师和管理员、网络和系统管理员、设施操作员以及来自 IT、网络安全、人力资源、通信和法律的代表。 IRT 应与各种执法机构、行业监管机构和供应商协调。

IRT 组成必须平衡内部员工与在 IR、取证、证据收集和保存、攻击和利用或各种其他网络安全领域经验丰富的外部专家。外部专家可能更快、更彻底,而 ICS 员工则具有系统知识。

制定事件响应计划

有效的 IRP 与 IRT 一样重要。一旦 ICS 出现故障,尽管有组织压力,响应者仍需要时间找到感染源和范围。

在整个 IRT 审核并最终确定计划后,必须完成几项重要任务:

事件响应计划

范围和目的

IRP 适用于可疑或已验证的 ICS 网络安全事件。它概述了检测、分类和响应 ICS 网络安全事件的一般准则,以尽量减少对 ICS 操作的干扰。

事件处理程序

遵循经过验证的程序将能够更快地重新启动生产并减少出错的机会。多个互联网站点概述了 IRT 可用于制定公司特定程序的最佳最佳实践。

事件识别

在最初的 24 小时内发现、遏制和消除漏洞至关重要。 ICS 管理员必须快速而谨慎地与 IR 人员合作,以准确地将情况描述为网络事件或系统故障。

通知

确认事件后,应通知 IRT 领导、首席信息安全官、执行管理层和法律部门。如果合适,应联系执法部门。

遏制

识别受感染的系统、何时受感染以及使用的入口点至关重要。通过适当的网络分段和安全的外部连接,防火墙和其他日志可以帮助确定恶意软件何时进入网络。对于网络犯罪,保存证据并维持监管链;被损害的证据在法庭上是不可接受的。另外,确定任何证人。

根除

一旦包含恶意软件,就必须从每个受感染的系统和 Windows 注册表中清除恶意软件。如果任何痕迹仍然存在,系统将在重新连接到网络时再次受到感染。

系统恢复

在重新启动系统之前,使用未损坏的备份数据恢复损坏的数据。如果不确定恶意软件何时进入系统,请从原始备份中重新加载操作系统和应用程序。

经验教训

IRT 应将吸取的经验教训正式化,以记录成功和改进机会,并使 IRP 标准化。

挑战

成功的 IR 取决于事件的计划和资金,它必须是公司整体风险计划的一部分。因为没有一个实体同时提供 IT 和 ICS 网络安全资金,所以需要一些外交和功课。通常,一位高级经理了解 IRT 的重要性。如果被招募为团队的冠军,该经理可以说服其他高级经理提供团队成员。

仅靠评估并不能确保系统安全。最好通过聘请合格的外部组织来执行 IT 和 ICS 漏洞评估来建立控制。

尽管 IT 界在 20 多年前就意识到网络事件会导致经济损失,但 ICS 界却迟迟没有意识到网络安全的好处,尽管发生了 Stuxnet 和 Target™ 销售点攻击等事件。

结论和建议

高度公开的攻击提高了人们对通过有效的 IRP 和训练有素的 IRT 保护 ICS 和拥有 IR 能力的必要性的认识。文化转变对于推进网络事件预防和恢复是必要的。改变正在到来,但很缓慢。企业应加快ICS网络IR的发展。

此博客的作者是帕森斯信息安全办公室高级 IT 经理罗伯特·塔尔博特和帕森斯关键基础设施运营首席项目经理 Jack D. Oden

这是返回完整选集的链接


物联网技术

  • 嵌入式
  • 传感器
  • 云计算
  • 物联网技术

    1. 如何规划​​成功的云迁移
    2. 如何充分利用您的数据
    3. 您的能源消耗有多环保?
    4. 评估您的 IT 风险——如何以及为什么
    5. 改造网络安全
    6. 人工智能在 ICS 网络安全领域尚处于早期阶段
    7. ICS 安全检查表
    8. 如何规划​​您的 ERP 梦想 – 第 2 节
    9. SCADA 系统如何工作?
    10. 如何规划​​地板奖章
    11. 如何让您的空气压缩机系统更高效
    12. 如何知道何时更换石油钻机盘式制动系统