工业控制系统与操作技术环境中的网络事件响应规划考虑因素指南

指导：工业控制系统/操作技术领域网络安全事件响应规划考虑因素 Introduction 这份指导旨在帮助组织理解工业控制系统（ICS）/运营技术（OT）系统中特定考虑因素，并更好地为ICS/OT环境中的网络事件做好准备。它旨在补充并与以下内容一起阅读：NCSC 的一般事件响应和管理指南 ，并侧重于与 ICS / OT 环境相关的特定和独特方面。 制定有效的事件响应计划还支持NCSC 网络评估框架 (CAF)本指南中涵盖的相关良好做法指标(IGP) 的摘要显示在本文的末尾 。 如果你负责ICS/OT资产的管理或维护，本文将帮助你应对采用成熟事件响应规划流程时可能遇到的挑战。 PerNCSC 的指导重要的是要假设您的系统 ICS / OT 将在未来被破坏 ， 这可能是由于 ： •ICS / OT 环境中的大量遗留系统 ，•从资产管理的角度来看 ， 系统运行的可见性有限 ，•网络通信的可见性有限 ，•与外部系统的通信管道。 此外，尽管采取了最佳努力，工业控制系统/运营技术（ICS/OT）环境往往在与信息技术（IT）环境隔离方面存在不足，且/或在ICS/OT环境内部的隔离也常常不够充分。 值得注意的是 ， 对于基本服务运营商 (OES)由网络和信息系统安全法规 (NIS - R)他们将通过使用 NCSC 的 CAF 进行监管 并且必须在其 ICS / OT 环境中访问适当的日志记录和监控。 对于那些由健康与安全执行官 ， OG86 ， 附录 2 ， 第 D 节 ， 详细说明事件响应计划的要求. 虽然网络事件响应计划 (IRP) 应同时适用于 IT 和 ICS / OT 系统 ， 但必须考虑ICS / OT 环境中的关键差异。因此 ， 在本文中 ， 我们将介绍 ICS / OT 事件响应准备和计划中的具体问题。 我们将具体关注的领域分为以下几个方面: •准备工作•检测•Triage•采取回应行动•跟踪和报告•利益相关者参与•经验教训 准备工作 从应对高-profile网络攻击中吸取的教训清楚地传达了一个信息，即准备至关重要。E - ISAC / SANS 防御使用案例 1 来自对乌克兰电网的网络攻击分析。 准备 - 定义角色和职责。 在考虑 ICS / OT 网络 IRP 中的角色和职责时 ， 以下是需要考虑的几个因素 ： •对于ICS/OT而言，无论哪支团队进行分析和/or数据收集，角色和职责都应明确界定。特别是在与工厂运营、安全以及与生产、质量及安全相关的决策相关的情况下，这尤为重要。需要识别并消除威胁，并建立信心，确保系统能够恢复到安全的操作状态。•保留合同的应急响应公司应当能够提供能够在危险环境中运作的支持资源。在某些情况下 ，这些资源可能需要认证才能在工业现场运行，因此您应该考虑使用哪些资源以及如何进行入职培训，包括任何必要的健康与安全培训、药物和酒精检测等。 角色和职责应始终包括以下内容 ： •工厂运营•安全系统和保证经理•生产经理 有关角色和职责的更多信息 ， 请参阅NCSC 关于建立网络安全事件响应小组(CSIRT) 的指南。 一个专门针对ICS/OT事件响应的决策树，描述在整个事件响应生命周期中通信将如何流动，有助于定义所需的角色和责任，并明确关键利益相关者将如何被整合以及何时被召唤。 行动要点: 制定 ICS / OT 特定事件响应决策树 / 剧本。 建立跨功能应急响应团队以确保IT安全与ICS/OT部门之间的协调至关重要，该团队应包括来自IT安全和工业控制系统/运营技术（ICS/OT）部门的成员。预先指定团队负责人，负责协调IT安全与ICS/OT团队之间的沟通、决策和任务分配。这些个人和团队可以通过实施的安全通信渠道和信息共享平台，在IT安全与ICS/OT团队之间分享相关威胁情报、指示器（IOCs）和取证发现。 行动点： 确定并培训关键个人 ， 以充当 IT 和 ICS / OT 团队之间的协调点。 准备 - 准备 ICS / OT 特定的网络事件响应计划 ICS/OT系统和网络通常对可用性和完整性要求较为敏感，因此事件响应程序需要考虑如何与系统进行交互以收集法医证据。这些考虑应在特定于ICS/OT的响应计划中进行记录，并可能需要根据不同ICS/OT运营商资产中使用的不同系统（如不同的站点、工业过程或系统的功能）来定制。 • 操作点 ： 创建特定于 ICS / OT 环境的 IRP 。 ICS / OT 网络 IRP 中包含的关键部分包括以下内容 ： •••• Scope关键角色的联系方式。o指定角色并提供他们的联系方式。事件响应流程的描述 ， 涵盖事件的整个生命周期用于记录和报告事件的模板。o考虑是否实施ICS/OT网络 incident响应计划（Cyber IRP），以及该计划是否涵盖了整个ICS/OT环境，还是仅针对某个站点或业务单元。如果后者，则需考虑团队之间的互动点和升级路线。o如果你是关键服务运营商（OES），制定一份报告要求模板以协助IR团队确保能够及时准确地捕获相关信息。o使用已建立的框架 ， 如SANS PICERL 框架（ 如下图 1 所示) 或NIST. SP.800 - 61r2 。 CISA 已制定了一份出色的文档，提供了关于ICS/OT网络 incident response plan（IRP）应包含内容的进一步详细说明。. The信息专员办公室提供有关报告要求的更多详细信息对于OES而言，虽然在英国每个主管机构可能有特定要求——例如，能源安全与净零部可能有特定要求。(DESNZ) 提供以下针对能源部门的指导 ， 该指导基于阈值 (见附件 D) 。 除了本文后面提到的执行ICS/OT IRP之外，还需要向计划中确定的责任人员提供相关元素的培训和意识提升。 行动点:对参与ICS/OT IRP的工作人员进行培训和提高意识，以便他们能够更好地胜任各自的责任角色。 检测 从ICS/OT网络检测网络安全事件一直是ICS/OT运营商面临的长期挑战，尤其是那些没有将安全设计考虑在内的遗留系统。能够检测、关联和分析来自ICS/OT的事件对于能够响应和恢复事故至关重要。 在ICS/OT环境中支持事件检测的日志记录和监控进一步指导与见解可以在相关部分找到。ICSCOI 网站. 运营商还利用安全运营中心（SOCs）的概念，配备专门的SOC分析师，将对事件进行24/7监控。NCSC 对 SOCs 及其中的职能和角色有额外的指导。 检测 - 人 运营、工程和维护团队最了解您的系统及其行为。培训这些团队报告可疑行为，建立鼓励报告可疑行为的文化是必要的长期组织活动，将增加事件检测覆盖面，同时也有助于提高非专职从事网络安全工作的人员对网络安全意识的认识。 一个关于培训ICS/OT操作员报告潜在网络安全事件时应考虑的因素的有用参考资源已被创建。NERC 在美国 ， 在这里找到. •行动点:记录来自ICS/OT网络安全应急响应计划（Cyber IRP）环境中的事件检测示例。包括通知可能有助于强化组织的安全文化，定期审查ICS/OT Cyber IRP可以用来验证事件检测能力的有效性。 检测 - 过程 网络安全事件，如从网络监控、主机日志记录或防火墙等安全设备获取的信息，可以被您的ICS/OT监控团队用来检测和响应事件。这可能包括对事件采取果断且具体的操作，或者激活事件响应计划以召集团队进行更详细的调查。对于ICS/OT运营商来说，招聘和保留专门从事监控功能的ICS/OT安全专家可能会颇具挑战性。因此，考虑第三方监控安排以补充ICS/OT运营商的组织能力是可行的选择。支持选项可以从将ICS/OT监控解决方案集成到企业的SOC（安全运营中心）中开始。 （ 请参阅 NCSC 相关指南), 或将监控外包给托管安全服务提供商。 来源的网络安全事件也可能来自您组织外部。ICS/OT 运营人员可以利用社区通知安排等机制。信息共享和分析中心、监控NCSC CISP 通知并订阅NCSC 预警系统.有关威胁信息的更多信息也可在 NCSC 网站上获得。英国政府还发表了一篇论文 ， 以帮助政府部门了解他们应该处理威胁信息哪些运算符也会有用。 检测 - 技术 检测能力对于ICS/OT系统，如果基于IT解决方案，可以依赖部署Endpoint、Detection and Response（EDR）解决方案，这些解决方案通常会在整个企业网络中部署（尽管有时会根据业务/风险决策不启用响应解决方案）。被动网络监控往往是部署以最小化对ICS/OT系统和资产的干扰的好方案，尤其是在禁止或不实际或危险地部署主动扫描或主机基agent的情况下。 无论ICS/OT运营者在威胁检测技术部署、服务或内部能力方面做出何种选择，他们都应该对以下事项有清晰的理解：目前针对其环境存在哪些日志记录和监视覆盖范围这有助于理解潜在的缺口和提高日志与监控覆盖范围的可能性。更为重要的是，它为事件响应团队（无论其组成方式如何）提供了清晰的视角，以确定在哪里以及如何收集日志，从而便于分析。 •行动点:开发一个采集管理框架，有时也称为日志库存，这是确定环境中现有监控和日志记录情况的文档结果。这可能包括记录网络监控当前部署的位置、哪些主机配置了日志转发等内容。该文档还可以用于列出可以从资产中执行取证收集的位置。例如，虽然部署的监控可能很少，但指出可以从何处手动收集日志或图像对应急响应团队仍然非常有用。 Triage 分类 - 确定关键系统。 工业控制系统/运营技术（ICS/OT）的操作商应拥有详细记录的资产清单，识别出关键系统和资产。这些关键系统和资产可能是在业务连续性规划活动、风险管理活动、桌面演练等过程中确定的。皇冠宝石分析orCCE 活动. 不论它们是如何形成的，都应用于确定对ICS/OT操作最重要的因素，从而指导事件响应团队确定优先处理triage和取证收集的工作重点。 分类 - 范围和规模。 ICS/OT运营方应专注于确定事件的影响范围，包括受事件影响的系统、站点或业务单元的数量以及事件的严重程度。这有助于确定所需内部和外部资源，通知哪些团队，并启动必要的监管报告。此外，这对于负责收集法医证据或进行任何额外监控的团队来说至关重要。在工业环境中收集法医证据并将其转移到可以进行分析的地方通常是一个复杂的过程，需要大量时间和专门资源（美国国家 Institute of Standards and Technology [NIST] 开发的一个有用的资源可以找到）。here能够及时且有策略地使用收集的信息将减轻事件响应团队的压力，并帮助他们保持敏捷应对。 •行动点:在ICS/OT网络 incident response plan 中，事件响应团队可以找到针对ICS/OT的特定取证收集程序。 •行动点:提前规划以考虑哪些收集工具可以使用、由谁使用以及如何授权使用，并考虑如何安全地将收集到的证据转移到可用于分析的地方。 采取回应行动 采取应对措施 - 威胁增加 应制定计划以临时增强网络和信息系统安全。在响应新的或更高的风险水平（例如，广泛爆发非常破坏性的恶意软件）时，可以根据组织的安全意识和威胁情报来源来实施这些计划。 采取应对措施 - 遏制 能够实施 containment 方法可以为响应团队在事件发生时提供一些快速应对的选择。工业环境中的 containment 方法应提前明确并达成一致，以便能够以授权的方式迅速实施。ICS/OT 运营人员应使用区域和导管模型以帮助识别 containment 可以实施的位置和方式。在考虑并采取措施实施 containment 措施时必须谨慎，因为几乎可以肯定的是，系统的授权操作员将承担此责任，而不是应急响应团队。应急响应团队需要能够提供建议，但不能越权干涉指定的生产运营职责。显然，在发生事件时需要快速做出决策，因此预先开发、测试并同意 containment方法论将非常有帮助。 应考虑在ICS/OT网络中受感染的SCA