NIST发布制造业工业控制系统环境下信息和系统完整性指南

当地时间3月16日，美国国家标准与技术研究所(NIST)的国家网络安全卓越中心 (NCCoE)与NIST 的工程实验室(EL)和网络安全技术提供商合作推出了一份文件，以解决制造业面临的网络安全挑战。该文档提供了以数据为驱动的见解，并基于对几个基本制造系统测试平台的实验室测试分析。NIST联合MITRE以及Microsoft、Dispel、Forescout、Dragos、OSIsoft、TDi Technologies、GreenTec、Tenable和VMware共同合作，制定了题为《NIST 特别出版物 (SP) 1800-10，保护工业控制系统环境中的信息和系统完整性》的指南。该文件就制造商如何加强运营技术(OT)系统以降低ICS完整性风险并保护这些系统处理的数据提供经过审查的信息和指导。这份369页的指南文档分为三大部分，以适用于不同的网络安全角色。文档的实用性在于其描述了常见的攻击场景，并提供了制造商可以实施的实用解决方案示例，以保护ICS免受破坏性恶意软件、内部威胁、未经授权的软件、未经授权的远程访问、异常网络流量、历史数据丢失和未经授权的系统修改。

NCCoE在文件中表示，该提案构建了示例解决方案，制造组织可以使用这些解决方案来减轻ICS（工业控制系统）完整性风险，加强OT系统的网络安全，并保护这些系统处理的数据。它还将帮助组织开发和实施示例解决方案，展示制造组织如何保护其数据的完整性，使其免受依赖ICS的制造环境中的破坏性恶意软件、内部威胁和未经授权的软件的影响。

指南共分为三个部分。

第一部分，A 卷，是执行摘要，概述了主要痛点和业务理由，说明为什么组织需要采取下一步措施以使制造业网络安全成熟。对于那些需要更广泛地对待挑战的最高级别的人来说，这是理想的选择。后续部分在本质上逐渐变得更加技术化。

B卷是方法、架构和安全特性部分。它主要是为项目经理和中层管理决策者编写的，他们考虑使用哪些技术来解决他们的OT驱动的制造设施将面临的问题。指南的这一部分讨论了类别、不同方法的权衡以及各种风险考虑。

C卷介绍了操作指南。这是向在现场部署安全工具的技术人员提供真正的具体细节的地方，其中包含有关如何导航系统或平台以及这些不同技术组合在一起的大量信息。最后一部分对于那些参与解决方案部署过程的人来说至关重要。它通过提供具体的技术实施细节，全面了解他们如何从投资中获得最大价值。

NCCoE指南适用于负责ICS网络安全的个人或实体，以及有兴趣了解OT的信息和系统完整性能力的人员。它还分析了如何实现架构，并深入探讨了在ICS环境中保护信息和系统完整性所涉及的安全功能。这些功能是使用商业上可用的第三方和开源解决方案实现的，这些解决方案提供应用程序许可、行为异常检测 (BAD)、文件完整性检查、用户身份验证和授权以及远程访问。

制造业对国家的经济福祉至关重要，并且一直在寻找实现系统现代化、提高生产力和效率的方法。因此，制造商正在对其OT系统进行现代化改造，以实现这些目标，使它们与其他IT系统更加互联和集成，并引入自动化方法来加强其整体OT 资产管理能力。

随着OT和IT系统变得越来越相互关联，制造商已成为更广泛和更复杂的网络安全攻击的重要目标，这些攻击可能会破坏这些流程并导致设备损坏和/或工人受伤。此外，这些事件可能会显着影响生产力并提高运营成本，具体取决于网络攻击的程度。

IT和OT网络的集成有助于制造商提高生产力和效率，因为它还为黑客（包括民族国家、普通犯罪分子和内部威胁）提供了一个肥沃的环境，他们可以利用网络安全漏洞并破坏ICS和ICS数据的完整性达到他们的最终目标。这些攻击背后的动机可能从降低制造能力到经济利益和造成声誉损害。一旦黑客获得访问权限，他们就可以通过破坏数据或系统完整性、索取ICS和/或OT系统赎金、损坏ICS机器或对工人造成人身伤害来损害组织。

指南涵盖的攻击场景包括保护主机免受通过远程访问连接传递的恶意软件、保护主机免受未经授权的应用程序安装、防止未经授权的设备被添加到网络、检测设备之间的未经授权的通信、检测对PLC逻辑的未经授权的修改、防止历史数据修改、检测传感器数据操纵和检测未经授权的固件更改。

指南称，参与该项目的合作者贡献了他们的能力，以响应《联邦公报》中关于学术界和行业供应商和集成商的所有相关安全能力来源的公开呼吁。那些具有相关能力或产品组件的受访者签署了合作研发协议 (CRADA)，与NIST在一个联盟中合作构建示例解决方案。

NCCoE文档中介绍的体系结构和解决方案，建立在基于标准的商用产品之上，并代表了一些可能的解决方案。这些解决方案实现了标准的网络安全功能，例如 BAD、应用程序白名单、文件完整性检查、变更控制管理以及用户身份验证和授权。研究团队构建了测试台以模拟真实的制造环境。这些场景侧重于由MITRE ATT&CK(r) for ICS数据驱动的已知网络挑战。所有相关方都为两个不同实验室设置的设计和可能的测试做出了贡献：代表装配线生产的离散制造工作单元和代表化学制造行业的连续过程控制系统。设计了四种不同的架构图，下图就是第4个架构示意。

指南称，有兴趣保护制造系统完整性和信息免受破坏性恶意软件、内部威胁和未经授权的软件影响的组织应首先进行风险评估，并确定减轻这些风险所需的适当安全能力。一旦确定了安全功能，就可以使用本文档中提供的示例架构和解决方案。它补充说，示例解决方案的安全功能映射到NIST的网络安全框架、国家网络安全教育框架倡议和NIST特别出版物800-53。

项目合作者包括Dispel提供具有身份验证和授权支持的安全远程访问，Dragos提供网络和资产监控以检测行为异常以及对硬件、固件和软件功能的修改，Forescout提供网络和资产监控以检测行为异常和对硬件的修改，固件和软件功能，以及GreenTec提供安全的本地数据存储。

其他合作者包括Microsoft，提供了网络和资产监控以检测行为异常以及对硬件、固件和软件功能的修改。OSIsoft提供了实时数据管理软件，可以检测行为异常以及对硬件、固件和软件功能的修改。TDi Technologies提供了一个访问控制平台，可保护连接并为授权用户和设备提供企业系统的控制机制，并监控活动直至击键。

该项目还包括Tenable提供网络和资产监控以检测行为异常和对硬件、固件和软件功能的修改，而VMware提供基于主机的应用程序许可名单和文件完整性监控。

NCCoE表示，虽然它使用了一套商业产品来应对这一挑战，但该指南并不认可这些特定产品或保证遵守任何监管举措。

合作企业Dragos高级业务开发经理Josh Carlson在公司博客文章中写道：“我们相信它为制造业社区提供了易于理解的指导，以改善网络安全状况，无论他们处于旅程的哪个阶段。” “就像永远不会有灵丹妙药或单一方法来实现适合您的体型的 BMI，制造公司有很多方法来完成他们认为适合其业务的网络风险态势。本指南旨在涵盖其中的许多方法，并提出一些值得思考的问题，以制定适用于每个组织的量身定制的网络安全计划，”他补充说。

该文件位于NCCoE本月早些时候发布的“项目描述”的后面，以帮助制造商应对行业内的网络攻击并从中恢复。NCCoE项目呼吁组织在公众意见征询期间审查出版物草案，并在4月14日之前提供反馈。

NCCoE还与感兴趣的利益相关者合作，以确定响应和从网络攻击中恢复：制造业网络安全项目所需的工作范围、用例以及硬件和软件组件。即为制造商制定另一份网络安全指南。该出版物目前是处于公众意见征询期的草稿，公众意见征询期现已开放至4月28日。

参考资源

1、https://www.dragos.com/blog/dragos-contributes-to-nist-guide-to-manufacturing-cybersecurity/

2、https://www.securityweek.com/nist-releases-ics-cybersecurity-guidance-manufacturers

3、https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-10.pdf

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。