NIST 发布 ICS新网络安全指南，你看懂了吗？

NIST 指南提供了制造商可用于解决特定安全风险的商业产品示例。

美国国家标准与技术研究院 (NIST) 周三宣布了一份特别出版物的最终版本，该出版物的重点是帮助制造商改善其工业控制系统 (ICS) 环境的网络安全。

新的网络安全实践指南标题为“NIST SP 1800-10，保护工业控制系统环境中的信息和系统完整性：制造业的网络安全”。它是 NIST 的国家网络安全卓越中心 (NCCoE)、MITRE 以及包括 Microsoft、Dispel、Forescout、Dragos、OSIsoft、TDi Technologies、GreenTec、Tenable 和 VMware 在内的几家私营部门公司合作的结果。

该指南的作者指出，虽然连接运营技术 (OT) 和信息技术 (IT) 系统可能有利于制造商的生产力和效率，但这也使它们更容易受到网络威胁。

A 卷，是执行摘要，概述了主要痛点和商业理由，说明为什么组织需要采取下一步措施来成熟制造网络安全。对于那些需要更广泛地看待挑战的最高级别的人来说，这是理想的选择。以下部分在本质上逐渐变得更加技术性。

B 卷是方法、架构和安全特性部分。它主要是为项目经理和中层管理决策者编写的，他们考虑使用哪些技术来解决他们的 OT 驱动的制造设施将面临的问题。指南的这一部分讨论了类别、不同方法的权衡以及各种风险考虑。

同时，C 卷介绍了操作指南。这是向在现场部署安全工具的技术人员提供真正的具体细节的地方，其中包含有关如何导航系统或平台以及这些不同技术组合在一起的大量信息。最后一部分对于那些参与解决方案部署过程的人来说至关重要。它通过提供具体的技术实施细节，全面了解他们如何从投资中获得最大价值。

新出版物免费提供给组织，旨在解决一些相关挑战，包括降低 ICS 完整性风险、加强 OT 系统和保护他们处理的数据。

这份 369 页的文档描述了常见的攻击场景，并提供了制造商可以实施的实用解决方案示例，以保护 ICS 免受破坏性恶意软件、内部威胁、未经授权的软件、未经授权的远程访问、异常网络流量、历史数据丢失和未经授权的系统修改。

指南中描述的示例侧重于应用程序白名单、行为异常检测、文件完整性检查、远程访问、用户身份验证和授权，以及检测对硬件、软件或固件的修改。

文档中描述的攻击场景之一涉及保护制造环境中的工作站免受通过 USB 闪存驱动器传播的恶意软件感染。使用 Carbon Black (VMware) 和 Windows 软件限制策略 (SRP) 中的应用程序允许列表功能可以防止这些类型的感染。

如果攻击媒介是企业网络而不是 USB 驱动器，该指南建议使用 Carbon Black 和 Windows SRP 提供的白名单功能，以及 Dragos、Tenable、Forescout 和 Microsoft 提供的用于行为异常检测的解决方案。

该指南涵盖的其他理论攻击场景包括保护主机免受通过远程访问连接传递的恶意软件、保护主机免受未经授权的应用程序安装、防止未经授权的设备被添加到网络、检测设备之间的未经授权的通信、检测对 PLC 逻辑的未经授权的修改、防止历史数据修改、检测传感器数据操纵和检测未经授权的固件更改。

向制造商提供了有关如何安装和配置每个供应商的产品以解决所描述的攻击场景的分步说明。

还有一章供项目经理和中层管理决策者使用，以帮助他们决定要使用哪些技术来解决其设施中的 OT 安全问题。

“没有时间或资金来验证和验证其用例的工业网络安全技术类别的组织将发现输出至关重要，”Dragos 在描述该指南的博客文章中解释道。“与此同时，政府机构公正地领导了这项工作，这意味着这些文件不会有任何极端的供应商倾向。目标不是挑选产品的赢家和输家，而是帮助组织简单地了解可用技术的类型以及如何部署/集成它们以提高投资回报率。”

后期，我们将努力争取翻译该文件，以期与大家一起努力。