做OT的事件響應是不可能的任務?
責編:gltian |2018-12-28 13:34:03當今時代,網絡攻擊不是會不會發生而是什么時候發生的問題。這意味著全世界的工業設施都需重新審視和安排自身在數字工業網絡安全上的投資。隨著優先級的遷移,相對于傳統防護戰術,提升在事件檢測與響應策略及工具方面的投資力度就成了當務之急。
換句話說,打造典型網絡安全邊界期望能攔住攻擊者的做法已經不再適用,必須設計處理攻擊的規程,準備好一旦有人侵入便能立即緩解并修復任意損害。
當今企業IT世界中,因披露法規和新條例公眾意識的加強,這一問題的范圍已經很是清晰了。但在運營技術(OT)領域,很多公司企業仍在艱難調整適應,安全支出的二八定律——80%投入防護,20%投入檢測與響應,也依然適用。
情況即將發生改變的跡象已經出現。對油、氣、水、電、制造、交通和醫療等關鍵基礎設施提供商來說,沒做足事件應對準備可能就意味著違反新的監管規定,比如歐盟的網絡與信息系統安全指令(NIS指令)。但合規只是驅動因素之一,組織良好有條理的事件處理計劃也可以改善安全,有助于防止金融或聲譽損失。
理解響應
工業OT環境事件檢測與響應的一個主要難題是其同質性遠低于典型IT環境。IT環境中,一款Windows惡意軟件可以泛濫成災并頗具破壞性,但故障排除技術的可用性卻相對較高。
相對之下,對OT環境的成功攻擊則可影響不同供應商的多個不同系統。面對這種復雜性,想要理解恰當的響應就需要高度專業化的技能和多方參與了,比如工程、供應商、系統集成商等等。由于OT系統往往缺乏全面的日志記錄或長期數據保存,隔離問題的取證工具包也與IT領域的完全不同,有時候甚至是完全沒有工具可用。
讓問題更加棘手的是,OT環境同時面臨著普通惡意軟件和高端特定威脅的雙重風險,而應對不當就有可能導致危及物理過程的災難性后果。比如說,Triton惡意軟件就是砸了大價錢設計來針對全球電站使用的那類安全儀表系統(SIS)的。若非無意中觸發了該SIS,這款惡意軟件或許直到交付了最終攻擊載荷才會被發現。雖然我們可能永遠不會知曉其創建者的目的是什么,但該惡意軟件無疑具備在危險環境中制造大規模電力中斷的潛力,或許還會造成人員傷亡。
Triton和其他OT惡意軟件,比如震網、Duqu和Shamoon,均在目標系統中潛伏了數月之久。國家力量投入人力物力處理并調查這些事件,若說沒有其他類似威脅潛藏,未免太過天真。
于是,如果工業環境中發生網絡安全事件,你該做什么?檢測與響應策略最佳實踐指南遵循以下七步:準備、識別、遏制、根除、恢復、學習、測試和重復。
做好準備很重要
首先,事件計劃中的關鍵字不是“事件”。凡事預則立不預則廢,做好準備意味著要進行一整套深入全面的風險評估,解決從員工培訓到制定事件發生時的重要聯系人列表等一應事務。而且不僅僅是知道該聯系誰,還必須考慮到涉及如何聯系的任何潛在困難。
能斷絕通信、制造危險環境,或者在鉆井平臺之類遠程站點發生的事件,必須做好應對準備,并且經常更新應對措施。事件應對準備階段還應確保外部各方也參與進來,就像跟進合同義務一樣。
識別事件
第二步涉及事件識別,也是很多公司企業困擾的地方。想要采取恰當的應對措施,發現異常行為和正確分類行為的能力就至關重要了。滲透測試往往能成功的事實就說明事件識別方面的工作還有加強。值得慶幸的是,現在確實有工具可以提供啟發式監視和攻擊早期預警。
事件被證實后,就應了解事件本質及其潛在破壞力。濾掉誤報需要經驗和高超的技術。
遏制
識別之后就是遏制,這又是個需要列出恰當行動方案保持危機時頭腦冷靜的活兒。過度反應與反應不足都會對運營造成傷害。斷掉一臺聯網主機還是隔離一條生產線才能遏制威脅?有沒有公司網絡上發現惡意軟件就隔離OT網絡的計劃?正確的策略可以防止不必要的宕機,也能在系統狀態數據保存良好的情況下更易于取證調查。
聲譽損害控制的重要性也是不言自明。危機時刻能夠詳實透明地溝通能防止問題繼續發酵。
根除與恢復
第四和第五步需要根除威脅并盡快讓環境重新上線。理想情況下就是通過合理的過程從可信“黃金鏡像”備份中恢復。
然而,備份與恢復確實存在特定的困難。一個關鍵問題就是定期測試該恢復能力與備份本身了。停止生產線進行全面演練不太可能,維護一個環境副本用于測試更是成本高到離譜。已經被業內廣泛采用的虛擬化之類技術可以提供所需的靈活性與保障。
學習與重復
最后,第六步和第七步強調從每個事件中記錄與學習,識別出弱點,防止同類事件重現。然后微調并測試你的過程,用攻擊模擬、演習和對抗培訓員工,不斷重復這一過程。
但是,其中我們不斷強調的一個關鍵詞是人才。事件響應計劃的有效性取決于創建并執行該計劃的人,而這些人才需在長期投資不足的欠賬中培養出來。公司企業將不得不利用能提供跨行業OT經驗的外部實體服務,而且最好作為合作伙伴事先預測問題,而不是作為遭攻擊后的受害者加入進去。