信息來(lái)源:secdoctor
英國(guó)認(rèn)證機(jī)構(gòu)CREST新出爐的報(bào)告認(rèn)為����,有必要設(shè)立工業(yè)控制系統(tǒng)(ICS)技術(shù)保障標(biāo)準(zhǔn)�����,而此結(jié)論也受到了英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)的支持���。在NotPetya和WannaCry被疑是網(wǎng)絡(luò)武器測(cè)試的當(dāng)下�����,設(shè)立該標(biāo)準(zhǔn)的需求日趨迫切�。關(guān)鍵基礎(chǔ)設(shè)施中的加密/清除惡意軟件��,有可能造成可怕的災(zāi)難�。
該報(bào)告題為《工業(yè)控制系統(tǒng)——技術(shù)安全保障意見(jiàn)書(shū)》,其中論據(jù)部分便討論了此類危險(xiǎn)���。ICS環(huán)境連接性的增加�����,及其中傳統(tǒng)IT基礎(chǔ)設(shè)施組件和協(xié)議的使用����,增大了可被高級(jí)網(wǎng)絡(luò)安全攻擊者利用的攻擊面,比如國(guó)家支持的黑客����、有組織網(wǎng)絡(luò)犯罪團(tuán)伙和極端組織等。
ICS的問(wèn)題在于���,攻擊界面在增大����,但可能干擾運(yùn)營(yíng)連續(xù)性的顧慮依然在阻礙著新安全控制措施的部署��。報(bào)告提到:“很多企業(yè)中�,保護(hù)ICS環(huán)境的技術(shù)壓力太大,難以進(jìn)行(晦澀難懂且過(guò)時(shí)的技術(shù)����、有限的資源、高敏感度)���?�!彪m然有幾個(gè)已發(fā)布的ICS環(huán)境保護(hù)框架:NIST SP.800-82r2�、CPNI工控系統(tǒng)安全、IEC 62443和ISA99等���,但測(cè)試和保障該ICS安全的強(qiáng)制性標(biāo)準(zhǔn)依然缺乏。
報(bào)告指出�,技術(shù)安全測(cè)試專家認(rèn)為,管理支持不足�,比如預(yù)算缺乏、資源配置失當(dāng)�、低風(fēng)險(xiǎn)偏好,是影響ICS環(huán)境和采取技術(shù)安全測(cè)試行動(dòng)的最主要影響因素����。其他困難包括:IT和OT間的隔離影響有效安全控制實(shí)施、文化壁壘和對(duì)改變的抗拒�����、技術(shù)人才資源的緊缺��、技術(shù)太過(guò)復(fù)雜和晦澀�����。
艱難的測(cè)試環(huán)境和管理驅(qū)動(dòng)力的缺乏,意味著ICS擁有者和運(yùn)營(yíng)者沒(méi)有客觀的方法知曉網(wǎng)絡(luò)風(fēng)險(xiǎn)是否得到了妥善管理����。而且,目前也沒(méi)有測(cè)試ICS環(huán)境的權(quán)威標(biāo)準(zhǔn)供監(jiān)管機(jī)構(gòu)強(qiáng)制實(shí)施���。CREST稱:“經(jīng)常性技術(shù)安全保障����,可為內(nèi)部和外部利益相關(guān)者���,提供基于事實(shí)的客觀信息�,包含需要哪些修復(fù)措施��,為什么需要�����,以及怎樣應(yīng)用這些措施��?!痹搱?bào)告的目的,就是為制定這樣的標(biāo)準(zhǔn)奠定基礎(chǔ)���。
CREST總裁伊恩·格羅弗稱:“ICS擁有者需要確保風(fēng)險(xiǎn)被識(shí)別和評(píng)估�。最重要的是,他們需要知道有哪些恰當(dāng)?shù)拇胧┛梢怨芾聿⒕徑怙L(fēng)險(xiǎn)����。該研究項(xiàng)目有助于識(shí)別實(shí)際技術(shù)安全測(cè)試方法的高級(jí)特性,各公司企業(yè)應(yīng)考慮這能帶來(lái)的價(jià)值和防護(hù)�����。ICS環(huán)境顯然比傳統(tǒng)IT環(huán)境更敏感���,對(duì)這些系統(tǒng)的任何滲透測(cè)試,都需要在高度信任�����、先進(jìn)技術(shù)和小心謹(jǐn)慎的態(tài)度下策劃和實(shí)施��?���!?
CREST的研究證實(shí),技術(shù)安全測(cè)試的整體上下文都應(yīng)由ICS擁有者提供(比如���,所有技術(shù)安全測(cè)試應(yīng)是業(yè)務(wù)引導(dǎo)下的)�,且測(cè)試方法應(yīng)基于一定的標(biāo)準(zhǔn)。由此����,CREST制定了一套基于標(biāo)準(zhǔn)的六點(diǎn)測(cè)試過(guò)程:定義并認(rèn)可范圍;評(píng)估風(fēng)險(xiǎn);進(jìn)行探索;制定測(cè)試計(jì)劃;執(zhí)行技術(shù)安全測(cè)試;分析并報(bào)告測(cè)試結(jié)果。
確定范圍的過(guò)程��,要求測(cè)試要符合企業(yè)的策略���、流程和系統(tǒng)需求����?���!耙?yàn)镮CS環(huán)境中發(fā)現(xiàn)的風(fēng)險(xiǎn),對(duì)企業(yè)的策略���、流程和系統(tǒng)有重要影響����,所以讓所有利益相關(guān)者知曉這一點(diǎn)���,并確保對(duì)企業(yè)的這三個(gè)層次都有著深入了解�����,就特別重要了��?���!?
風(fēng)險(xiǎn)評(píng)估探索的是ICS環(huán)境中的主要威脅和漏洞,確定要測(cè)試的主要風(fēng)險(xiǎn)和可能風(fēng)險(xiǎn)場(chǎng)景�。威脅情報(bào)來(lái)自一系列來(lái)源,包括暗網(wǎng)��、行業(yè)內(nèi)部信息源����、開(kāi)源監(jiān)測(cè)��、政府信息源和黑客論壇�。
該發(fā)現(xiàn)步驟旨在確定構(gòu)成ICS環(huán)境中基礎(chǔ)設(shè)施、系統(tǒng)和服務(wù)的具體設(shè)備����。
測(cè)試計(jì)劃制定���,需要精心構(gòu)造的離線和在線測(cè)試日程表,用以評(píng)估ICS關(guān)鍵風(fēng)險(xiǎn)���。CREST建議�����,可以使用一些經(jīng)過(guò)驗(yàn)證的測(cè)試方法��?��!白鳛橐话阋?guī)則,ICS中應(yīng)謹(jǐn)慎采用在線技術(shù)安全測(cè)試��,但有很多措施可以用來(lái)確保服務(wù)符合客戶的需求����,最小化中斷風(fēng)險(xiǎn)?���!?
執(zhí)行技術(shù)安全測(cè)試涉及到一系列離線和在線測(cè)試的組合,以“檢查-測(cè)試-檢查”的方式評(píng)估ICS環(huán)境�����。“研究表明�����,ICS技術(shù)安全測(cè)試員心中特別有效的測(cè)試技術(shù)�����,是紅隊(duì)研判技術(shù)�����?���!?
最后一步��,分析和報(bào)告��,應(yīng)記錄并報(bào)告ICS擁有者同意范圍內(nèi)符合經(jīng)營(yíng)目標(biāo)的測(cè)試結(jié)果��。
CREST總結(jié)道:“本建議書(shū)提出了一系列改善ICS技術(shù)安全測(cè)試可采取的方法�����,但最重要的,是制定出執(zhí)行技術(shù)安全測(cè)試的標(biāo)準(zhǔn)����,以及根據(jù)這些標(biāo)準(zhǔn)對(duì)具備提供技術(shù)測(cè)試服務(wù)的機(jī)構(gòu)進(jìn)行認(rèn)證?�!盋REST敦促稱�����,應(yīng)先從將其提案發(fā)展成“幫助管控ICS網(wǎng)絡(luò)風(fēng)險(xiǎn)的標(biāo)準(zhǔn)”開(kāi)始��。
NCSC支持CREST的結(jié)論:“我們認(rèn)為該報(bào)告為ICS安全難題的思考提供了寶貴的貢獻(xiàn)����,我們期望與CREST、ICS運(yùn)營(yíng)者和網(wǎng)絡(luò)安全行業(yè)合作��?�!?
報(bào)告下載:
http://www.crest-approved.org/wp-content/uploads/CREST-Industrial-Control-Systems-Technical-Security-Assurance-Position-Paper.pdf
