数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
完成资产梳理之后,防守方应重点关注安全风险较大的资产,针对性的加强高风险资产的防护措施;同时缩小资产暴露面,并加强安全隔离与权限管控。下面以终端、网络设备、工控设备等角度梳理安全风险,并提出相应的防范建议。
一、终端
终端作为网络中的关键计算资源,承载着数据采集、操作管控等重任。其组成部分包含操作系统、系统应用、第三方应用、数据库等资源,不可避免的存在安全漏洞。特别是操作系统,作为驱动计算设备正常运转的核心软件,其潜在漏洞一旦被攻击者利用,将可能取得目标设备的完全控制权。另外,数据库在各类应用程序和系统中被广泛使用,且存储大量业务数据。但由于数据库自身存在漏洞利用的风险,数据库管理员又通常拥有高级权限,因此通过攻击数据库,攻击者更容易从内部获取更多权限,进而实施数据篡改、窃取数据、数据加密勒索等恶意攻击。
另外,移动介质作为数据流转的载体,在日常办公网络中广泛使用。但移动介质同样也是攻击者攻击武器投递的重要途径,极易引入病毒感染、勒索攻击、内部渗透、数据泄露等安全威胁。工业生产网络中,在电力、化工等行业针对移动介质制定了相应的管理制度,但其他大部分行业同样存在移动介质滥用的问题,给生产安全运行带来极大隐患。
针对终端设备,攻击者通常会采用漏洞利用、DDoS攻击、口令暴力破解、病毒木马、勒索软件、钓鱼攻击、供应链攻击、社会工程学等攻击手段。针对终端设备,建议采取如下防范措施:
1、IT网终端:
关注安全漏洞,及时更新系统及相关应用软件,及时修复漏洞;
谨防钓鱼攻击,使用可信任的软件源和供应商;
强化访问控制,使用强密码和多因素身份认证;
关闭中断自动播放功能,并通过安全软件对移动介质进行注册管控;
配置防火墙和安全软件,对病毒、木马、入侵攻击等进行病毒查杀与攻击防御。
2、OT网终端:
考虑到生产网络特性,漏洞无法及时更新,建议采用工控主机卫士,应用白名单控制,加强应用权限管控,只允许生产所需应用运行,阻断非必要应用使用,降低安全风险;
业务应用需经过离线安全评估和测试验证,建议通过工控主机卫士应用商店功能实现应用的动态更新;
采用强密码及双因子认证Key,加强终端认证管控;并通过制定强制访问控制策略进一步保障终端内部核心业务及数据的安全性;
通过制定网络访问白名单,阻断非必要的网络访问;同时加强终端光驱、蓝牙、串口、并口、无线等外设权限管控,避免通过外设引入安全威胁,进一步保障终端安全性;
通过工控主机卫士对移动介质开启注册及权限管控,未经注册的移动介质无法访问;注册后的移动介质进一步对其“读”、“写”、“执行”权限进行控制,进一步提升移动介质使用过程中的安全性。
二、网络设备
路由器、交换机、防火墙、运维管理系统、身份认证系统等作为网络中的关键资产,其安全性高度依赖正确的配置。倘若配置不当或存在安全漏洞,一旦攻陷,攻击者即可控制防护设备,构建僵尸网络;或者篡改防护策略,从而绕过防御机制,直接访问内部关键资产,导致敏感数据泄露、系统瘫痪及其他安全风险。
针对网络设备,攻击者通常会采用漏洞利用、DDoS攻击、口令暴力破解、ARP欺骗、中间人攻击等攻击手段。针对网络设备,建议采取如下防范措施:
IT/OT网网络设备:
关注安全漏洞,及时更新系统及相关应用软件,及时修复漏洞;
强化访问控制,使用强密码和多因素身份认证;
业务与管理分离,组建独立管理网,仅允许受信任的IP地址或网络进行管理访问;
针对网络入向、出向网络访问配置适当的访问控制规则及安全防护策略,仅开放必须的网络服务和端口;
部署入侵检测、高级威胁检测系统,实时监测网络流量,对攻击行为进行实时告警;
对关键资产日志进行统一采集与分析;定期备份设备配置和日志文件;
使用安全的协议(如HTTPS)进行加密通信或建立VPN隧道。
三、工控设备
工业自动化系统作为生产网络的核心资产,实现对生产各环节自动化控制与管理。随着生产网络智能化、数字化改造的不断深入,生产网络各资产互联互通水平不断提高,生产网络内部核心资产的暴露面逐渐增多。但由于生产网络对可靠性要求较高,此类设备通常不会及时修补安全漏洞,且普遍缺乏安全防护措施,攻击者可利用漏洞或者生产上位机作为跳板对控制系统发起攻击,进而操纵生产过程、篡改数据或程序,最终导致生产中断、物料报废甚至人员伤亡等严重后果。数字化转型网www.szhzxw.cn
常见的工业自动化设备包括PLC、DCS、工业机器人、AGV小车等等。针对工控设备攻击者常用的攻击手段包括:漏洞利用、无线攻击、恶意软件、物理攻击、DDoS攻击、供应链攻击等。针对工控设备,建议采取如下防范措施:数字化转型网www.szhzxw.cn
关注安全漏洞,条件允许的情况下及时更新系统及相关应用软件,及时修复漏洞;
强化访问控制,使用强密码和多因素身份认证,限制对工业设备的物理和远程访问权限;
实施网络隔离,将工业控制网络、生产无线网络、生产有线网络、办公网络进行严格隔离与访问控制;
在关键网络区域边界部署专业的工业防火墙设备,深度解析生产网内部工业生产流量,采用“白名单”机制对工控协议中的操作指令、值域范围、工艺逻辑等进行细粒度管控,保障工业生产的安全性;
工业防火墙采用硬件级写保护策略实现配置与管理分离,避免攻击者利用防火墙层面漏洞或者物理攻击方式篡改防护策略,进一步保障防护效果;数字化转型网www.szhzxw.cn
定期进行离线安全测试和漏洞扫描,定期进行数据备份;
通过工业互联网雷达对工业生产网络资产进行自动探测,形成多维度的资产及漏洞数据统计分析,包括设备类型、厂商、型号、固件版本号、漏洞类型、危险级别、影响范围等。通过技术手段对资产进行全面梳理,进一步缩小资产暴露面。数字化转型网www.szhzxw.cn
在攻防对抗中,提前发现攻击意图能帮助防守方制定更有效的防御措施。因此,针对易攻击资产进行安全加固后,有必要加强安全威胁监测与预警体系建设。任何攻击都会通过网络并产生网络流量,攻击数据有着独特的标识特征,通过全网络流量设备捕获攻击行为是目前最有效的安全监控方式。
面对日益复杂、隐蔽的攻击手段,防守方仅依靠传统的入侵检测系统往往无法发现安全威胁。因此可通过高级威胁检测系统进行监测,通过威胁情报、下一代入侵检测、异常检测、病毒木马检测、恶意代码基因图谱检测、未知威胁沙箱行为检测、恶意流量人工智能检测等多种技术,对网络中的南北流量/东西流量进行全面深度威胁检测与溯源分析。
传统的基于特征的检测手段,如IDS或杀毒软件无法及时有效的应对新产生或手段高明的网络攻击,而高级威胁检测系统融合人工智能检测模型,具备对全新威胁的适应及预测能力,可以更加智能、精准的发现APT等未知威胁。数字化转型网www.szhzxw.cn
同时,高级威胁检查系统可作为防守方的分析工具,从流量、文件、攻击手段、攻击阶段等多角度进行管理分析,可帮助防守方发现更多的攻击威胁事件,减少盲点,更可将不同阶段的攻击事件进行串联,方便判断攻击进行到什么阶段以及溯源攻击的过程。数字化转型网www.szhzxw.cn
另外,高级威胁检测系统可作为防守方溯源分析工具,通过事件追溯、文件追溯、元数据追溯、文件采集存储等多种手段帮助防守方定位攻击源,更好的判定攻击的性质、手段和影响,从而确定合理的应对措施。数字化转型网www.szhzxw.cn
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于 威努特安全网络;编辑/翻译:数字化转型网Jerry。
