當(dāng)?shù)貢r(shí)間3月16日，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）的國家網(wǎng)絡(luò)安全卓越中心 （NCCoE）與NIST 的工程實(shí)驗(yàn)室（EL）和網(wǎng)絡(luò)安全技術(shù)提供商合作推出了一份文件，以解決制造業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。該文檔提供了以數(shù)據(jù)為驅(qū)動(dòng)的見解，并基于對幾個(gè)基本制造系統(tǒng)測試平臺的實(shí)驗(yàn)室測試分析。NIST聯(lián)合MITRE以及Microsoft、Dispel、Forescout、Dragos、OSIsoft、TDi Technologies、GreenTec、Tenable和VMware共同合作，制定了題為《NIST 特別出版物 （SP） 1800-10，保護(hù)工業(yè)控制系統(tǒng)環(huán)境中的信息和系統(tǒng)完整性》的指南。該文件就制造商如何加強(qiáng)運(yùn)營技術(shù)（OT）系統(tǒng)以降低ICS完整性風(fēng)險(xiǎn)并保護(hù)這些系統(tǒng)處理的數(shù)據(jù)提供經(jīng)過審查的信息和指導(dǎo)。這份369頁的指南文檔分為三大部分，以適用于不同的網(wǎng)絡(luò)安全角色。文檔的實(shí)用性在于其描述了常見的攻擊場景，并提供了制造商可以實(shí)施的實(shí)用解決方案示例，以保護(hù)ICS免受破壞性惡意軟件、內(nèi)部威脅、未經(jīng)授權(quán)的軟件、未經(jīng)授權(quán)的遠(yuǎn)程訪問、異常網(wǎng)絡(luò)流量、歷史數(shù)據(jù)丟失和未經(jīng)授權(quán)的系統(tǒng)修改。

　　NCCoE在文件中表示，該提案構(gòu)建了示例解決方案，制造組織可以使用這些解決方案來減輕ICS（工業(yè)控制系統(tǒng)）完整性風(fēng)險(xiǎn)，加強(qiáng)OT系統(tǒng)的網(wǎng)絡(luò)安全，并保護(hù)這些系統(tǒng)處理的數(shù)據(jù)。它還將幫助組織開發(fā)和實(shí)施示例解決方案，展示制造組織如何保護(hù)其數(shù)據(jù)的完整性，使其免受依賴ICS的制造環(huán)境中的破壞性惡意軟件、內(nèi)部威脅和未經(jīng)授權(quán)的軟件的影響。

　　指南共分為三個(gè)部分。

　　第一部分，A 卷，是執(zhí)行摘要，概述了主要痛點(diǎn)和業(yè)務(wù)理由，說明為什么組織需要采取下一步措施以使制造業(yè)網(wǎng)絡(luò)安全成熟。對于那些需要更廣泛地對待挑戰(zhàn)的最高級別的人來說，這是理想的選擇。后續(xù)部分在本質(zhì)上逐漸變得更加技術(shù)化。

　　B卷是方法、架構(gòu)和安全特性部分。它主要是為項(xiàng)目經(jīng)理和中層管理決策者編寫的，他們考慮使用哪些技術(shù)來解決他們的OT驅(qū)動(dòng)的制造設(shè)施將面臨的問題。指南的這一部分討論了類別、不同方法的權(quán)衡以及各種風(fēng)險(xiǎn)考慮。

　　C卷介紹了操作指南。這是向在現(xiàn)場部署安全工具的技術(shù)人員提供真正的具體細(xì)節(jié)的地方，其中包含有關(guān)如何導(dǎo)航系統(tǒng)或平臺以及這些不同技術(shù)組合在一起的大量信息。最后一部分對于那些參與解決方案部署過程的人來說至關(guān)重要。它通過提供具體的技術(shù)實(shí)施細(xì)節(jié)，全面了解他們?nèi)绾螐耐顿Y中獲得最大價(jià)值。

　　NCCoE指南適用于負(fù)責(zé)ICS網(wǎng)絡(luò)安全的個(gè)人或?qū)嶓w，以及有興趣了解OT的信息和系統(tǒng)完整性能力的人員。它還分析了如何實(shí)現(xiàn)架構(gòu)，并深入探討了在ICS環(huán)境中保護(hù)信息和系統(tǒng)完整性所涉及的安全功能。這些功能是使用商業(yè)上可用的第三方和開源解決方案實(shí)現(xiàn)的，這些解決方案提供應(yīng)用程序許可、行為異常檢測 （BAD）、文件完整性檢查、用戶身份驗(yàn)證和授權(quán)以及遠(yuǎn)程訪問。

　　制造業(yè)對國家的經(jīng)濟(jì)福祉至關(guān)重要，并且一直在尋找實(shí)現(xiàn)系統(tǒng)現(xiàn)代化、提高生產(chǎn)力和效率的方法。因此，制造商正在對其OT系統(tǒng)進(jìn)行現(xiàn)代化改造，以實(shí)現(xiàn)這些目標(biāo)，使它們與其他IT系統(tǒng)更加互聯(lián)和集成，并引入自動(dòng)化方法來加強(qiáng)其整體OT 資產(chǎn)管理能力。

　　隨著OT和IT系統(tǒng)變得越來越相互關(guān)聯(lián)，制造商已成為更廣泛和更復(fù)雜的網(wǎng)絡(luò)安全攻擊的重要目標(biāo)，這些攻擊可能會(huì)破壞這些流程并導(dǎo)致設(shè)備損壞和/或工人受傷。此外，這些事件可能會(huì)顯著影響生產(chǎn)力并提高運(yùn)營成本，具體取決于網(wǎng)絡(luò)攻擊的程度。

　　IT和OT網(wǎng)絡(luò)的集成有助于制造商提高生產(chǎn)力和效率，因?yàn)樗€為黑客（包括民族國家、普通犯罪分子和內(nèi)部威脅）提供了一個(gè)肥沃的環(huán)境，他們可以利用網(wǎng)絡(luò)安全漏洞并破壞ICS和ICS數(shù)據(jù)的完整性達(dá)到他們的最終目標(biāo)。這些攻擊背后的動(dòng)機(jī)可能從降低制造能力到經(jīng)濟(jì)利益和造成聲譽(yù)損害。一旦黑客獲得訪問權(quán)限，他們就可以通過破壞數(shù)據(jù)或系統(tǒng)完整性、索取ICS和/或OT系統(tǒng)贖金、損壞ICS機(jī)器或?qū)と嗽斐扇松韨頁p害組織。

　　指南涵蓋的攻擊場景包括保護(hù)主機(jī)免受通過遠(yuǎn)程訪問連接傳遞的惡意軟件、保護(hù)主機(jī)免受未經(jīng)授權(quán)的應(yīng)用程序安裝、防止未經(jīng)授權(quán)的設(shè)備被添加到網(wǎng)絡(luò)、檢測設(shè)備之間的未經(jīng)授權(quán)的通信、檢測對PLC邏輯的未經(jīng)授權(quán)的修改、防止歷史數(shù)據(jù)修改、檢測傳感器數(shù)據(jù)操縱和檢測未經(jīng)授權(quán)的固件更改。

　　指南稱，參與該項(xiàng)目的合作者貢獻(xiàn)了他們的能力，以響應(yīng)《聯(lián)邦公報(bào)》中關(guān)于學(xué)術(shù)界和行業(yè)供應(yīng)商和集成商的所有相關(guān)安全能力來源的公開呼吁。那些具有相關(guān)能力或產(chǎn)品組件的受訪者簽署了合作研發(fā)協(xié)議 （CRADA），與NIST在一個(gè)聯(lián)盟中合作構(gòu)建示例解決方案。

　　NCCoE文檔中介紹的體系結(jié)構(gòu)和解決方案，建立在基于標(biāo)準(zhǔn)的商用產(chǎn)品之上，并代表了一些可能的解決方案。這些解決方案實(shí)現(xiàn)了標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全功能，例如 BAD、應(yīng)用程序白名單、文件完整性檢查、變更控制管理以及用戶身份驗(yàn)證和授權(quán)。研究團(tuán)隊(duì)構(gòu)建了測試臺以模擬真實(shí)的制造環(huán)境。這些場景側(cè)重于由MITRE ATT&CK（r） for ICS數(shù)據(jù)驅(qū)動(dòng)的已知網(wǎng)絡(luò)挑戰(zhàn)。所有相關(guān)方都為兩個(gè)不同實(shí)驗(yàn)室設(shè)置的設(shè)計(jì)和可能的測試做出了貢獻(xiàn)：代表裝配線生產(chǎn)的離散制造工作單元和代表化學(xué)制造行業(yè)的連續(xù)過程控制系統(tǒng)。 設(shè)計(jì)了四種不同的架構(gòu)圖，下圖就是第4個(gè)架構(gòu)示意。

　　指南稱，有興趣保護(hù)制造系統(tǒng)完整性和信息免受破壞性惡意軟件、內(nèi)部威脅和未經(jīng)授權(quán)的軟件影響的組織應(yīng)首先進(jìn)行風(fēng)險(xiǎn)評估，并確定減輕這些風(fēng)險(xiǎn)所需的適當(dāng)安全能力。一旦確定了安全功能，就可以使用本文檔中提供的示例架構(gòu)和解決方案。它補(bǔ)充說，示例解決方案的安全功能映射到NIST的網(wǎng)絡(luò)安全框架、國家網(wǎng)絡(luò)安全教育框架倡議和NIST特別出版物800-53。

　　項(xiàng)目合作者包括Dispel提供具有身份驗(yàn)證和授權(quán)支持的安全遠(yuǎn)程訪問，Dragos提供網(wǎng)絡(luò)和資產(chǎn)監(jiān)控以檢測行為異常以及對硬件、固件和軟件功能的修改，F(xiàn)orescout提供網(wǎng)絡(luò)和資產(chǎn)監(jiān)控以檢測行為異常和對硬件的修改，固件和軟件功能，以及GreenTec提供安全的本地?cái)?shù)據(jù)存儲(chǔ)。

　　其他合作者包括Microsoft，提供了網(wǎng)絡(luò)和資產(chǎn)監(jiān)控以檢測行為異常以及對硬件、固件和軟件功能的修改。OSIsoft提供了實(shí)時(shí)數(shù)據(jù)管理軟件，可以檢測行為異常以及對硬件、固件和軟件功能的修改。TDi Technologies提供了一個(gè)訪問控制平臺，可保護(hù)連接并為授權(quán)用戶和設(shè)備提供企業(yè)系統(tǒng)的控制機(jī)制，并監(jiān)控活動(dòng)直至擊鍵。

　　該項(xiàng)目還包括Tenable提供網(wǎng)絡(luò)和資產(chǎn)監(jiān)控以檢測行為異常和對硬件、固件和軟件功能的修改，而VMware提供基于主機(jī)的應(yīng)用程序許可名單和文件完整性監(jiān)控。

　　NCCoE表示，雖然它使用了一套商業(yè)產(chǎn)品來應(yīng)對這一挑戰(zhàn)，但該指南并不認(rèn)可這些特定產(chǎn)品或保證遵守任何監(jiān)管舉措。

　　合作企業(yè)Dragos高級業(yè)務(wù)開發(fā)經(jīng)理Josh Carlson在公司博客文章中寫道：“我們相信它為制造業(yè)社區(qū)提供了易于理解的指導(dǎo)，以改善網(wǎng)絡(luò)安全狀況，無論他們處于旅程的哪個(gè)階段?！?“就像永遠(yuǎn)不會(huì)有靈丹妙藥或單一方法來實(shí)現(xiàn)適合您的體型的 BMI，制造公司有很多方法來完成他們認(rèn)為適合其業(yè)務(wù)的網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢。本指南旨在涵蓋其中的許多方法，并提出一些值得思考的問題，以制定適用于每個(gè)組織的量身定制的網(wǎng)絡(luò)安全計(jì)劃，”他補(bǔ)充說。

　　該文件位于NCCoE本月早些時(shí)候發(fā)布的“項(xiàng)目描述”的后面，以幫助制造商應(yīng)對行業(yè)內(nèi)的網(wǎng)絡(luò)攻擊并從中恢復(fù)。NCCoE項(xiàng)目呼吁組織在公眾意見征詢期間審查出版物草案，并在4月14日之前提供反饋。

　　NCCoE還與感興趣的利益相關(guān)者合作，以確定響應(yīng)和從網(wǎng)絡(luò)攻擊中恢復(fù)：制造業(yè)網(wǎng)絡(luò)安全項(xiàng)目所需的工作范圍、用例以及硬件和軟件組件。即為制造商制定另一份網(wǎng)絡(luò)安全指南。該出版物目前是處于公眾意見征詢期的草稿，公眾意見征詢期現(xiàn)已開放至4月28日。