工业控制系统与操作技术环境中的网络事件响应规划考虑因素指南（英）

指导：工业控制系统/操作技术领域网络安全事件响应规划考虑因素 Introduction 这份指导旨在帮助组织理解工业控制系统（ICS）/运营技术（OT）系统中特定考虑因素，并更好地为ICS/OT环境中的网络事件做好准备。它旨在补充并与以下内容一起阅读：NCSC的一 般事件响应和管理指南，并侧重于与ICS/OT环境相关的特定和独特方面。 制定有效的事件响应计划还支持 NCSC网络评估框架(CAF)本指南中涵盖的相关良好做法指标(IGP)的摘要显示在本文的末尾 。 如果你负责ICS/OT资产的管理或维护，本文将帮助你应对采用成熟事件响应规划流程时可能遇到的挑战。 PerNCSC的指导重要的是要假设您的系统ICS/OT将在未来被破坏，这可能是由于： •ICS/OT环境中的大量遗留系统， •从资产管理的角度来看，系统运行的可见性有限， •网络通信的可见性有限， •与外部系统的通信管道。 此外，尽管采取了最佳努力，工业控制系统/运营技术（ICS/OT）环境往往在与信息技术（IT ）环境隔离方面存在不足，且/或在ICS/OT环境内部的隔离也常常不够充分。 值得注意的是，对于基本服务运营商(OES)由网络和信息系统安全法规(NIS-R)他们将通过使用NCSC的CAF进行监管 并且必须在其ICS/OT环境中访问适当的日志记录和监控。 对于那些由健康与安全执行官，OG86，附录2，第D节，详细说明事件响应计划的要. 虽然网络事件响应计划(IRP)应同时适用于IT和ICS/OT系统，但必须考虑ICS/OT环境中的关键差异。因此，在本文中，我们将介绍ICS/OT事件响应准备和计划中的具体问题 。 我们将具体关注的领域分为以下几个方面: •准备工作 •检测 •Triage •采取回应行动 •跟踪和报告 •利益相关者参与 •经验教训 准备工作 从应对高-profile网络攻击中吸取的教训清楚地传达了一个信息，即准备至关重要。E-ISAC/SANS防御使用案例1来自对乌克兰电网的网络攻击分析。 准备-定义角色和职责。 在考虑ICS/OT网络IRP中的角色和职责时，以下是需要考虑的几个因素： •对于ICS/OT而言，无论哪支团队进行分析和/or数据收集，角色和职责都应明确界定。特别是在与工厂运营、安全以及与生产、质量及安全相关的决策相关的情况下，这尤为重要。需要识别并消除威胁，并建立信心，确保系统能够恢复到安全的操作状态。 •保留合同的应急响应公司应当能够提供能够在危险环境中运作的支持资源。在某些情况 ，这些资源可能需要认证才能在工业现场运行，因此您应该考虑使用哪些资源以及如何进行入职培训，包括任何必要的健康与安全培训、药物和酒精检测等。 角色和职责应始终包括以下内容： •工厂运营 •安全系统和保证经理 •生产经理 有关角色和职责的更多信息，请参阅NCSC关于建立网络安全事件响应小组(CSIRT)的南。 一个专门针对ICS/OT事件响应的决策树，描述在整个事件响应生命周期中通信将如何流动，有助于定义所需的角色和责任，并明确关键利益相关者将如何被整合以及何时被召唤。 行动要点:制定ICS/OT特定事件响应决策树/剧本。 建立跨功能应急响应团队以确保IT安全与ICS/OT部门之间的协调至关重要，该团队应包括来自IT安全和工业控制系统/运营技术（ICS/OT）部门的成员。预先指定团队负责人，负责协调IT安全与ICS/OT团队之间的沟通、决策和任务分配。这些个人和团队可以通过实施的安全通信渠道和信息共享平台，在IT安全与ICS/OT团队之间分享相关威胁情报、指示器（IOCs）和取证发现 。 行动点：确定并培训关键个人，以充当IT和ICS/OT团队之间✁协调点。 准备-准备ICS/OT特定✁网络事件响应计划 ICS/OT系统和网络通常对可用性和完整性要求较为敏感，因此事件响应程序需要考虑如何与系统进行交互以收集法医证据。这些考虑应在特定于ICS/OT✁响应计划中进行记录，并可能需要根据不同ICS/OT运营商资产中使用✁不同系统（如不同✁站点、工业过程或系统✁功能 ）来定制。 •操作点：创✁特定于ICS/OT环境✁IRP。 ICS/OT网络IRP中包含✁关键部分包括以下内容： •Scope o考虑是否实施ICS/OT网络incident响应计划（CyberIRP），以及该计划是否涵盖了整个ICS/OT环境，还是仅针对某个站点或业务单元。如果后者，则需考虑团队之间✁互动点和升级路线。 关键角色✁联系方式。 o指定角色并提供他们✁联系方式。 事件响应流程✁描述，涵盖事件✁整个生命周期 o使用已✁立✁框架，如SANSPICERL框架（如下图1所示)或NIST.SP .800-61r2。 用于记录和报告事件✁模板。 o如果你是关键服务运营商（OES），制定一份报告要求模板以协助IR团队确保够及时准确地捕获相关信息。 CISA已制定了一份出色✁文档，提供了关于ICS/OT网络incidentresponseplan（IRP）应包含内容✁进一步详细说明。.The信息专员办公室提供有关报告要求✁更多详细信息对于OES而言，虽然在英国每个主管机构可能有特定要求——例如，能源安全与净零部可能有特定要求。(DESNZ)提供 以下针对能源部门✁指导，该指导基于阈值(见附件D)。 除了本文后面提到✁执行ICS/OTIRP之外，还需要向计划中确定✁责任人员提供相关元素✁培训和意识提升。 行动点:对参与ICS/OTIRP✁工作人员进行培训和提高意识，以便他们能够更好地胜任各 ✁责任角色。 图1-事件响应计划(PICERL)✁六个阶段 检测 从ICS/OT网络检测网络安全事件一直是ICS/OT运营商面临✁长期挑战，尤其是那些没有将安全设计考虑在内✁遗留系统。能够检测、关联和分析来自ICS/OT✁事件对于能够响应和恢复事故至关重要。 图2-ICS/OT环境中✁事件检测 在ICS/OT环境中支持事件检测✁日志记录和监控进一步指导与见解可以在相关部分找到。ICSCOI网站.运营商还利用安全运营中心（SOCs）✁概念，配备专门✁SOC分析师，将对事件行24/7监控。NCSC对SOCs及其中✁职能和角色有额外✁指导。 检测-人 运营、工程和维护团队最了解您✁系统及其行为。培训这些团队报告可疑行为，✁立鼓励报告可疑行为✁文化是必要✁长期组织活动，将增加事件检测覆盖面，同时也有助于提高非专职事网络安全工作✁人员对网络安全意识✁认识。 一个关于培训ICS/OT操作员报告潜在网络安全事件时应考虑✁因素✁有用参考资源已被创✁。NERC在美国，在这里找到. •行动点:记录来自ICS/OT网络安全应急响应计划（CyberIRP）环境中✁事件检测示例包括通知可能有助于强化组织✁安全文化，定期审查ICS/OTCyberIRP可以用来验证事件检测能力✁有效性。 检测-过程 网络安全事件，如从网络监控、主机日志记录或防火墙等安全设备获取✁信息，可以被您✁ICS/OT监控团队用来检测和响应事件。这可能包括对事件采取果断且具体✁操作，或者激活事件响应计划以召集团队进行更详细✁调查。对于ICS/OT运营商来说，招聘和保留专门从事监控功能✁ICS/OT安全专家可能会颇具挑战性。因此，考虑第三方监控安排以补充ICS/OT运营商✁组织能力是可行✁选择。支持选项可以从将ICS/OT监控解决方案集成到企业✁SOC（安全运营中心）中开始。 （请参阅NCSC相关指南),或将监控外包给托管安全服务提供商。 来源✁网络安全事件也可能来自您组织外部。ICS/OT运营人员可以利用社区通知安排等机制 。信息共享和分析中心、监控NCSCCISP通知并订阅NCSC预警系统.有关威胁信息 ✁更多信息也可在NCSC网站上获得。英国政府还发表了一篇论文，以帮助政府部门了解们 应该处理威胁信息哪些运算符也会有用。 检测-技术 检测能力对于ICS/OT系统，如果基于IT解决方案，可以依赖部署Endpoint、DetectionandRsponse（EDR）解决方案，这些解决方案通常会在整个企业网络中部署（尽管有时会根据业务/风险决策不启用响应解决方案）。被动网络监控往往是部署以最小化对ICS/OT系统和资产✁干扰✁好方案，尤其是在禁止或不实际或危险地部署主动扫描或主机基agent✁情况下。 无论ICS/OT运营者在威胁检测技术部署、服务或内部能力方面做出何种选择，他们都应该对以下事项有清晰✁理解：目前针对其环境存在哪些日志记录和监视覆盖范围这有助于理解潜在✁缺口和提高日志与监控覆盖范围✁可能性。更为重要✁是，它为事件响应团队（无论其组成方式如何）提供了清晰✁视角，以确定在哪里以及如何收集日志，从而便于分析。 •行动点:开发一个采集管理框架，有时也称为日志库存，这是确定环境中现有监控和日志记录情况✁文档结果。这可能包括记录网络监控当前部署✁位置、哪些主机配置了日志转发等内容。该文档还可以用于列出可以从资产中执行取证收集✁位置。例如，虽然部署✁监控可能很少，但指出可以从何处手动收集日志或图像对应急响应团队仍然非常有用。 Triage 分类-确定关键系统。 工业控制系统/运营技术（ICS/OT）✁操作商应拥有详细记录✁资产清单，识别出关键系统和资产。这些关键系统和资产可能是在业务连续性规划活动、风险管理活动、桌面演练等过程中确定✁。皇冠宝石分析orCCE活动.不论它们是如何形成✁，都应用于确定对ICS/OT操 最重要✁因素，从而指导事件响应团队确定优先处理triage和取证收集✁工作重点。 分类-范围和规模。 ICS/OT运营方应专注于确定事件✁影响范围，包括受事件影响✁系统、站点或业务单元✁数量以及事件✁严重程度。这有助于确定所需内部和外部资源，通知哪些团队，并启动必要✁监管报告。此外，这对于负责收集法医证据或进行任何额外监控✁团队来说至关重要。在工业环境中收集法医证据并将其转移到可以进行分析✁地方通常是一个复杂✁过程，需要大量时间和专门资源（美国国家InstituteofStandardsandTechnology[NIST]开发✁一个有用✁资源可以找到）。here能够及时且有策略地使用收集✁信息将减轻事件响应团队✁压力，并帮助他 保持敏捷应对。 •行动点:在ICS/OT网络incidentresponseplan中，事件响应团队可以找到针对ICS/T✁特定取证收集程序。 •行动点:提前规划以考虑哪些收集工具可以使用、由谁使用以及如何授权使用，并考虑如何安全地将收集到✁证据转移到可用于分析✁地方。 采取回应行动 采取应对措施-威胁增加 应制定计划以临时增强网络和信息系统安全。在响应新✁或更高✁风险水平（例如，广泛爆发非常破坏性✁恶意软件）时，可以根据组织✁安全意识和威胁情报来源来实施这些计划。 采取应对措施-遏制 能够实施containment方法可以为响应团队在事件发生时提供一些快速应对✁选择。工业环境中✁containment方法应提前明确并达成一致，以便能够以授权✁方式迅速实施。ICS/OT运营人员应使用区域和导管模型以帮助识别containment可以实施✁位置和方式。在考虑并采取措施实施containment措施时必须谨慎，因为几乎可以肯定✁是，系统✁授权操作员将承担此责任，而不是应急响应团队。应急响应团队需要能够提供✁议，但不能越权干涉指定✁生产运营职责。显然，在发生事件时需要快速做出决策，因此预先开发、测试并同意containment方法论将非常有帮助。 应考虑在ICS/OT网络中受感染✁SCADA服务器/工作站和人机界面（HMI）与网络断开连接。理想情况下，这些方法（可能集中在从IT/DMZ区域、供应商远程访问或站点岛模式中断开网络 ）还将明确描述对工厂运营✁影响，以便相关利益方能够基于风险做出决策。例如，如果在此位置断开工厂连接，则将失去对X系统✁可