工业控制系统安全实战:应对ICS/OT后门与入侵场景的防护策略

本文基于ICS/OT Backdoors & Breaches扩展套件,深入探讨工业控制系统初始入侵场景的防护措施,包括数据历史记录器隔离、USB设备管控、供应商设备审查等关键技术方案,帮助构建深度防御的OT/ICS环境。

ICS Hard Knocks: Mitigations to Scenarios Found in ICS/OT Backdoors & Breaches

| Brian Ireland

大家好,我是Brian Ireland。我目前拥有超过14年能源行业公用事业、NERC、CIP和ICS防护经验。在这14年中,我处理过从门锁、摄像头和读卡器的物理防护,到网络入侵检测系统(IDS)、网络隔离策略、SEIM、SOAR和防病毒部署的网络安全设计与实施。凭借运用最佳实践并严格遵守普渡企业参考架构(PERA)的经验,我所在的小团队从2009年至今成功构建了可防御、深度防御的OT/ICS(运营技术/工业控制系统)环境。

本博客将参考BHIS和Dragos创建的ICS/OT Backdoors & Breaches扩展套件。我们将回顾专注于ICS的初始入侵卡片,这些卡片用于模拟网络事件,并针对所呈现的内容提出潜在的缓解措施。

成功ICS安全计划的一些关键要点

OT/ICS运营的纳入:网络安全传统上是IT运营的关注点。OT/ICS运营非常注重生产,安全通常是一个附加解决方案。ICS供应商传统上不会提供基于安全的解决方案,除非被要求,因此请确保安全被纳入任何项目中。确保您与ICS管理员和操作员协商,因为他们每天都在使用这些系统,并且可以成为您了解潜在问题的最佳耳目。

OT/ICS技术早于现代IT网络软件和设备;看到10年以上的RTU/PLC/HMI*并不罕见。ICS环境中的硬件和软件设备可能从升级/更新的角度实施并保持多年不变,无论是由于更新不可用还是供应商不再支持。

通过安全飞地隔离将大大减少影响并防止范围蔓延。如果您将运营ICS环境置于最高信任级别并仅允许出站流量,这将大大有助于减少威胁向量。控制平面应包含在您最高信任级别的网络中。您永远不应从较低信任度的网络(如公司局域网)控制对ICS网络的访问。

添加网络和物理安全将对日常运营产生影响;关键是与OT合作以最小化影响,并确保双方都理解保护这些运营的好处。如果ICS系统被入侵,可能无法执行任何操作,直到威胁被缓解。

监管要求应是一个良好安全计划的入门级别。一个良好的安全计划将符合大多数监管机构的要求;相反,一个良好的合规计划可能并不非常安全。例如:NERC CIP-005 v3 R1.5要求遵守CIP-007 v3 R4,要求在电子安全边界(ESP)访问控制点设备上安装防病毒软件(层3边界设备必须安装AV解决方案)。通过严格遵守法规,所有ICS边缘设备都必须允许安装AV软件。因此,排除最佳的网络边缘设备,转而使用更易受攻击的基于软件的设备,或申请技术可行性例外并列出补偿措施。

领导层的支持:没有高层管理的支持,影响长期OT/ICS运营流程或开发坚实的安全实践几乎是不可能的。除非有监管要求或领导层要求实施,否则在ICS中实施安全实践的激励很少甚至没有。

参考:Introduction to ICS Security Part 2 | SANS Institute ; Standards (nerc.com)

针对一些ICS/OT B&B初始入侵卡片的潜在缓解措施

数据历史记录器入侵

  • 隔离:确保历史记录器或需要在ICS环境外部访问的数据与该环境隔离。如果非运营方需要访问这些数据,参考数据不应存储且仅在ICS环境外部可访问。如果需要访问数据,将这些历史数据推送到非ICS存储库。
  • 确保没有从隔离的历史记录器返回到ICS环境的路径。
  • ICS永远不应与敌对环境相关或可从其访问,例如开放的公司业务网络。利用分层方法,其中使用MFA的AAA边界用于进入在ICS边界内控制的ICS网络。

脏USB

  • 在ICS网络中添加GPO以禁用USB存储的使用。
  • 制定管理政策,指导操作员可移动媒体的可接受使用政策。理想情况下,不允许使用可移动媒体,仅作为例外,且永远不要从未知来源到控制网络。
  • 应为可接受的非ICS操作使用单独的设备,这些设备应与控制网络隔离。例如电子邮件、文档、时间表等。
  • 利用中间设备用于扫描和确保软件和文件不包含未知代码。该设备应用于所有带入ICS环境的媒体,并应执行合理检查以确保软件/代码未被篡改。

受感染的授权供应商笔记本电脑

  • 制定可接受使用政策,规定供应商笔记本电脑的使用位置以及他们可以从外部非ICS设备访问的内容。与脏USB缓解措施类似,新设备的软件/代码应经过审查过程,以确保在访问ICS控制平面之前评估威胁。
  • 使用安全门户网关评估要引入环境的软件。
  • 要求外部设备经过评估过程,以确保不包含不需要的恶意软件或PUP程序。

供应商门户

  • 入口/出口过滤:仅允许从外部网络访问已知的监听服务。如果需要,入站流量应仅限于所需的正常操作。如果需要执行紧急操作,仅允许必要时流量,或对各种不正常操作事件的错误或未计划使用实施警报。
  • 审查防火墙(FW)允许/拒绝的流量,对未知流量模式创建警报。审查阻止和允许的流量日志,以确保预期流量的样子以及是否存在任何未知流量。
  • 定期审计FW访问控制列表(ACL),评估允许的端口,并清理未使用的端口。似乎添加新服务作为新项目更新或需求变化是非常常见的做法,但清理旧的不总是确保有回顾过程来清理边缘不需要的端口。
  • 在可能时要求MFA以确保身份管理。添加这一额外层以防止无意访问ICS环境。

双宿设备

  • 非ICS网络不应从HMI(人机界面)或其他相关设备访问——这些形式的通信需要通过边界设备桥接。边界设备应限制仅访问批准的端口/服务,且仅用于所需操作。
  • 如果设备操作需要双宿步骤以提供身份验证,确保最小权限且仅提供所需的预期操作。这将创建一个桥接,设备的两侧都必须保持相同的信任级别,从而成为额外的边界设备。

IT入侵与共享域信任

  • 需要仔细评估域信任边界。ICS中的信任级别需要处于最高级别,即ICS中的信任级别应高于公司或其他临时环境。敌对环境不应能够访问或控制对或从ICS环境的访问。
  • 如果需要共享资源,应维护单向非传递信任,利用此信任在ICS网络外部共享资源应从外部资源内部的请求定向。不应允许外部访问ICS网络。双向传递信任将使信任区域无效。
  • ICS应能够向下推信任到公司或其他共享,但非ICS不应能够触及ICS环境。

总结

希望这些关于一些ICS/OT Backdoors & Breaches初始入侵卡片所呈现场景的初始缓解想法有所帮助。您可能已经注意到一个隔离的主题——尽管每个组织和运营都需要例外来完全隔离ICS环境,但应采取所有合理步骤来维护坚实的边界以减少威胁景观。在必须做出运营例外的情况下,AAA与MFA的适应以及强大的监控/警报原则将大大有助于检测和警报异常条件。

这归结为了解应该允许什么;监视正常情况并审查任何变化。练习在警报任何看起来不寻常的事情时回答5W问题:谁做的?做了什么?何时发生?为什么执行?如果您能回答这些问题,您应该能够安全地防御您的工业控制系统,快速解决问题,并大大提高发现环境中未知事件的能力。

感谢您花时间阅读这些潜在的缓解措施。如有任何问题或额外内容请求,请随时联系consulting@blackhillsinfosec.com。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次