當?shù)貢r間3月16日，美國國家標準與技術(shù)研究所（NIST）的國家網(wǎng)絡(luò)安全卓越中心 （NCCoE）與NIST 的工程實驗室（EL）和網(wǎng)絡(luò)安全技術(shù)提供商合作推出了一份文件，以解決制造業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。該文檔提供了以數(shù)據(jù)為驅(qū)動的見解，并基于對幾個基本制造系統(tǒng)測試平臺的實驗室測試分析。NIST聯(lián)合MITRE以及Microsoft、Dispel、Forescout、Dragos、OSIsoft、TDi Technologies、GreenTec、Tenable和VMware共同合作，制定了題為《NIST 特別出版物 （SP） 1800-10，保護工業(yè)控制系統(tǒng)環(huán)境中的信息和系統(tǒng)完整性》的指南。該文件就制造商如何加強運營技術(shù)（OT）系統(tǒng)以降低ICS完整性風險并保護這些系統(tǒng)處理的數(shù)據(jù)提供經(jīng)過審查的信息和指導(dǎo)。這份369頁的指南文檔分為三大部分，以適用于不同的網(wǎng)絡(luò)安全角色。文檔的實用性在于其描述了常見的攻擊場景，并提供了制造商可以實施的實用解決方案示例，以保護ICS免受破壞性惡意軟件、內(nèi)部威脅、未經(jīng)授權(quán)的軟件、未經(jīng)授權(quán)的遠程訪問、異常網(wǎng)絡(luò)流量、歷史數(shù)據(jù)丟失和未經(jīng)授權(quán)的系統(tǒng)修改。

　　NCCoE在文件中表示，該提案構(gòu)建了示例解決方案，制造組織可以使用這些解決方案來減輕ICS（工業(yè)控制系統(tǒng)）完整性風險，加強OT系統(tǒng)的網(wǎng)絡(luò)安全，并保護這些系統(tǒng)處理的數(shù)據(jù)。它還將幫助組織開發(fā)和實施示例解決方案，展示制造組織如何保護其數(shù)據(jù)的完整性，使其免受依賴ICS的制造環(huán)境中的破壞性惡意軟件、內(nèi)部威脅和未經(jīng)授權(quán)的軟件的影響。

　　指南共分為三個部分。

　　第一部分，A 卷，是執(zhí)行摘要，概述了主要痛點和業(yè)務(wù)理由，說明為什么組織需要采取下一步措施以使制造業(yè)網(wǎng)絡(luò)安全成熟。對于那些需要更廣泛地對待挑戰(zhàn)的最高級別的人來說，這是理想的選擇。后續(xù)部分在本質(zhì)上逐漸變得更加技術(shù)化。

　　B卷是方法、架構(gòu)和安全特性部分。它主要是為項目經(jīng)理和中層管理決策者編寫的，他們考慮使用哪些技術(shù)來解決他們的OT驅(qū)動的制造設(shè)施將面臨的問題。指南的這一部分討論了類別、不同方法的權(quán)衡以及各種風險考慮。

　　C卷介紹了操作指南。這是向在現(xiàn)場部署安全工具的技術(shù)人員提供真正的具體細節(jié)的地方，其中包含有關(guān)如何導(dǎo)航系統(tǒng)或平臺以及這些不同技術(shù)組合在一起的大量信息。最后一部分對于那些參與解決方案部署過程的人來說至關(guān)重要。它通過提供具體的技術(shù)實施細節(jié)，全面了解他們?nèi)绾螐耐顿Y中獲得最大價值。

　　NCCoE指南適用于負責ICS網(wǎng)絡(luò)安全的個人或?qū)嶓w，以及有興趣了解OT的信息和系統(tǒng)完整性能力的人員。它還分析了如何實現(xiàn)架構(gòu)，并深入探討了在ICS環(huán)境中保護信息和系統(tǒng)完整性所涉及的安全功能。這些功能是使用商業(yè)上可用的第三方和開源解決方案實現(xiàn)的，這些解決方案提供應(yīng)用程序許可、行為異常檢測 （BAD）、文件完整性檢查、用戶身份驗證和授權(quán)以及遠程訪問。

　　制造業(yè)對國家的經(jīng)濟福祉至關(guān)重要，并且一直在尋找實現(xiàn)系統(tǒng)現(xiàn)代化、提高生產(chǎn)力和效率的方法。因此，制造商正在對其OT系統(tǒng)進行現(xiàn)代化改造，以實現(xiàn)這些目標，使它們與其他IT系統(tǒng)更加互聯(lián)和集成，并引入自動化方法來加強其整體OT 資產(chǎn)管理能力。

　　隨著OT和IT系統(tǒng)變得越來越相互關(guān)聯(lián)，制造商已成為更廣泛和更復(fù)雜的網(wǎng)絡(luò)安全攻擊的重要目標，這些攻擊可能會破壞這些流程并導(dǎo)致設(shè)備損壞和/或工人受傷。此外，這些事件可能會顯著影響生產(chǎn)力并提高運營成本，具體取決于網(wǎng)絡(luò)攻擊的程度。

　　IT和OT網(wǎng)絡(luò)的集成有助于制造商提高生產(chǎn)力和效率，因為它還為黑客（包括民族國家、普通犯罪分子和內(nèi)部威脅）提供了一個肥沃的環(huán)境，他們可以利用網(wǎng)絡(luò)安全漏洞并破壞ICS和ICS數(shù)據(jù)的完整性達到他們的最終目標。這些攻擊背后的動機可能從降低制造能力到經(jīng)濟利益和造成聲譽損害。一旦黑客獲得訪問權(quán)限，他們就可以通過破壞數(shù)據(jù)或系統(tǒng)完整性、索取ICS和/或OT系統(tǒng)贖金、損壞ICS機器或?qū)と嗽斐扇松韨頁p害組織。

　　指南涵蓋的攻擊場景包括保護主機免受通過遠程訪問連接傳遞的惡意軟件、保護主機免受未經(jīng)授權(quán)的應(yīng)用程序安裝、防止未經(jīng)授權(quán)的設(shè)備被添加到網(wǎng)絡(luò)、檢測設(shè)備之間的未經(jīng)授權(quán)的通信、檢測對PLC邏輯的未經(jīng)授權(quán)的修改、防止歷史數(shù)據(jù)修改、檢測傳感器數(shù)據(jù)操縱和檢測未經(jīng)授權(quán)的固件更改。

　　指南稱，參與該項目的合作者貢獻了他們的能力，以響應(yīng)《聯(lián)邦公報》中關(guān)于學術(shù)界和行業(yè)供應(yīng)商和集成商的所有相關(guān)安全能力來源的公開呼吁。那些具有相關(guān)能力或產(chǎn)品組件的受訪者簽署了合作研發(fā)協(xié)議 （CRADA），與NIST在一個聯(lián)盟中合作構(gòu)建示例解決方案。

　　NCCoE文檔中介紹的體系結(jié)構(gòu)和解決方案，建立在基于標準的商用產(chǎn)品之上，并代表了一些可能的解決方案。這些解決方案實現(xiàn)了標準的網(wǎng)絡(luò)安全功能，例如 BAD、應(yīng)用程序白名單、文件完整性檢查、變更控制管理以及用戶身份驗證和授權(quán)。研究團隊構(gòu)建了測試臺以模擬真實的制造環(huán)境。這些場景側(cè)重于由MITRE ATT&CK（r） for ICS數(shù)據(jù)驅(qū)動的已知網(wǎng)絡(luò)挑戰(zhàn)。所有相關(guān)方都為兩個不同實驗室設(shè)置的設(shè)計和可能的測試做出了貢獻：代表裝配線生產(chǎn)的離散制造工作單元和代表化學制造行業(yè)的連續(xù)過程控制系統(tǒng)。 設(shè)計了四種不同的架構(gòu)圖，下圖就是第4個架構(gòu)示意。

　　指南稱，有興趣保護制造系統(tǒng)完整性和信息免受破壞性惡意軟件、內(nèi)部威脅和未經(jīng)授權(quán)的軟件影響的組織應(yīng)首先進行風險評估，并確定減輕這些風險所需的適當安全能力。一旦確定了安全功能，就可以使用本文檔中提供的示例架構(gòu)和解決方案。它補充說，示例解決方案的安全功能映射到NIST的網(wǎng)絡(luò)安全框架、國家網(wǎng)絡(luò)安全教育框架倡議和NIST特別出版物800-53。

　　項目合作者包括Dispel提供具有身份驗證和授權(quán)支持的安全遠程訪問，Dragos提供網(wǎng)絡(luò)和資產(chǎn)監(jiān)控以檢測行為異常以及對硬件、固件和軟件功能的修改，F(xiàn)orescout提供網(wǎng)絡(luò)和資產(chǎn)監(jiān)控以檢測行為異常和對硬件的修改，固件和軟件功能，以及GreenTec提供安全的本地數(shù)據(jù)存儲。

　　其他合作者包括Microsoft，提供了網(wǎng)絡(luò)和資產(chǎn)監(jiān)控以檢測行為異常以及對硬件、固件和軟件功能的修改。OSIsoft提供了實時數(shù)據(jù)管理軟件，可以檢測行為異常以及對硬件、固件和軟件功能的修改。TDi Technologies提供了一個訪問控制平臺，可保護連接并為授權(quán)用戶和設(shè)備提供企業(yè)系統(tǒng)的控制機制，并監(jiān)控活動直至擊鍵。

　　該項目還包括Tenable提供網(wǎng)絡(luò)和資產(chǎn)監(jiān)控以檢測行為異常和對硬件、固件和軟件功能的修改，而VMware提供基于主機的應(yīng)用程序許可名單和文件完整性監(jiān)控。

　　NCCoE表示，雖然它使用了一套商業(yè)產(chǎn)品來應(yīng)對這一挑戰(zhàn)，但該指南并不認可這些特定產(chǎn)品或保證遵守任何監(jiān)管舉措。

　　合作企業(yè)Dragos高級業(yè)務(wù)開發(fā)經(jīng)理Josh Carlson在公司博客文章中寫道：“我們相信它為制造業(yè)社區(qū)提供了易于理解的指導(dǎo)，以改善網(wǎng)絡(luò)安全狀況，無論他們處于旅程的哪個階段?！?“就像永遠不會有靈丹妙藥或單一方法來實現(xiàn)適合您的體型的 BMI，制造公司有很多方法來完成他們認為適合其業(yè)務(wù)的網(wǎng)絡(luò)風險態(tài)勢。本指南旨在涵蓋其中的許多方法，并提出一些值得思考的問題，以制定適用于每個組織的量身定制的網(wǎng)絡(luò)安全計劃，”他補充說。

　　該文件位于NCCoE本月早些時候發(fā)布的“項目描述”的后面，以幫助制造商應(yīng)對行業(yè)內(nèi)的網(wǎng)絡(luò)攻擊并從中恢復(fù)。NCCoE項目呼吁組織在公眾意見征詢期間審查出版物草案，并在4月14日之前提供反饋。

　　NCCoE還與感興趣的利益相關(guān)者合作，以確定響應(yīng)和從網(wǎng)絡(luò)攻擊中恢復(fù)：制造業(yè)網(wǎng)絡(luò)安全項目所需的工作范圍、用例以及硬件和軟件組件。即為制造商制定另一份網(wǎng)絡(luò)安全指南。該出版物目前是處于公眾意見征詢期的草稿，公眾意見征詢期現(xiàn)已開放至4月28日。