ICS安全实战:应对工控系统后门与入侵场景的防护策略

本文基于ICS/OT Backdoors & Breaches扩展包中的初始入侵场景卡,探讨工业控制系统的关键安全防护策略,包括网络隔离、USB管控、供应商设备审查等技术方案,强调纵深防御和运营协同的重要性。

ICS安全实战:应对工控系统后门与入侵场景的防护策略

作者:Brian Ireland

引言

我是Brian Ireland,拥有超过14年能源行业公共事业、NERC、CIP和ICS防护经验。这段经历涵盖从门锁、摄像头、读卡器等物理防护到网络入侵检测系统(IDS)、网络隔离策略、SEIM、SOAR和防病毒部署的网络安全设计与实施。作为遵循普渡企业参考架构(PERA)最佳实践的小组成员,我自2009年起参与构建了可防御的、深度防御的OT/ICS(运营技术/工业控制系统)环境。

本文将参考BHIS与Dragos联合开发的ICS/OT Backdoors & Breaches扩展包,重点分析以ICS为核心的初始入侵场景卡,模拟网络事件并提出相应的潜在缓解措施。

成功ICS安全计划的关键要点

OT/ICS运营的融入

网络安全传统上是IT运营的关注点。OT/ICS运营高度以生产为中心,安全通常是附加解决方案。除非被要求,ICS供应商通常不会提供基于安全的解决方案,因此确保安全融入每个项目至关重要。务必咨询您的ICS管理员和操作员,因为他们日常与这些系统打交道,是了解潜在问题的最佳耳目。

OT/ICS技术的陈旧性

OT/ICS技术早于现代IT网络软件和设备;常见到10年以上的RTU/PLC/HMI*。ICS环境中的硬件和软件设备可能实施后多年未从升级/更新角度触碰,原因可能是更新不可用或供应商不再支持。

通过安全飞地隔离

通过安全飞地隔离将极大减少影响并防止范围蔓延。如果将运营ICS环境置于最高信任级别并仅允许出站流量,这将显著帮助减少威胁向量。控制平面应包含在最高信任级别网络中。绝不应从较低信任网络(如公司局域网)控制对ICS网络的访问。

安全对日常运营的影响

添加网络和物理安全将对日常运营产生影响;关键是与OT合作最小化影响并确保双方理解保护这些运营的好处。如果ICS系统受损,可能直到威胁缓解前都无法执行操作。

法规要求作为起点

法规要求应是一个良好安全计划的入门级别。良好的安全计划将符合大多数管理机构的要求;反之,良好的合规计划可能并不非常安全。例如:NERC CIP-005 v3 R1.5要求严格遵守CIP-007 v3 R4,在电子安全边界(ESP)访问控制点设备(三层边界设备必须安装防病毒解决方案)上安装防病毒软件。严格遵循法规,所有ICS边缘设备都必须允许安装防病毒软件,从而排除最佳网络边缘设备,转而使用更易受攻击的基于软件的设备,或提交技术可行性例外申请并列出补偿措施。

领导层支持

没有高层管理的支持,影响长期OT/ICS运营流程或制定坚实安全实践几乎不可能。除非法规要求或领导层要求实施,否则在ICS中实施安全实践的激励很少甚至没有。

参考:SANS研究所的ICS安全介绍第二部分 | NERC标准

针对某些ICS/OT B&B初始入侵场景卡的潜在缓解措施

数据历史库泄露

  • 隔离:确保历史库或需要在ICS环境外部访问的数据与该环境隔离。如果非运营方需要访问此数据,参考数据不应存储且仅在ICS环境外部可访问。如果需要访问数据,将此历史数据推送到非ICS存储库。
  • 确保没有从隔离历史库返回到ICS环境的路径
  • ICS绝不应与敌对环境相关或可从其访问,例如开放的公司业务网络。利用分层方法,其中使用MFA的AAA边界用于进入在ICS边界内控制的ICS网络。

脏USB

  • 在ICS网络中添加GPO以禁用USB存储使用。
  • 制定管理政策,指导操作员可移动媒体的可接受使用政策。理想情况下,不允许可移动媒体,仅例外允许且绝不允许来自未知源的媒体进入控制网络。
  • 应为可接受的非ICS操作使用单独设备,这些设备应与控制网络隔离。例如电子邮件、文档、时间表等。
  • 利用用于扫描的中间设备,确保软件和文件不包含未知代码。此设备应用于所有带入ICS环境的媒体,并应执行合理检查以确保软件/代码未被篡改。

受感染的授权供应商笔记本电脑

  • 制定可接受使用政策,规定供应商笔记本电脑的使用位置以及他们可以从外部非ICS设备访问的内容。与脏USB缓解措施类似,新设备的软件/代码应经过审查过程,确保在访问ICS控制平面前评估威胁。
  • 使用安全门户网关评估要引入环境的软件。
  • 要求外部设备经过评估过程,确保不包含不需要的恶意软件或PUP程序。

供应商门户

  • 入口/出口过滤:仅允许从外部网络访问已知的监听服务。如果需要,入站流量应仅限于所需的正常操作。如果需要执行紧急操作,仅允许必要时的流量,或对各种非正常操作事件的不当或未计划使用实施警报。
  • 审查防火墙(FW)允许/拒绝的流量,对未知流量模式创建警报。审查阻止和允许的流量日志,确保了解预期流量的样子以及是否存在任何未知流量。
  • 定期审计FW访问控制列表(ACLs),评估允许的端口,并清理未使用的端口。似乎添加新服务作为新项目更新或需求变更是非常常见的做法,但清理旧服务并不总是确保有回顾过程来清理边缘不需要的端口。
  • 在可能时要求MFA以确保身份管理。添加此额外层以防止无意访问ICS环境。

双宿设备

  • 非ICS网络不应可从HMI(人机界面)或其他相关设备访问——这些形式的通信需要通过边界设备桥接。边界设备应限制仅访问批准的端口/服务,且仅用于所需操作。
  • 如果设备操作需要双宿步骤提供身份验证,确保最小权限且仅提供所需的预期操作。这将创建一个桥接,设备两侧必须保持相同的信任级别,从而成为额外的边界设备。

IT泄露与共享域信任

  • 需要仔细评估域信任边界。ICS中的信任级别需要处于最高水平,即ICS中的信任级别应高于公司或其他临时环境。敌对环境不应能够访问或控制对或从ICS环境的访问。
  • 如果需要共享资源,应维护单向非传递信任,利用此信任与ICS网络共享ICS外部资源应从外部资源内部的请求定向。不应允许外部访问ICS网络。双向传递信任将使信任区域无效。
  • ICS应能够向下推送信任到公司或其他共享环境,但非ICS环境不应能够触及ICS环境。

结论

希望这些关于某些ICS/OT Backdoors & Breaches初始入侵场景卡的初步缓解思路有所帮助。您可能注意到了隔离的主题——尽管每个组织和运营都需要例外来完全隔离ICS环境,但应采取所有合理步骤维护坚实边界以减少威胁景观。在必须做出运营例外时,采用带MFA的AAA和强监控/警报原则将极大有助于检测和警报异常条件。

这归结为了解应允许什么;监视正常情况并审查任何变更。在警报任何看起来不寻常的事情时,练习回答5W问题:谁做的?做了什么?何时发生?为什么执行?如果您能回答这些问题,您应能安全防御工业控制系统,快速解决问题,并极大提高发现环境中未知事件的能力。

感谢您花时间阅读这些潜在缓解措施。如有任何问题或额外内容请求,请随时联系[email protected]。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次