英国认证机构推动建立工控系统安全测试标准
作者: 日期:2017年07月05日 阅:5,135

英国认证机构CREST新出炉的报告认为,有必要设立工业控制系统(ICS)技术保障标准,而此结论也受到了英国国家网络安全中心(NCSC)的支持。在NotPetya和WannaCry被疑是网络武器测试的当下,设立该标准的需求日趋迫切。关键基础设施中的加密/清除恶意软件,有可能造成可怕的灾难。

该报告题为《工业控制系统——技术安全保障意见书》,其中论据部分便讨论了此类危险。ICS环境连接性的增加,及其中传统IT基础设施组件和协议的使用,增大了可被高级网络安全攻击者利用的攻击面,比如国家支持的黑客、有组织网络犯罪团伙和极端组织等。

ICS的问题在于,攻击界面在增大,但可能干扰运营连续性的顾虑依然在阻碍着新安全控制措施的部署。报告提到:“很多企业中,保护ICS环境的技术压力太大,难以进行(晦涩难懂且过时的技术、有限的资源、高敏感度)。”虽然有几个已发布的ICS环境保护框架:NIST SP.800-82r2、CPNI工控系统安全、IEC 62443和ISA99等,但测试和保障该ICS安全的强制性标准依然缺乏。

报告指出,技术安全测试专家认为,管理支持不足,比如预算缺乏、资源配置失当、低风险偏好,是影响ICS环境和采取技术安全测试行动的最主要影响因素。其他困难包括:IT和OT间的隔离影响有效安全控制实施、文化壁垒和对改变的抗拒、技术人才资源的紧缺、技术太过复杂和晦涩。

艰难的测试环境和管理驱动力的缺乏,意味着ICS拥有者和运营者没有客观的方法知晓网络风险是否得到了妥善管理。而且,目前也没有测试ICS环境的权威标准供监管机构强制实施。CREST称:“经常性技术安全保障,可为内部和外部利益相关者,提供基于事实的客观信息,包含需要哪些修复措施,为什么需要,以及怎样应用这些措施。”该报告的目的,就是为制定这样的标准奠定基础。

CREST总裁伊恩·格罗弗称:“ICS拥有者需要确保风险被识别和评估。最重要的是,他们需要知道有哪些恰当的措施可以管理并缓解风险。该研究项目有助于识别实际技术安全测试方法的高级特性,各公司企业应考虑这能带来的价值和防护。ICS环境显然比传统IT环境更敏感,对这些系统的任何渗透测试,都需要在高度信任、先进技术和小心谨慎的态度下策划和实施。”

CREST的研究证实,技术安全测试的整体上下文都应由ICS拥有者提供(比如,所有技术安全测试应是业务引导下的),且测试方法应基于一定的标准。由此,CREST制定了一套基于标准的六点测试过程:定义并认可范围;评估风险;进行探索;制定测试计划;执行技术安全测试;分析并报告测试结果。

确定范围的过程,要求测试要符合企业的策略、流程和系统需求。“因为ICS环境中发现的风险,对企业的策略、流程和系统有重要影响,所以让所有利益相关者知晓这一点,并确保对企业的这三个层次都有着深入了解,就特别重要了。”

风险评估探索的是ICS环境中的主要威胁和漏洞,确定要测试的主要风险和可能风险场景。威胁情报来自一系列来源,包括暗网、行业内部信息源、开源监测、政府信息源和黑客论坛。

该发现步骤旨在确定构成ICS环境中基础设施、系统和服务的具体设备。

测试计划制定,需要精心构造的离线和在线测试日程表,用以评估ICS关键风险。CREST建议,可以使用一些经过验证的测试方法。“作为一般规则,ICS中应谨慎采用在线技术安全测试,但有很多措施可以用来确保服务符合客户的需求,最小化中断风险。”

执行技术安全测试涉及到一系列离线和在线测试的组合,以“检查-测试-检查”的方式评估ICS环境。“研究表明,ICS技术安全测试员心中特别有效的测试技术,是红队研判技术。”

最后一步,分析和报告,应记录并报告ICS拥有者同意范围内符合经营目标的测试结果。

CREST总结道:“本建议书提出了一系列改善ICS技术安全测试可采取的方法,但最重要的,是制定出执行技术安全测试的标准,以及根据这些标准对具备提供技术测试服务的机构进行认证。”CREST敦促称,应先从将其提案发展成“帮助管控ICS网络风险的标准”开始。

NCSC支持CREST的结论:“我们认为该报告为ICS安全难题的思考提供了宝贵的贡献,我们期望与CREST、ICS运营者和网络安全行业合作。”

报告下载:

http://www.crest-approved.org/wp-content/uploads/CREST-Industrial-Control-Systems-Technical-Security-Assurance-Position-Paper.pdf

相关阅读

安全牛发布《工业控制系统安全技术及市场分析》报告
调查|工控系统亟需安全评估
工控安全政策系列导读:信息安全技术 工业控制系统安全控制应用指南

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章