home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Industrial Internet of Things >> Internet of Things-technologie

Hoe u uw ICS-respons op cyberbeveiligingsincidenten plant

Organisaties die kritieke systemen gebruiken, moeten plannen en voorbereiden om te reageren op cyberincidenten van Industrial Control Systems (ICS), ongeacht of deze worden veroorzaakt door onbedoelde insiders of kwaadwillende aanvallers.

Een goede ICS-planning voor cyberincidentrespons (IR) minimaliseert financiële verliezen door systeemuitval, gegevensverlies, hogere verzekeringspremies, een aangetast bedrijfsimago en verminderde veiligheid van werknemers en de openbare orde. Dit document is alleen van toepassing op ICS (bijv. toezichthoudende controle- en data-acquisitiesystemen, gebouwbeheersystemen) omdat de meeste organisaties al over informatietechnologie (IT) IR-plannen (IRP's) beschikken. Het biedt een overzicht op hoog niveau van IR-fasen, zegt Robert Talbot, senior IT-manager, Parsons Information Security Office en Jack D. Oden, hoofdprojectmanager, Parsons Critical Infrastructure Operations.

Motivering

De huidige ICS worden gewoonlijk beheerd door op Windows of LINUX gebaseerde mens-machine-interfaces, communiceren via internetprotocollen en maken verbinding met het lokale bedrijfsnetwerk en internet. De nieuwe architectuur biedt aanzienlijke voordelen, waaronder kostenbesparingen, minder afhankelijkheid van leveranciers van bedrijfseigen apparatuur en eenvoudigere/snellere gegevensoverdracht naar de boekhoudafdeling en het hogere management.

Helaas gaan de voordelen gepaard met verhoogde risico's als gevolg van internetgebaseerde cyberaanvallen. Het is niet langer de vraag of er een aanslag komt, maar wanneer. Geen enkel bedrijf of organisatie kan alle cyberaanvallen voorkomen, toch blijven de meeste ICS-organisaties onvoorbereid.

Pre-incident voorbereiding

Hoewel het verstandig is om een ​​IRP en IR-team (IRT) voor ICS op te richten, bespaart cyberincidentpreventie veel tijd en geld. Terwijl kantoren een dag of langer zonder e-mail functioneren, kan ICS zich geen downtime veroorloven. Door ICS-toegang te beheren, zijn er minder paden beschikbaar voor aanvallers om malware in te voegen. Omdat de meeste ICS-aanvallen via de onderneming binnenkomen, moet die toegang eerst worden beveiligd. Daarnaast zijn er recentelijk inbraakdetectiesystemen op de markt verschenen die ICS-protocollen herkennen, waardoor het mogelijk is te bepalen hoe een aanvaller toegang tot het systeem heeft gekregen.

Enkele basisstappen verminderen de effecten van een incident en helpen het ICS sneller weer online te krijgen. Het periodiek testen van back-uptapes zorgt ervoor dat functionele back-up ICS-configuraties beschikbaar zijn. Het gebruik van inbraakdetectiesystemen die in staat zijn tot propriëtaire protocollen is essentieel omdat propriëtaire systemen vatbaar zijn voor cyberaanvallen en kwetsbaar zijn voor personen met systeemkennis.

Voorbereiding op incidentrespons

Stel een cyberincidentresponsteam samen

Het samenstellen van een cyber-IRT is de eerste van twee belangrijke stappen bij het ontwikkelen van effectieve IR-mogelijkheden. Het team moet bestaan ​​uit ICS-ingenieurs en -beheerders, netwerk- en systeembeheerders, exploitanten van faciliteiten en vertegenwoordigers van IT, cyberbeveiliging, personeelszaken, communicatie en juridische zaken. De IRT moet samenwerken met verschillende wetshandhavingsinstanties, regelgevende instanties in de sector en leveranciers.

De samenstelling van de IRT moet een evenwicht vinden tussen intern personeel en externe experts met ervaring op het gebied van IR, forensisch onderzoek, het verzamelen en bewaren van bewijsmateriaal, aanvallen en exploits, of verschillende andere cyberbeveiligingsgebieden. Externe experts kunnen sneller en grondiger zijn, terwijl ICS-medewerkers systeemkennis hebben.

Een incidentresponsplan maken

Een effectieve IRP is net zo belangrijk als de IRT. Zodra een ICS uitvalt, hebben hulpverleners tijd nodig om de bron en de omvang van de infectie te vinden, ondanks organisatorische druk.

Zodra het plan is beoordeeld en afgerond door de hele IRT, moeten verschillende belangrijke taken worden volbracht:

    • Eerste en periodieke tests
    • Relaties met wetshandhavers
    • Contactlijsten met externe entiteiten
    • Alternatieve communicatiepaden
    • IRT organigram en contactgegevens
    • Beveiligde opslag met systeemwachtwoord

Reactieplan voor incidenten

Reikwijdte en doel

De IRP is van toepassing op vermoedelijke of geverifieerde cybersecurity-incidenten van ICS. Het schetst algemene richtlijnen voor het detecteren, classificeren en reageren op ICS-cyberbeveiligingsincidenten om verstoringen van ICS-operaties tot een minimum te beperken.

Procedures voor het afhandelen van incidenten

Door bewezen procedures te volgen, kan de productie sneller worden herstart en wordt de kans op fouten kleiner. Verschillende internetsites schetsen goede best practices die de IRT kan gebruiken om bedrijfsspecifieke procedures te ontwikkelen.

Identificatie van incidenten

Het vinden, beperken en uitroeien van inbreuken tijdens de eerste 24 uur is cruciaal. ICS-beheerders moeten snel maar zorgvuldig met IR-personeel werken om de situatie nauwkeurig te karakteriseren als een cyberincident of gewoon een systeemstoring.

Meldingen

Wanneer een incident is bevestigd, moeten de IRT-leider, de chief information security officer, het uitvoerend management en de juridische afdeling op de hoogte worden gesteld. Indien van toepassing moet contact worden opgenomen met de rechtshandhaving.

Insluiting

Het is van cruciaal belang om geïnfecteerde systemen te identificeren, wanneer ze zijn geïnfecteerd en het gebruikte toegangspunt. Met de juiste netwerksegmentatie en beveiligde externe verbindingen kunnen firewall en andere logbestanden helpen bepalen wanneer de malware het netwerk is binnengekomen. Bewaar voor een cybercriminaliteit bewijsmateriaal en handhaaf de chain of custody; gecompromitteerd bewijs is niet-ontvankelijk in een rechtbank. Identificeer ook eventuele getuigen.

Uitroeiing

Eenmaal ingeperkt, moet malware van elk geïnfecteerd systeem en Windows-register worden verwijderd. Als er sporen achterblijven, worden de systemen opnieuw geïnfecteerd wanneer ze opnieuw worden aangesloten op het netwerk.

Systeemherstel

Voordat u het systeem opnieuw opstart, herstelt u beschadigde gegevens met behulp van onbeschadigde back-upgegevens. Als u niet zeker weet wanneer malware het systeem is binnengekomen, laadt u het besturingssysteem en de applicaties opnieuw vanaf de originele back-ups.

Leren geleerd

Het IRT moet de geleerde lessen formaliseren om successen en verbetermogelijkheden te documenteren en het IRP te standaardiseren.

Uitdagingen

Succesvolle IR hangt af van de planning en financiering van een incident en moet deel uitmaken van het algemene risicoprogramma van het bedrijf. Omdat geen enkele entiteit zowel IT- als ICS-financiering voor cyberbeveiliging biedt, is enige diplomatie en huiswerk noodzakelijk. Gewoonlijk begrijpt één manager op hoog niveau het belang van een IRT. Als hij wordt aangeworven als de kampioen van het team, kan die manager andere senior managers overtuigen om teamleden te leveren.

Met beoordelingen alleen worden systemen niet beveiligd. Het instellen van controles kan het beste worden bereikt door een gekwalificeerde externe organisatie in te schakelen om IT- en ICS-kwetsbaarheidsbeoordelingen uit te voeren.

Hoewel de IT-wereld zich meer dan 20 jaar geleden realiseerde dat cyberincidenten financiële schade veroorzaken, heeft de ICS-wereld de voordelen van cyberbeveiliging traag ingezien, ondanks incidenten zoals Stuxnet en de Target™ point-of-sale-aanvallen.

Conclusie en aanbevelingen

Aanvallen met veel publiciteit hebben het bewustzijn vergroot van de noodzaak om ICS te beveiligen en over IR-capaciteit te beschikken door middel van een effectieve IRP en een goed opgeleide IRT. Een cultuuromslag is nodig om preventie en herstel van cyberincidenten te bevorderen. De verandering komt eraan, maar langzaam. Bedrijven moeten de ontwikkeling van cyber-IR voor ICS versnellen.

De auteurs van deze blog zijn Robert Talbot, senior IT-manager, Parsons Information Security Office en Jack D. Oden, hoofdprojectmanager, Parsons Critical Infrastructure Operations

Hier is de link terug naar de volledige bloemlezing


Internet of Things-technologie

  • Ingebed
  • Sensor
  • Cloud computing
  • Internet of Things-technologie
    1. Een succesvolle cloudmigratie plannen
    2. Hoe u het meeste uit uw gegevens haalt
    3. Hoe groen is uw energieverbruik?
    4. Uw IT-risico evalueren - hoe en waarom
    5. Achteraf aanpassen van cyberbeveiliging
    6. Het is vroeg voor kunstmatige intelligentie in ICS Cybersecurity
    7. Een ICS-beveiligingschecklist
    8. Hoe u uw ERP-droom plant – Sessie 2
    9. Hoe werken SCADA-systemen?
    10. Hoe u uw vloermedaillon plant
    11. Hoe u uw luchtcompressorsystemen efficiënter kunt maken?