| 由于物联网(IoT)设备在工业环境和关键基础设施中的普遍部署,在以后的岁月里,我们将看到更多恶意行为者攻击OT的漏洞。 |
岁已余晖短,新年即始,接踵而至各种转型或许为你的业务提供良机。无论您在过去几年中的威胁环境如何驾驭风险,新的时机到来之际都应该在运营技术(OT)安全方面做出明确的决定,决定为我们的业务和环境的安全做些什么或不做些什么。
由于物联网(IoT)设备在工业环境和关键基础设施中的普遍部署,在以后的岁月里,我们将看到更多恶意行为者攻击OT的漏洞。当然,因为许多OT网络的设计没有考虑任何安全性或没有适当的保护措施。此外,就是随着组织继续融合其IT和OT环境,整个被攻击面每天都在变得更加复杂,变得越来越广泛。
国外安全人员花了很多时间在工厂车间和安全运营中心(SOC),惊讶于这些从业者共同面临的共同挑战。以下是其建议从业者应该在2019年关注的内容:
1.了解运营技术安全风险就是业务风险。
理解和沟通风险。要明白风险可能会损害组织的声誉、导致严重的运营问题,例如生产停机、合规性(违规)处罚和环境安全。业务监督和执行领导可以帮助建立IT和OT之间的协作文化,以实现双方的共同利益,最终实现组织的整体利益。双方有效地相互合作提高组织的安全状况,可以以增进相互理解,提高关键基础架构的可靠性和安全性。
2. 监控用户活动。
从公司IT网络中的用户或系统检测工业控制系统(ICS)网络的是否成功认证尝试也非常重要。如果攻击者通过受感染的系统访问您的网络,他们将尝试跨越到ICS网络以定位关键基础架构。通过监控成功和不成功的登录尝试,可以有效识别异常,通过考虑诸如时间、频率和其他可疑行为等因素。
监控来自用户,供应商或系统集成商的远程连接也很重要。使用远程桌面协议(RDP)的任何人都可以访问设备允许的所有功能,所以开启RDP时需要考虑白名单策略,同时白名单策略也是工控系统中常用的安全策略之一。通过VPN提供对ICS网络的远程访问。如果未充分监视和控制远程访问功能,则未经授权的用户可能访问系统或整个ICS网络。
最后,查找存储在日志和配置文件中的凭据。未受保护的密码和其他凭据意味着黑客可能完全控制您的系统并在互连网络中横向移动,更多系统可能遭受攻击。为防止出现这种情况,应以安全方式存储凭据,若无法安全存储凭证的情况下,限制(最小特权)和/或监视访问。
3. 检查防火墙,路由器和交换机的变化。
正确配置的防火墙可用于保护控制系统免受未经授权的访问,需要对规则集进行监控和检查,以提供持续,充分的保护。保护控制系统免受不必要的访问和可能的攻击需要实时监控防火墙,以快速检测并启动对网络事件的响应。
当然也不能忽视ICS网络上的路由器和交换机等网络设备。它们起着允许或拒绝ICS网络和公司网络之间的通信功能。通过来自路由器和交换机的适当且准确的日志,可以快速检测到不需要的网络访问(异常网络访问),以快速锁定异常,减少安全事件。
查看新设备以了解它们在整个环境中的作用和以及对整个环境的影响。了解环境中的每个设备(系统资产)将有助于了解系统是否感染了恶意软件并通过网络扩散到其他系统。