压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

當(dāng)今時代，網(wǎng)絡(luò)攻擊不是會不會發(fā)生而是什么時候發(fā)生的問題。這意味著全世界的工業(yè)設(shè)施都需重新審視和安排自身在數(shù)字工業(yè)網(wǎng)絡(luò)安全上的投資。隨著優(yōu)先級的遷移，相對于傳統(tǒng)防護(hù)戰(zhàn)術(shù)，提升在事件檢測與響應(yīng)策略及工具方面的投資力度就成了當(dāng)務(wù)之急。

換句話說，打造典型網(wǎng)絡(luò)安全邊界期望能攔住攻擊者的做法已經(jīng)不再適用，必須設(shè)計處理攻擊的規(guī)程，準(zhǔn)備好一旦有人侵入便能立即緩解并修復(fù)任意損害。

當(dāng)今企業(yè)IT世界中，因披露法規(guī)和新條例公眾意識的加強(qiáng)，這一問題的范圍已經(jīng)很是清晰了。但在運營技術(shù)(OT)領(lǐng)域，很多公司企業(yè)仍在艱難調(diào)整適應(yīng)，安全支出的二八定律——80%投入防護(hù)，20%投入檢測與響應(yīng)，也依然適用。

情況即將發(fā)生改變的跡象已經(jīng)出現(xiàn)。對油、氣、水、電、制造、交通和醫(yī)療等關(guān)鍵基礎(chǔ)設(shè)施提供商來說，沒做足事件應(yīng)對準(zhǔn)備可能就意味著違反新的監(jiān)管規(guī)定，比如歐盟的網(wǎng)絡(luò)與信息系統(tǒng)安全指令(NIS指令)。但合規(guī)只是驅(qū)動因素之一，組織良好有條理的事件處理計劃也可以改善安全，有助于防止金融或聲譽(yù)損失。

理解響應(yīng)

工業(yè)OT環(huán)境事件檢測與響應(yīng)的一個主要難題是其同質(zhì)性遠(yuǎn)低于典型IT環(huán)境。IT環(huán)境中，一款Windows惡意軟件可以泛濫成災(zāi)并頗具破壞性，但故障排除技術(shù)的可用性卻相對較高。

相對之下，對OT環(huán)境的成功攻擊則可影響不同供應(yīng)商的多個不同系統(tǒng)。面對這種復(fù)雜性，想要理解恰當(dāng)?shù)捻憫?yīng)就需要高度專業(yè)化的技能和多方參與了，比如工程、供應(yīng)商、系統(tǒng)集成商等等。由于OT系統(tǒng)往往缺乏全面的日志記錄或長期數(shù)據(jù)保存，隔離問題的取證工具包也與IT領(lǐng)域的完全不同，有時候甚至是完全沒有工具可用。

讓問題更加棘手的是，OT環(huán)境同時面臨著普通惡意軟件和高端特定威脅的雙重風(fēng)險，而應(yīng)對不當(dāng)就有可能導(dǎo)致危及物理過程的災(zāi)難性后果。比如說，Triton惡意軟件就是砸了大價錢設(shè)計來針對全球電站使用的那類安全儀表系統(tǒng)(SIS)的。若非無意中觸發(fā)了該SIS，這款惡意軟件或許直到交付了最終攻擊載荷才會被發(fā)現(xiàn)。雖然我們可能永遠(yuǎn)不會知曉其創(chuàng)建者的目的是什么，但該惡意軟件無疑具備在危險環(huán)境中制造大規(guī)模電力中斷的潛力，或許還會造成人員傷亡。

Triton和其他OT惡意軟件，比如震網(wǎng)、Duqu和Shamoon，均在目標(biāo)系統(tǒng)中潛伏了數(shù)月之久。國家力量投入人力物力處理并調(diào)查這些事件，若說沒有其他類似威脅潛藏，未免太過天真。

于是，如果工業(yè)環(huán)境中發(fā)生網(wǎng)絡(luò)安全事件，你該做什么？檢測與響應(yīng)策略最佳實踐指南遵循以下七步：準(zhǔn)備、識別、遏制、根除、恢復(fù)、學(xué)習(xí)、測試和重復(fù)。

做好準(zhǔn)備很重要

首先，事件計劃中的關(guān)鍵字不是“事件”。凡事預(yù)則立不預(yù)則廢，做好準(zhǔn)備意味著要進(jìn)行一整套深入全面的風(fēng)險評估，解決從員工培訓(xùn)到制定事件發(fā)生時的重要聯(lián)系人列表等一應(yīng)事務(wù)。而且不僅僅是知道該聯(lián)系誰，還必須考慮到涉及如何聯(lián)系的任何潛在困難。

能斷絕通信、制造危險環(huán)境，或者在鉆井平臺之類遠(yuǎn)程站點發(fā)生的事件，必須做好應(yīng)對準(zhǔn)備，并且經(jīng)常更新應(yīng)對措施。事件應(yīng)對準(zhǔn)備階段還應(yīng)確保外部各方也參與進(jìn)來，就像跟進(jìn)合同義務(wù)一樣。

識別事件

第二步涉及事件識別，也是很多公司企業(yè)困擾的地方。想要采取恰當(dāng)?shù)膽?yīng)對措施，發(fā)現(xiàn)異常行為和正確分類行為的能力就至關(guān)重要了。滲透測試往往能成功的事實就說明事件識別方面的工作還有加強(qiáng)。值得慶幸的是，現(xiàn)在確實有工具可以提供啟發(fā)式監(jiān)視和攻擊早期預(yù)警。

事件被證實后，就應(yīng)了解事件本質(zhì)及其潛在破壞力。濾掉誤報需要經(jīng)驗和高超的技術(shù)。

遏制

識別之后就是遏制，這又是個需要列出恰當(dāng)行動方案保持危機(jī)時頭腦冷靜的活兒。過度反應(yīng)與反應(yīng)不足都會對運營造成傷害。斷掉一臺聯(lián)網(wǎng)主機(jī)還是隔離一條生產(chǎn)線才能遏制威脅？有沒有公司網(wǎng)絡(luò)上發(fā)現(xiàn)惡意軟件就隔離OT網(wǎng)絡(luò)的計劃？正確的策略可以防止不必要的宕機(jī)，也能在系統(tǒng)狀態(tài)數(shù)據(jù)保存良好的情況下更易于取證調(diào)查。

聲譽(yù)損害控制的重要性也是不言自明。危機(jī)時刻能夠詳實透明地溝通能防止問題繼續(xù)發(fā)酵。

根除與恢復(fù)

第四和第五步需要根除威脅并盡快讓環(huán)境重新上線。理想情況下就是通過合理的過程從可信“黃金鏡像”備份中恢復(fù)。

然而，備份與恢復(fù)確實存在特定的困難。一個關(guān)鍵問題就是定期測試該恢復(fù)能力與備份本身了。停止生產(chǎn)線進(jìn)行全面演練不太可能，維護(hù)一個環(huán)境副本用于測試更是成本高到離譜。已經(jīng)被業(yè)內(nèi)廣泛采用的虛擬化之類技術(shù)可以提供所需的靈活性與保障。

學(xué)習(xí)與重復(fù)

最后，第六步和第七步強(qiáng)調(diào)從每個事件中記錄與學(xué)習(xí)，識別出弱點，防止同類事件重現(xiàn)。然后微調(diào)并測試你的過程，用攻擊模擬、演習(xí)和對抗培訓(xùn)員工，不斷重復(fù)這一過程。

但是，其中我們不斷強(qiáng)調(diào)的一個關(guān)鍵詞是人才。事件響應(yīng)計劃的有效性取決于創(chuàng)建并執(zhí)行該計劃的人，而這些人才需在長期投資不足的欠賬中培養(yǎng)出來。公司企業(yè)將不得不利用能提供跨行業(yè)OT經(jīng)驗的外部實體服務(wù)，而且最好作為合作伙伴事先預(yù)測問題，而不是作為遭攻擊后的受害者加入進(jìn)去。