信息來源:secdoctor
英國認證機構CREST新出爐的報告認為,有必要設立工業(yè)控制系統(tǒng)(ICS)技術保障標準,而此結論也受到了英國國家網絡安全中心(NCSC)的支持。在NotPetya和WannaCry被疑是網絡武器測試的當下,設立該標準的需求日趨迫切����。關鍵基礎設施中的加密/清除惡意軟件�,有可能造成可怕的災難。
該報告題為《工業(yè)控制系統(tǒng)——技術安全保障意見書》��,其中論據部分便討論了此類危險�����。ICS環(huán)境連接性的增加��,及其中傳統(tǒng)IT基礎設施組件和協(xié)議的使用����,增大了可被高級網絡安全攻擊者利用的攻擊面,比如國家支持的黑客�、有組織網絡犯罪團伙和極端組織等。
ICS的問題在于����,攻擊界面在增大�,但可能干擾運營連續(xù)性的顧慮依然在阻礙著新安全控制措施的部署��。報告提到:“很多企業(yè)中����,保護ICS環(huán)境的技術壓力太大,難以進行(晦澀難懂且過時的技術���、有限的資源�����、高敏感度)����?����!彪m然有幾個已發(fā)布的ICS環(huán)境保護框架:NIST SP.800-82r2����、CPNI工控系統(tǒng)安全、IEC 62443和ISA99等�����,但測試和保障該ICS安全的強制性標準依然缺乏。
報告指出�,技術安全測試專家認為,管理支持不足�����,比如預算缺乏�、資源配置失當����、低風險偏好,是影響ICS環(huán)境和采取技術安全測試行動的最主要影響因素��。其他困難包括:IT和OT間的隔離影響有效安全控制實施��、文化壁壘和對改變的抗拒�����、技術人才資源的緊缺�����、技術太過復雜和晦澀。
艱難的測試環(huán)境和管理驅動力的缺乏���,意味著ICS擁有者和運營者沒有客觀的方法知曉網絡風險是否得到了妥善管理����。而且����,目前也沒有測試ICS環(huán)境的權威標準供監(jiān)管機構強制實施。CREST稱:“經常性技術安全保障����,可為內部和外部利益相關者,提供基于事實的客觀信息����,包含需要哪些修復措施,為什么需要�����,以及怎樣應用這些措施����?����!痹搱蟾娴哪康?,就是為制定這樣的標準奠定基礎��。
CREST總裁伊恩·格羅弗稱:“ICS擁有者需要確保風險被識別和評估�����。最重要的是��,他們需要知道有哪些恰當的措施可以管理并緩解風險����。該研究項目有助于識別實際技術安全測試方法的高級特性�,各公司企業(yè)應考慮這能帶來的價值和防護。ICS環(huán)境顯然比傳統(tǒng)IT環(huán)境更敏感���,對這些系統(tǒng)的任何滲透測試��,都需要在高度信任�����、先進技術和小心謹慎的態(tài)度下策劃和實施����。”
CREST的研究證實����,技術安全測試的整體上下文都應由ICS擁有者提供(比如,所有技術安全測試應是業(yè)務引導下的)���,且測試方法應基于一定的標準���。由此,CREST制定了一套基于標準的六點測試過程:定義并認可范圍;評估風險;進行探索;制定測試計劃;執(zhí)行技術安全測試;分析并報告測試結果����。
確定范圍的過程,要求測試要符合企業(yè)的策略����、流程和系統(tǒng)需求?����!耙驗镮CS環(huán)境中發(fā)現(xiàn)的風險,對企業(yè)的策略����、流程和系統(tǒng)有重要影響,所以讓所有利益相關者知曉這一點���,并確保對企業(yè)的這三個層次都有著深入了解����,就特別重要了�����?���!?
風險評估探索的是ICS環(huán)境中的主要威脅和漏洞����,確定要測試的主要風險和可能風險場景。威脅情報來自一系列來源����,包括暗網��、行業(yè)內部信息源��、開源監(jiān)測����、政府信息源和黑客論壇����。
該發(fā)現(xiàn)步驟旨在確定構成ICS環(huán)境中基礎設施、系統(tǒng)和服務的具體設備�����。
測試計劃制定�,需要精心構造的離線和在線測試日程表,用以評估ICS關鍵風險����。CREST建議,可以使用一些經過驗證的測試方法�。“作為一般規(guī)則��,ICS中應謹慎采用在線技術安全測試,但有很多措施可以用來確保服務符合客戶的需求����,最小化中斷風險?����!?
執(zhí)行技術安全測試涉及到一系列離線和在線測試的組合�����,以“檢查-測試-檢查”的方式評估ICS環(huán)境��?��!把芯勘砻?����,ICS技術安全測試員心中特別有效的測試技術���,是紅隊研判技術?!?
最后一步,分析和報告����,應記錄并報告ICS擁有者同意范圍內符合經營目標的測試結果。
CREST總結道:“本建議書提出了一系列改善ICS技術安全測試可采取的方法��,但最重要的����,是制定出執(zhí)行技術安全測試的標準,以及根據這些標準對具備提供技術測試服務的機構進行認證����。”CREST敦促稱��,應先從將其提案發(fā)展成“幫助管控ICS網絡風險的標準”開始��。
NCSC支持CREST的結論:“我們認為該報告為ICS安全難題的思考提供了寶貴的貢獻����,我們期望與CREST、ICS運營者和網絡安全行業(yè)合作�����。”
報告下載:
http://www.crest-approved.org/wp-content/uploads/CREST-Industrial-Control-Systems-Technical-Security-Assurance-Position-Paper.pdf
