新年送物聯(lián)網(wǎng)安全戰(zhàn)略的5個(gè)決議
歲已余暉短,新年即始,接踵而至各種轉(zhuǎn)型或許為你的業(yè)務(wù)提供良機(jī)。無(wú)論您在過(guò)去幾年中的威脅環(huán)境如何駕馭風(fēng)險(xiǎn),新的時(shí)機(jī)到來(lái)之際都應(yīng)該在運(yùn)營(yíng)技術(shù)(OT)安全方面做出明確的決定,決定為我們的業(yè)務(wù)和環(huán)境的安全做些什么或不做些什么。
由于物聯(lián)網(wǎng)(IoT)設(shè)備在工業(yè)環(huán)境和關(guān)鍵基礎(chǔ)設(shè)施中的普遍部署,在以后的歲月里,我們將看到更多惡意行為者攻擊OT的漏洞。當(dāng)然,因?yàn)樵S多OT網(wǎng)絡(luò)的設(shè)計(jì)沒(méi)有考慮任何安全性或沒(méi)有適當(dāng)?shù)谋Wo(hù)措施。此外,就是隨著組織繼續(xù)融合其IT和OT環(huán)境,整個(gè)被攻擊面每天都在變得更加復(fù)雜,變得越來(lái)越廣泛。
國(guó)外安全人員花了很多時(shí)間在工廠車間和安全運(yùn)營(yíng)中心(SOC),驚訝于這些從業(yè)者共同面臨的共同挑戰(zhàn)。以下是其建議從業(yè)者應(yīng)該在2019年關(guān)注的內(nèi)容:
1.了解運(yùn)營(yíng)技術(shù)安全風(fēng)險(xiǎn)就是業(yè)務(wù)風(fēng)險(xiǎn)。
理解和溝通風(fēng)險(xiǎn)。要明白風(fēng)險(xiǎn)可能會(huì)損害組織的聲譽(yù)、導(dǎo)致嚴(yán)重的運(yùn)營(yíng)問(wèn)題,例如生產(chǎn)停機(jī)、合規(guī)性(違規(guī))處罰和環(huán)境安全。業(yè)務(wù)監(jiān)督和執(zhí)行領(lǐng)導(dǎo)可以幫助建立IT和OT之間的協(xié)作文化,以實(shí)現(xiàn)雙方的共同利益,最終實(shí)現(xiàn)組織的整體利益。雙方有效地相互合作提高組織的安全狀況,可以以增進(jìn)相互理解,提高關(guān)鍵基礎(chǔ)架構(gòu)的可靠性和安全性。
2. 監(jiān)控用戶活動(dòng)。
從公司IT網(wǎng)絡(luò)中的用戶或系統(tǒng)檢測(cè)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)的是否成功認(rèn)證嘗試也非常重要。如果攻擊者通過(guò)受感染的系統(tǒng)訪問(wèn)您的網(wǎng)絡(luò),他們將嘗試跨越到ICS網(wǎng)絡(luò)以定位關(guān)鍵基礎(chǔ)架構(gòu)。通過(guò)監(jiān)控成功和不成功的登錄嘗試,可以有效識(shí)別異常,通過(guò)考慮諸如時(shí)間、頻率和其他可疑行為等因素。
監(jiān)控來(lái)自用戶,供應(yīng)商或系統(tǒng)集成商的遠(yuǎn)程連接也很重要。使用遠(yuǎn)程桌面協(xié)議(RDP)的任何人都可以訪問(wèn)設(shè)備允許的所有功能,所以開(kāi)啟RDP時(shí)需要考慮白名單策略,同時(shí)白名單策略也是工控系統(tǒng)中常用的安全策略之一。通過(guò)VPN提供對(duì)ICS網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)。如果未充分監(jiān)視和控制遠(yuǎn)程訪問(wèn)功能,則未經(jīng)授權(quán)的用戶可能訪問(wèn)系統(tǒng)或整個(gè)ICS網(wǎng)絡(luò)。
最后,查找存儲(chǔ)在日志和配置文件中的憑據(jù)。未受保護(hù)的密碼和其他憑據(jù)意味著黑客可能完全控制您的系統(tǒng)并在互連網(wǎng)絡(luò)中橫向移動(dòng),更多系統(tǒng)可能遭受攻擊。為防止出現(xiàn)這種情況,應(yīng)以安全方式存儲(chǔ)憑據(jù),若無(wú)法安全存儲(chǔ)憑證的情況下,限制(最小特權(quán))和/或監(jiān)視訪問(wèn)。
3. 檢查防火墻,路由器和交換機(jī)的變化。
正確配置的防火墻可用于保護(hù)控制系統(tǒng)免受未經(jīng)授權(quán)的訪問(wèn),需要對(duì)規(guī)則集進(jìn)行監(jiān)控和檢查,以提供持續(xù),充分的保護(hù)。保護(hù)控制系統(tǒng)免受不必要的訪問(wèn)和可能的攻擊需要實(shí)時(shí)監(jiān)控防火墻,以快速檢測(cè)并啟動(dòng)對(duì)網(wǎng)絡(luò)事件的響應(yīng)。
當(dāng)然也不能忽視ICS網(wǎng)絡(luò)上的路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備。它們起著允許或拒絕ICS網(wǎng)絡(luò)和公司網(wǎng)絡(luò)之間的通信功能。通過(guò)來(lái)自路由器和交換機(jī)的適當(dāng)且準(zhǔn)確的日志,可以快速檢測(cè)到不需要的網(wǎng)絡(luò)訪問(wèn)(異常網(wǎng)絡(luò)訪問(wèn)),以快速鎖定異常,減少安全事件。
查看新設(shè)備以了解它們?cè)谡麄€(gè)環(huán)境中的作用和以及對(duì)整個(gè)環(huán)境的影響。了解環(huán)境中的每個(gè)設(shè)備(系統(tǒng)資產(chǎn))將有助于了解系統(tǒng)是否感染了惡意軟件并通過(guò)網(wǎng)絡(luò)擴(kuò)散到其他系統(tǒng)。
4. 標(biāo)記用于交換關(guān)鍵信息的不安全協(xié)議。
默認(rèn)情況下,Telnet,HTTP,F(xiàn)TP或Windows文件共享等協(xié)議是不安全的,意味著公司數(shù)據(jù)有可能通過(guò)這些途徑外泄,并且可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生破壞性的后果,這些后果帶來(lái)的損失將是高昂的代價(jià)。例如,內(nèi)容數(shù)據(jù)通常存在于FTP服務(wù)器上若干年,未經(jīng)授權(quán)的個(gè)人可以相對(duì)容易地訪敏感信息。 所以,慎用這些不安全的協(xié)議同時(shí),如果屬于業(yè)務(wù)必須則采取好相應(yīng)防護(hù)措施。
5. 考慮采用機(jī)器學(xué)習(xí)。
機(jī)器學(xué)習(xí)是一個(gè)當(dāng)下比較流行的東西,安全專業(yè)人員越來(lái)越擔(dān)心惡意攻擊者可能會(huì)使用機(jī)器學(xué)習(xí)技術(shù),為未來(lái)安全帶來(lái)全新挑戰(zhàn),引發(fā)安全危及。鑒于數(shù)據(jù)量呈現(xiàn)與日俱增的勢(shì)頭,網(wǎng)絡(luò)威脅數(shù)量的增加以及技術(shù)變革的快速發(fā)展,安全分析師亦可以借助機(jī)器學(xué)習(xí),從中獲益。網(wǎng)絡(luò)安全的未來(lái)將是需要人力和機(jī)器的協(xié)作,不斷融合適當(dāng)?shù)娜祟惻袛嗯c機(jī)器學(xué)習(xí)能力在一起,最終形成最佳的防御策略。
新春來(lái)臨之際,信息安全人員應(yīng)該從IT部門、OT部門、工廠、SOC和整個(gè)企業(yè)一路看下去,去尋找他們基于當(dāng)下的最完美解決方案。當(dāng)然,此處說(shuō)的完美是,企業(yè)具體情況下可以做的最好的狀態(tài),要知道在信息安全領(lǐng)域,是永遠(yuǎn)止境的。信息安全的對(duì)抗,一直是魔與道,道高一尺魔高一丈的斗爭(zhēng),一刻不能松懈的。但是,請(qǐng)相信自古邪不壓正,道路險(xiǎn)阻,卻也是必然之路。千百年來(lái),魔道比拼只是戰(zhàn)場(chǎng)不同,從來(lái)都是魔高道更高,只不過(guò)要修好道心,防止魔心罷了。此處雖是戲言,不過(guò)理卻很真哦。
在此,祝大家在新春佳節(jié)來(lái)臨之際,祝大家抱得金豬肥又圓,闔家歡樂(lè)笑聲傳,觥籌交錯(cuò)美酒滿,春風(fēng)得意過(guò)好年。
