Crest说,工业控制系统中的网络安全性
根据安全认证班次,有必要提高工业控制系统(ICS)环境中的网络安全。
有必要改进以避免可能影响危急国家基础设施(CNI)的违规行为,结束了CREST报告,该报告说,CNI不仅是对抗国的目标,而且还有旨在的目标,也是坚定的和熟练的刑事袭击者。
该报告突出了许多挑战,并表示,在确保满足更高水平的安全保证方面,可以发挥更多技术安全测试。
该报告基于研究,了解保护ICS环境的主要挑战和可能的解决方案,其中许多是基于遗留技术。
该研究表明,许多与ICS环境的组织尚不清楚他们面临的威胁程度或者是否已经被违反了。
报告中的一个主要发现之一是缺乏周期性标准的技术安全测试,这些安全测试是许多其他行业的普遍存在。因此,ICS环境所有者和运营商没有客观方式来了解网络风险是否充分管理。
技术安全测试专家认为管理支持不足,作为影响ICS环境的能力的最重要因素并进行技术安全测试活动。
该报告还注意到,目前没有确定监管机构授权的ICS环境的明确标准,并且ICS环境正在变化的事实迅速导致更高程度的曝光程度。
“ICS环境所有者要求保证正在确定风险,评估和评估,”Crest总裁Ian Glover说。“最重要的是,他们需要知道有适当的措施来管理和减轻风险。”
Glover表示,该项目的研究有助于确定实用技术安全测试方法的高级特征。
“组织应该考虑如何增加价值和保护,”他说,并补充说,它是明确的ICS环境比传统IT环境更敏感,并且必须以高度的信任,技能计划和开展系统的任何渗透测试。并谨慎。
该报告建议将多学科测试团队组装为IC技术安全测试,由具有不同测试技能,知识和对风险管理的观点的成员组成,并且技术安全测试方法应该是智能主导的,威胁情景为基础,绘制既有良好的技术安全测试原则,在可能的情况下,使用红色组合概念。
格洛弗表示,该报告支持在智力导向的渗透测试中,在临界国家基础设施的许多部分中都有许多部分在做出的工作中。
英国国家网络安全中心(NCSC)的发言人表示,该报告为“对这一具有挑战性的思路进行了有价值的贡献”,补充说:“我们期待着与Crest,以及ICS运营商和网络安全行业合作,使英国成为最安全的地方,在线生活和做生意。”
该报告适用于私营和公共部门的组织,主要针对IT经理,信息安全管理人员和技术安全测试专家,但也将有兴趣地处理工程师,安全专家,商业经理,采购专家和IT审计员。
Crest现在正在寻求扩展这个初始ICS研究,以制定可以由专家使用的详细指导材料,以帮助安全的ICS环境,特别是那些构成批判性国家基础设施。
2017年4月,担保公司Fireeye的一份报告称,制造商在批量生产,可靠地安全的情况下,厂商投入了大量的工业流程,而且董事会成员,高管和保安人员往往没有意识到业务核心核心的技术邀请未被发现的颠覆。
该报告确定了六个关键的弱点,对手可以用于破坏工业厂的运作:
未经身份验证的协议过时的硬件弱用户身份验证弱文件完整性检查易受攻击的Windows操作系统未记录的第三方关系