我的位置 首页  >  新闻动态  >  国内新闻

OT(物联网)事件响应:不可完成的任务吗?

来源:科技成果转化中心时间:2019-01-26
      

1在工业环境中发生网络安全事件时应该怎么做

在这个时代,网络攻击的必然性意味着世界各地的工业设施都开始重新考虑他们对数字工业网络安全投资的优先级。随着优先级的转变,最首要的是提高对事件检测和响应策略及工具的支出,而不是传统的保护和预防策略。    

换句话说,仅仅建立一个传统网络安全边界并希望它能够阻止攻击者,已经远远不够了。我们必须设计处理攻击的程序,并做好准备,一旦有人入侵后,我们能够减轻和修复其造成的损害。

在企业IT领域,由于批漏法和公众对新规则的认识,问题已经变得日益清晰,所以这一信息也似乎正在深入人心。然而,在物联网领域,许多机构仍在艰难调整,而其传统的八二分法,即百分之八十的支出在预防和保护,百分之二十在检测和响应,依然大行其道。

种种迹象表明,这一现象将会改变。对于石油,水,制造,电力,天然气,运输和医疗保健等关键基础设施的供应商而言,未能对安全事故做充分准备可能意味着违反新法规,例如欧盟关于网络和信息安全的指令系统(NIS指令)。然而,合规性只是一个激励因素,一个讲究章法合理安排的事故应对方案,不仅能够有效提高安全性,而且有助于防止经济或声誉损失。 

2了解响应

工业物联网环境中事件检测和响应的一个关键挑战是,其同质性水平比IT领域要低得多。Windows恶意软件可能会猖獗并且具有破坏性,但故障排除技能的可用性相对较高。

同时,对物联网的成功攻击可能会对来自不同供应商的众多不同系统造成影响。并且在面对这种复杂局面时,采取适当的响应不仅需要高度专业化的技能,还需要各方的参与,包括工程,供应商,系统集成商等。而且,由于物联网系统往往不会去全面记录或在长期存储数据,因此用于隔离问题的取证工具包与IT领域有很大不同,有时甚至是不可能的。

难上加难的是,物联网环境既面临广义恶意软件的风险,更有复杂的特定威胁,而一旦未能采取适当的行动应对,很可能会导致灾难性的破坏,甚至影响物理程序。比如Triton恶意软件,它的设计目标非常明显,就是以全球发电站所用类型的安全仪表系统(SIS)为目标。如果不是它无意中触发了SIS,很可能到最后交付最终有效载荷阶段,都不能被发现,同时我们也可能无从得知其创造者的目的是什么。这当然就会造成危险环境下的大规模破坏,甚至可能付出生命的代价。

Triton和其他OT恶意软件,如Stuxnet,Duqu和Shamoon,都可以感染系统,而数月不被发现。许多重要的国家力量都在参与应对和调查此事件。如果有人认为除此之外已经没有其他未发现的威胁,那真是天真之极。

那么,如果在工业环境中发生网络安全事件,您应该怎么做?检测和响应策略的最佳实践指南遵循以下完善的七步流程:准备,识别,遏制,根除,恢复,学习,测试和重复。

3准备事项

首先,一个事件计划中的关键词并不是“事件”本身。准备就是一切。这意味着需要进行彻底的风险评估,以解决从员工培训到发生事故时重要人员的联系名单等所有要点。并不仅仅是知道要联系谁,还要考虑到联系他们过程中可能出现的困难。

对于有些可能引起通讯中断,场面混乱或者远距离发生的事件,比如钻井平台,系统应急措施必须到位且时常更新。同时确保外方机构参与计划也是至关重要的,因为其与合同义务保持同步。 

4事件识别

第二步是异常识别,这也是许多机构的困难所在。发现异常行为并对其进行正确分类,对采取正确行动至关重要。我们进行的许多渗透测试都是成功的,这表明在这个领域是大有可为的。好消息是,提供启发式监控和对潜在攻击做出早期警告的工具,是确实存在的。

一旦问题得到确认,了解事件的性质及其可能造成的损害就非常重要了。过滤掉错误选项则需要经验和较高的技术水平。

5遏制

接下来是遏制。遏制需要协议来规定适当的行动方案,这对于在危机期间保持头脑冷至关重要。过度反应可能与反应不足一样对运营造成损害。是否可以通过断开网络主机或隔离生产线的一部分来控制威胁?如果在公司网络上发现恶意软件,是否有预先制定的隔离物联网络的计划?正确的策略可以防止不必要的停机时间,并且如果可以保留有关系统状态的数据,也可以使取证调查更轻松。

毫无疑问,声誉损害控制至关重要。在危机时刻,能够获取有效信息和对事件了解清楚,对于避免问题复杂化非常有效。

6根除和恢复

第四步和第五步,在一个理想环境中,使用一个编写完善的程序从可靠的“黄金映像”备份中恢复,消除威胁并尽快重新联机。

然而,备份和恢复确实存在困难。定期测试此功能和备份本身就是一个巨大的挑。对大多数人而言,停止生产全面钻孔的生产线很困难,但是维护复制环境进行测试则成本更高。不过虚拟化等技术已被业界广泛采用,可提供一定的灵活性和保证。

7学习并重复

最后,第六步和第七步强调记录和学习。从每次事件中学习,来找出缺点并防止同类事件再次发生。然后进行微调,测试程序,人员训练,模拟演习,游戏训练等,如此反复。

        然而,我们最终回归的关键词还是“技能“。事件响应计划与创造者和实施者一样重要。技能是需要长期培养的。各个机构需要利用外部组织带来跨领域物联网服务来应对挑战。毕竟,作为问题解决的参与者,远远好过成为被攻击后的受害者。


翻译:何跃鹰,孙中豪



       (科技成果转化中心供稿)