黑客也頭痛:七大神器保護工業(yè)安全
重工業(yè)正逐漸成為網(wǎng)路攻擊的目標。金融機構或或許也承受著種種壓力,但無論是以次數(shù)或類型來看,工業(yè)網(wǎng)路遭受到更嚴重的攻擊。目前看來,這些攻擊唯一的目的似乎都在探測弱點,但卻足以危害到整個工業(yè)網(wǎng)路。為了保護工業(yè)控制網(wǎng)路免于遭受網(wǎng)路攻擊,美國國土安全部(DHS)建議采取七項保護措施。
DHS所屬的工業(yè)控制系統(tǒng)緊急應變小組(ICS-CERT)在日前發(fā)布了有效防御工業(yè)控制系統(tǒng)的7個步驟。ICS-CERT首先指出根據(jù)其研究,在2015年至少發(fā)生295起與工業(yè)網(wǎng)路有關的入侵事件,此外還有更多可能是未發(fā)布或未偵測到入侵事件。再者,這些事件還有愈演愈烈的趨勢。
ICS-CERT強調(diào),簡單地增強外圍防護(如防火墻)的網(wǎng)路已經(jīng)不再適用了。
為了協(xié)助減輕遭受網(wǎng)路攻擊的可能性,ICS-CERT建議必須為工業(yè)網(wǎng)路建置7項重要策略,以提高其防護能力。該機構宣稱,這7大步驟可讓FY2015年所舉報的攻擊中,有98%的事件都能幸免。
七大神器保護工業(yè)安全,這七大關鍵策略是:
1.建置應用程式白名單:只允許預先經(jīng)認可的應用程式來執(zhí)行,讓網(wǎng)路能偵測并防止惡意軟體。SCADA系統(tǒng)、人機介面(HMI)電腦與資料庫系統(tǒng)特別適用這一策略。
2.確保正確配置與管理增補程式:隨著對手不斷提高其能力,安全的實際作法也逐漸過時。其結果是,未經(jīng)增補的軟體越來越容易成為目標。關鍵是必須落實安全輸入程序以及更新可信任的軟體增補程式。
3.降低易受攻擊的表面范圍:關閉未使用的埠以及未用的服務。只有在絕對必要時才允許即時的外部連接。隔絕你的工業(yè)網(wǎng)路與不受信賴的外部網(wǎng)路。還有一個有用的技巧是,如果只需要單向通訊(如報告資料),盡量使用光學隔離方案(資料二極體),以預防回程訊號進入。
4.建立可防御的環(huán)境:正確的架構有助于限制從外圍入侵的潛在損害。就像城堡擁有外墻和內(nèi)部防御工事一樣,將網(wǎng)路設計成一個可限制主機對主機通訊的系統(tǒng)集合,可避免因其中一個系統(tǒng)受損而影響其余系統(tǒng)。
5.認證管理:使用竊取而來的憑證可能讓攻擊者幾乎無法被系統(tǒng)偵測到。因此,透過雙重因素認證、限制使用者權限的存取、為企業(yè)與控制網(wǎng)路存取提供不同的認證,以及各種保護機制,都有助于強化認證。
6.安全的遠端存?。喝绻斜匾褂眠h端存取,更要采取保護措施,如使用硬體(而非軟體)資料二極體進行唯讀存取、限時遠端存取、要求操作員透過遠端存取請求進行控制,以及避免為供應商與員工采用不同存取路徑的“雙重標準”。同時,關閉任何可疑的存取物件、隱藏的后門等等。特別是防護數(shù)據(jù)機基本上并不安全。
7.監(jiān)測與因應計劃:網(wǎng)路攻擊正不斷地成熟壯大,所以目前看來足以因應的措施可能成為明日的破綻。持續(xù)地監(jiān)測網(wǎng)路以避免可能的入侵跡象或其他攻擊,并且預先擬定偵測到攻擊時的因應計劃。迅速采取行動可限制受損害的程度,而且也有利于盡快恢復。
來源:比特網(wǎng)
提交
新大陸自動識別精彩亮相2024華南國際工業(yè)博覽會
派拓網(wǎng)絡被Forrester評為XDR領域領導者
智能工控,存儲強基 | ??低晭砭手黝}演講
展會|Lubeworks路博流體供料系統(tǒng)精彩亮相AMTS展會
中國聯(lián)通首個量子通信產(chǎn)品“量子密信”亮相!