黑客也頭痛 七大神器保護工業安全

2021-12-29 21:19:51 字數 1331 閱讀 9851

重工業正逐漸成為網路攻擊的目標。金融機構或或許也承受著種種壓力,但無論是以次數或型別來看,工業網路遭受到更嚴重的攻擊。目前看來,這些攻擊唯一的目的似乎都在探測弱點,但卻足以危害到整個工業網路。為了保護工業控制網路免於遭受網路攻擊,美國國土安全部(dhs)建議採取七項保護措施。

dhs所屬的工業控制系統緊急應變小組(ics-cert)在日前發布了有效防禦工業控制系統的7個步驟。ics-cert首先指出根據其研究,在2023年至少發生295起與工業網路有關的入侵事件,此外還有更多可能是未發布或未偵測到入侵事件。再者,這些事件還有愈演愈烈的趨勢。

ics-cert強調,簡單地增強外圍防護(如防火牆)的網路已經不再適用了。

為了協助減輕遭受網路攻擊的可能性,ics-cert建議必須為工業網路建置7項重要策略,以提高其防護能力。該機構宣稱,這7大步驟可讓fy2023年所舉報的攻擊中,有98%的事件都能倖免。

七大神器保護工業安全

這七大關鍵策略是:

1.建置應用程式白名單:只允許預先經認可的應用程式來執行,讓網路能偵測並防止惡意軟體。scada系統、人機介面(hmi)電腦與資料庫系統特別適用這一策略。

2.確保正確配置與管理增補程式:隨著對手不斷提高其能力,安全的實際作法也逐漸過時。其結果是,未經增補的軟體越來越容易成為目標。關鍵是必須落實安全輸入程式以及更新可信任的軟體增補程式。

3.降低易受攻擊的表面範圍:關閉未使用的埠以及未用的服務。只有在絕對必要時才允許即時的外部連線。隔絕你的工業網路與不受信賴的外部網路。還有乙個有用的技巧是,如果只需要單向通訊(如報告資料),盡量使用光學隔離方案(資料二極體),以預防回程訊號進入。

4.建立可防禦的環境:正確的架構有助於限制從外圍入侵的潛在損害。就像城堡擁有外牆和內部防禦工事一樣,將網路設計成乙個可限制主機對主機通訊的系統集合,可避免因其中乙個系統受損而影響其餘系統。

5.認證管理:使用竊取而來的憑證可能讓攻擊者幾乎無法被系統偵測到。因此,透過雙重因素認證、限制使用者許可權的訪問、為企業與控制網路訪問提供不同的認證,以及各種保護機制,都有助於強化認證。

6.安全的遠端訪問:如果有必要使用遠端訪問,更要採取保護措施,如使用硬體(而非軟體)資料二極體進行唯讀訪問、限時遠端訪問、要求操作員透過遠端訪問請求進行控制,以及避免為**商與員工採用不同訪問路徑的「雙重標準」。同時,關閉任何可疑的訪問物件、隱藏的後門等等。特別是防護資料機基本上並不安全。

7.監測與因應計畫:網路攻擊正不斷地成熟壯大,所以目前看來足以因應的措施可能成為明日的破綻。持續地監測網路以避免可能的入侵跡象或其他攻擊,並且預先擬定偵測到攻擊時的因應計畫。迅速採取行動可限制受損害的程度,而且也有利於盡快恢復。

新神器首亮相! 世界頂尖黑客組團也攻不破

當前,網際網路蓬勃發展,但網路威脅也日益增多,網路安全越來越受到重視。傳統的網際網路防病毒 防火牆系統,我們並不陌生,大多採用更新病毒庫等方式,來攔截已知的威脅。這種類似 生病吃藥 亡羊補牢 的防禦模式,往往無法解決未知的威脅。真正要解決威脅,還是要從源頭改變基因,就像人體一樣,形成一套有自生免疫能...

七年之癢? 可七年也會有大獎

穩定與創新缺一不可 在創新研發的同時,聯想一貫注重品質保障。thinkserver產品質量穩定,最近12個月 內平均月故障率低於千分之二,伺服器製程直通率已連續三個季度超過98 並表現穩定。為了達到這樣的標準,聯想增加了一系列測試環節 100 hvdc 高壓直流 測試環節 關鍵部件fw contro...

也說TCP IP之OSI七層模型

我們在上一章節討論了計算機網路的發展史,從程序發展的趨勢來說,可以理解為無到有,從混亂到趨向穩定。為什麼說是從混亂到趨向穩定呢,實際上是因為,我們仍在這個過程中不斷得探索著如何去建立乙個穩定的網路環境,而非已經到了真正意義上的穩定時代。因此,同志們吶,革命尚未成功,同志們仍需努力啊!emm,既然說到...