迈克尔·鲍威尔
国家标准与技术研究所国家网络安全卓越中心
迈克尔·皮斯
基斯·斯托弗
CheeYee Tang(唐芝怡)
蒂莫西·齐默曼
国家标准与技术研究所通信技术实验室
约翰·霍伊特
斯蒂芬妮·萨拉维亚
阿斯拉姆·谢鲁尔
勒奈特·威尔科克斯
郑康民
MITRE公司 弗吉尼亚州麦克林
翻译:樊山 (鹰眼翻译社区)
2022年11月
manufacturing_nccoe@nist.gov
1执行摘要
目的
本文件定义了国家网络安全卓越中心(NCCoE)项目,重点是在操作技术(OT)环境中应对网络事件并从中恢复。制造组织依靠OT来监控生产公共消费产品的物理过程。这些相同的系统正面临越来越多的网络事件,导致破坏性恶意软件、恶意内部活动或完整性错误导致生产损失。这就要求组织能够快速、安全、准确地从损坏或破坏数据(例如,数据库记录、系统文件、配置、用户文件、应用程序代码)的事件中恢复。
本NCCoE项目的目的是演示如何实施NIST网络安全关键基础设施改进框架(NIST网络安保框架)功能和类别。当数据完整性受损时,多个系统需要协同工作以恢复设备和恢复操作。本项目探索有效恢复应用程序和软件配置以及自定义应用程序和数据中的数据损坏的方法。NCCoE将与商界成员和网络安全解决方案供应商合作,确定基于标准、业务可用、开源硬件和软件组件,以设计制造实验室环境,应对OT环境中应对网络事件和从中恢复的挑战。
该项目将产生一份公开的NIST网络安全实践指南,该指南详细介绍了实施网络安全参考设计所需的实际步骤,以应对这一挑战。
范围
本项目将演示如何在OT环境中应对网络事件并从中恢复。一旦检测到网络安全事件,通常会在事件得到圆满解决之前执行以下任务:
报告事件
日志审核
事件分析
事件处理和响应
根除和恢复
NIST网络安全框架(CSF)响应和恢复功能和类别用于指导本项目。NIST网络安全框架响应功能的目标是制定和实施适当的活动,以对检测到的网络安全事件采取行动。恢复功能的目标是制定和实施适当的活动,以维持恢复计划,并恢复因网络安全事件而受损的任何能力或服务。
本项目范围之外的系统包括企业资源规划(ERP)、制造资源规划(MRP)和制造执行系统(MES),这些系统在Windows或Linux操作系统上运行的传统信息技术(IT)基础设施上运行。这些IT系统有充分记录的可用恢复工具,包括NIST网络安全实践指南SP 1800-11《数据完整性:从勒索软件和其他破坏性事件中恢复》中记录的工具。
假设
本项目假设网络事件是在某些影响发生后或影响发生前发现的。网络事件可能由多种因素引起,包括但不限于善意的内部人员在未经适当测试的情况下进行更改、恶意的内部人员或外部对手。应设计一个全面的安全架构,以在网络事件发生之前检测网络事件,包括检测初始访问、发现和横向移动。然而,全面防御也应做好准备,以便在网络事件发生后依旧未被发现的情况下修复和恢复。本指南侧重于网络事件造成影响的罕见事件。
网络事件是对系统或数据保密性、完整性或可用性的任何损害。这可能是由恶意外部人员获取访问权限并进行更改或窃取数据引起的。更加容易和可能的是某人只是在工作中犯了一个错误,或者在实施之前没有对更改进行全面测试。出于这个原因,该项目处理一般性地网络事件,而不考虑是什么或谁造成了事件。然而,本项目中的某些场景已被描述为只会由于恶意操作而发生。
为了使文档的其余部分更具可读性,“恶意行为人”一词将被用于涵盖从已经有权访问的恶意内部人员到对系统进行长期针对性攻击的高级持续威胁行为人的所有内容。这还包括较低级别的外部恶意行为体进行攻击,如广泛的勒索软件活动以获取利润。
术语“非恶意行为人”将用于表示没有恶意意图但导致网络事件的行为人。网络事件可能是一个错误,一个具有意外后果的变化,或是一个未经测试的更新,导致正常运行中断。
本项目假设:
l 本项目的实验室基础设施具有相对较少的机器人和制造过程节点,这些节点代表了更大的制造设施。
l 示例解决方案的有效性与制造环境的规模无关。
l 本项目侧重于NIST网络安全框架的响应和恢复部分。假设识别、检测和保护功能已经实现到一定的成熟度,并且以下功能已投入运行
l 包括必要的技术:
n 管理和保护对站点的物理访问
n OT资产与IT资产的细分
n 访问OT资产的认证和授权机制
n 全面管理OT环境和OT资产的远程访问
n 资产和漏洞管理
n 持续监测和检测
n IT网络保护措施(如防火墙、分段、入侵检测等)
n 解决了与供应链和供应商访问相关的漏洞
n 支持备份和整体企业事故响应计划的人员和流程。
挑战
提供恢复解决方案和过程的实施需要确认,涉及使用备份的恢复过程旨在将系统恢复到以前的状态,但“最后已知的良好状态”可能不一定没有漏洞。以下是与备份相关的挑战:
l 备份数据中可能存在漏洞。
l 备份数据在存储时可能会受到损害。
l 备份数据中可能存在休眠或非活动恶意软件。
背景
制造系统对国家经济安全至关重要。制造商必须考虑网络事件如何影响工厂运营以及人员和财产安全。NCCoE认识到这一担忧,并通过财团与行业合作,根据《财富500强》市场领导者和专门从事OT安全的小型公司等技术合作伙伴的合作研究与开发协议。其目的是通过展示网络安全技术在缩小版制造环境中的实际应用来应对这些挑战。
考虑到当前的工业4.0时代,企业正在将业务系统和IT网络连接到OT网络,以提高业务灵活性和运营效率。然而,最近对OT的攻击表明,恶意行为者正从业务系统和IT网络转向OT环境。大多数OT系统在历史上都与业务系统和IT网络隔离,因此其设计不能抵御网络攻击。IT网络中使用的网络风险缓解技术通常不适用于OT网络,因为OT的实时性和确定性。这些导致组织可能不得不从OT网络事件中做出反应或恢复的可能性越来越大。该项目将为制造组织设计OT环境中的缓解措施以解决网络事件提供指导。
本项目将以NIST特别出版物1800-10《工业控制系统环境中的信息和系统完整性保护》为基础,通过识别和展示改进OT环境中网络事件响应和恢复的能力。
2待展示的网络安全能力
本项目将展示一种应对和恢复制造业OT网络事件的方法。以下列出的网络安全能力是一旦检测到网络安全事件,作为事件响应和恢复过程的一部分发生的典型顺序任务。
事件报告
日志审核
事件分析
事件处理和响应
根除和恢复
这些能力的总结以及与这些能力对应的NIST网络安全框架子类别总结如下。ISA/IEC 62443-2-1《IACS资产所有者安全计划要求》中详细描述了这些能力。ISA/IEC 62443是国际自动化协会发布的工业自动化和控制系统(IACS)网络安全国际标准的集合(http://www.isa.org).
以系统的方式执行这些功能需要适当的响应和恢复角色以及分配给这些角色的人员。下面列出了响应和恢复功能中使用的典型角色。实施的角色和人员数量将取决于组织的规模、行业类型和预算。
内部资源:
运营技术(OT)和IT安全运营中心(SOC)分析师(如果SOC由内部管理)
指定事件指挥官
运营领导
安全人员
待命OT系统人员
随叫随到的IT人员
人身安全人员
行政人员
采购人员
公共关系和法律人员
外部行业合作伙伴:
OT和IT SOC分析师(如果SOC由第三方管理)
OT技术支持(如供应商、集成商)
运营供应链(例如,供应商、客户、分销商、商业伙伴)
事件响应小组
浪涌支架
受影响社区(如设施邻居)
事件报告
一旦检测到事件,应将其报告给适当的预定利益相关者进行初步分类。分流流程将为处理事故分配适当的优先级。根据优先级,将启动预定的管理流程,将风险信息分发给相关人员,以便及时采取后续行动。
日志审阅
事件应写入一个或多个受保护的事件/审核日志,并保留足够的时间。记录事件是查看和分析事件的主要活动。保留事件/审计日志为取证提供支持,从而可以识别根本原因、技术漏洞、行为漏洞和改进机会。
审查事件以发现和识别可疑活动和安全违规行为,以确定其优先顺序。有了适当的事件历史,可以进行事件分析以关联事件并更好地了解事件发生的环境。所有这些活动都支持事件响应,包括确定根本原因,并采取措施尽量减少影响,更好地保护系统免受未来可疑活动和安全违规行为的影响。
事件分析
应分析安全相关事件,以识别和描述攻击、安全妥协和安全事件。分析事件的两个主要原因是:
- 识别妥协和可疑情况,这通常通过相关事件的关联来实现。这包括识别事件发生的条件,尝试发现根本原因,如何处理,并防止再次发生;和
根据事件构成的风险对事件进行优先级排序和分类。
事件处理和响应
应采用并保持最新的事件响应流程,以评估和响应OT网络事件。应使用评估网络事件的流程以确定导致事件发生的潜在影响、威胁和漏洞。OT安全事件评估允许制造商确定其影响,以便制定和实施适当的应对措施。适当的应对措施应包括遏制、减少影响、采取反措施缓解根本原因,以及保护OT免受未来威胁。
根除和恢复
该阶段的目标是通过消除事件的人为因素(例如,删除恶意代码、重新映射受感染的系统)并减轻漏洞或被利用的其他条件,从而恢复正常操作。一旦事件得到遏制,应根除所有持续访问网络的手段,以充分限制任何恶意行为人的活动,并收集所有证据。它还可能涉及加固或修改环境以保护目标系统和修复受感染的系统。这通常是一个迭代过程。受影响的系统应恢复运行,并验证其是否按预期运行。(网络安全和基础设施安全局,《网络安全事件和漏洞应对行动手册》,2021年11月,第15-16页。可用:https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf)。
根据组织策略执行的任务:
<u>根除任务</u>
在OT环境中修复所有受感染的系统
在恢复之前识别并验证正确备份的完整性
重新映射受影响的系统或从头开始重建系统
重建硬件(当事件涉及rootkit时需要)
安装补丁
重置帐户密码
用干净版本替换受损文件
a) 下载PLC程序
b) 下载HMI程序
c) 检索历史数据的备份
- 监控任何恶意参与者对遏制活动的反应迹象
<u>恢复任务</u>
加强边界安全(例如防火墙规则集、边界路由器访问控制列表)
将重建的系统重新连接到网络
彻底测试系统,包括安全控制
将系统恢复正常运行,并确认其正常运行
监控异常行为的操作
在安全介质上备份新配置
对妥协和应对相关活动进行独立审查
3网络攻击场景
NIST网络安全框架响应和恢复功能将使用以下可能影响工厂运营的场景进行演示。
我们预计,不同的事件需要不同的响应和恢复步骤,这些场景提供了一个机会来展示将解决响应和恢复问题的各种能力。
场景1-未经授权的命令消息
恶意或非恶意行为者可以发送未经授权的命令消息,以指示控制系统资产执行其预期功能之外的动作。OT网络中使用命令消息向控制系统设备发出直接指令。如果恶意行为体可以向控制系统发送未经授权的命令消息,那么它可以指示控制系统的设备执行超出设备操作正常范围的操作。因此,恶意行为人可能会破坏制造过程或破坏制造设备。
潜在影响:这映射到ICS的MITRE ATT&CK®中列出的控制影响的失控和操纵。
攻击示例:
在达拉斯警报器事件中,对手能够发送命令信息,在没有即将到来的龙卷风或其他灾难的情况下,在全市范围内启动龙卷风警报系统。警报被激活了十几次。这些干扰在2017年发生过一次,随后在2019年发生在附近的一个县。
在2015年乌克兰事件中,沙虫团队在控制操作员工作站并访问配电管理系统(DMS)客户端应用程序后,向变电站断路器发出未经授权的命令。
来源:MITRE ATT&CK®,用于ICS,T0855。可用:
未经授权的命令消息,技术T0855-ICS|MITRE ATT&CK®
场景2–过程或控制器参数的修改
恶意或非恶意行为者可以修改用于指示工业控制系统设备的参数。这些设备通过程序运行,这些程序规定如何以及何时根据这些参数执行操作。这样的参数可以确定执行动作的程度,并且可以指定附加选项。例如,控制系统设备上的指令电机过程的程序可以采用定义电机运行总秒数的参数。修改这些参数可能会产生超出操作员预期的结果。通过修改系统和过程关键参数,参与者可能会对设备和/或控制过程造成影响。
修改后的参数可能会变成危险的、超出范围的或来自典型操作的意外值;例如,指定一个进程运行的时间超过或少于它应该运行的时间,或者指定一个异常高、低或无效的值作为参数。
潜在影响:这映射到ICS的MITRE ATT&CK®中的失控、操纵和损坏的程序文件或数据影响。
示例攻击:
1.“在Maroochy攻击中,Vitek Boden获得了对控制系统的远程计算机访问权,并更改了数据,从而使受影响泵站的任何功能都不能运行或以异常的方式运行。安装在笔记本电脑上的软件程序是Hunter Watertech开发的,用于改变PDS计算机的配置。这最终导致800000升未经处理的污水排入社区。”
来源:MITRE ATT&CK®,用于ICS,T0836。可用:
修改参数,技术T0836-ICS|MITRE ATT&CK®
场景3–破坏人机界面(HMI)或操作员控制台
恶意行为人可能会导致拒绝查看,试图破坏和阻止操作员对OT环境状态的监督。这可能表现为设备与其控制源之间的临时通信故障,一旦干扰停止,接口将恢复并可用。
恶意行为体可能试图通过阻止操作员接收状态和报告消息来拒绝操作员可见性。拒绝此视图可能会暂时阻止并防止操作员注意到状态变化或异常行为。环境的数据和过程可能仍在运行,但以非预期或对抗性的方式运行。
恶意行为人可能会造成持续或永久的视野丧失,因为OT设备需要本地操作员亲自干预;例如重新启动或手动操作。通过造成持续的报告或可见性损失,恶意参与者可以有效地隐藏当前的操作状态。在不影响物理过程本身的情况下,可能会发生这种视图丢失。
潜在影响:这映射到ICS的MITRE ATT&CK®中的视图丢失、视图操纵和拒绝控制影响。
攻击示例:
Industroyer能够暂时阻止串行COM通道,导致拒绝查看。
Industroyer的数据擦拭器组件会删除整个系统中的注册表“图像路径”,并覆盖所有文件,导致系统无法使用。
在马鲁奇袭击中,对手能够暂时将一名调查员拒之门外防止他们查看系统的状态。
挪威水电公司的一些生产系统受到LockerGoga感染的影响。这导致视野丧失,迫使公司转向手动操作。
在2017年达拉斯警报器事件中,运营商无法禁用应急管理办公室总部的假警报。
来源:ICS T0813、T0815的MITRE ATT&CK®。可用:
拒绝控制,技术T0813-ICS | MITRE ATT&CK®
拒绝查看,技术T0815-ICS | MITRE ATT&CK®
场景4–Data Historian妥协
恶意参与者可以访问业务网络,并利用该网络进入OT环境,从而访问Data Historian。数据历史记录的核心是数据库服务器,如Microsoft SQL server。访问数据历史记录可用于过滤其数据,这些数据可用于了解过程、控制系统和操作细节。这一知识随后可用于对OT系统发起进一步攻击。此外,如果数据历史记录是双宿主的,那么这可以用于从IT环境进一步进入OT环境。
潜在影响:这与MITRE ATT&CK®for ICS中的信息存储库数据收集策略有关。
示例攻击:
- 2016年12月,威胁组织沙虫团队使用Industroyer恶意软件攻击乌克兰电网。对手通过运行SQL Server的Microsoft Windows Server 2003获得了对涉及关键流程操作的设备的初始访问权限。
来源:用于ICS S0604、T0802的MITRE ATT&CK®。可用:
Industroyer,软件S0604 | MITRE ATT&CK®
自动采集,技术T0802-ICS | MITRE ATT&CK®
场景5–检测到未经授权的设备
恶意或非恶意行为者可以将未经授权的设备连接到无线网络。可以通过在未经授权的设备上使用已知密码或通过对无线设备的妥协来获得对无线网络的访问。恶意行为者还可以利用与无线网络相同频率的无线电和其他无线通信设备。无线妥协可以作为远程的初始接入向量来实现。
潜在影响:映射到MITRE ATT&CK®中的一种技术,用于ICS获得对OT环境的初始访问。
示例:
在马鲁奇袭击事件中,对手用偷来的无线电设备四处行驶并发出命令,扰乱了马鲁奇郡的无线电控制污水系统。Vitek Boden使用双向无线电与Maroochy Shire的中继站通信并设置频率。
一名波兰学生使用改装后的电视遥控器访问和控制波兰罗兹市的电车系统。远程控制器设备允许学生与电车网络连接,以修改轨道设置并超越操作员控制。对手可能通过将控制器与IR控制协议信号的频率和幅度对准来实现这一点。控制器随后启用对网络的初始访问,允许捕获和重放电车信号。
来源:MITRE ATT&CK®,用于ICS,T0860。可用:
无线妥协,技术T0860-ICS | MITRE ATT&CK®
场景6–检测到未经授权的连接
恶意行为者还可以设置流氓通信服务器以利用控制服务器功能与分站通信。流氓通信服务器可用于向其他控制系统设备发送合法的控制消息,从而以非预期的方式影响进程。它还可以用于通过捕获和接收针对实际通信服务器的网络流量来中断网络通信。模拟通信服务器还可以允许恶意参与者避免检测。
潜在影响:这映射到MITRE ATT&CK®中的一种技术,用于ICS初始访问ICS环境。
示例:
在Maroochy攻击中,Vitek Boden伪造了网络地址,以便向泵站发送伪造的数据和指令。
在2017年达拉斯警报器事件中,对手使用流氓通信服务器向全市156个分布式警报器发送命令消息,要么通过一个带有强信号的流氓发射器,要么使用多个分布式中继器。
来源:MITRE ATT&CK®,用于ICS,T0848。可用:
Rogue Master,技术T0848-ICS|MITRE ATT&CK®
4实验室环境的架构和功能
本节描述了实验室中的OT测试台系统,用于演示响应和恢复功能的网络安全能力。
测试床架构
制造工艺
该系统是一条模型生产线,由分拣输送机系统、用于零件搬运和组装的机械臂以及成品零件储存区组成。
三种类型的零件(顶部、底部和拒收)被插入进料仓,进料仓一次将一个零件分配到输送机。输送机上的传感器按类型对零件进行分类。顶部和底部工件被传送到终端站,由机器人拾取。拒收件和无序的顶部和底部件沿滑槽拒收。
机械臂从输送机端部取出下半部和上半部,并将其放置在装配站。一旦两半到达,机器人将两个部件组装起来,然后将其放入存储架。装配站和存储架上的传感器验证零件的存在。
主管PLC控制协调两个下级系统。
关键控制系统部件
l 输送机控制
n 可编程逻辑控制器(PLC)
n 人机界面(HMI)
l 机器人控制
n 机器人运动控制器
l 主管控制
n 可编程逻辑控制器
n 人机界面
5解决方案功能和组件
作为响应和恢复项目的一部分,OT环境需要以下系统能力:
l 事件报告(检测)
n 网络事件检测
n 行为分析检测
n 端点检测和响应(EDR)(基于主机的检测)
l 事件管理
n 事件/警报通知
n 案例创建
l 日志审核
n 收集
n 聚合
n 相关性
l 司法取证分析
n 根据ICS战术和技术的MITRE ATT&CK对事件进行分类
n 了解影响
n 确定根本原因
n 确定妥协程度
l 事件处理和响应
n 事件的控制
l 消除事故人为因素
l 恢复
n 系统恢复
n 恢复验证
为了证明本项目说明中规定的范围,需要以下解决方案组件:
l 身份和认证系统
l 端点检测和响应系统
l 网络监控工具
l 行为异常检测工具
l 基于网络和主机的入侵检测系统
l 安全信息和事件监控系统(SIEM)
l 网络策略引擎(PE)
l 防火墙(FW)
l 安全服务器/PE/FW集成工具
l 配置管理、备份、补丁管理系统
l 安全远程访问
l 历史数据库
l 基于云的OT能力:数据历史记录、监控和数据采集(SCADA)、资产管理系统
6相关标准和指南
l Barrett,M.(2018),《改进关键基础设施网络安全框架1.1版》,NIST网络安全框架,[在线],https://doi.org/10.6028/NIST.CSWP.04162018; https://www.nist.gov/cyberframework(2022年5月31日访问)。
l 国土安全部,关键制造业网络安全框架实施指南,2015年。可用:https://www.cisa.gov/uscert/sites/default/files/c3vp/framework_guidance/critical-manufacturing-framework-implementation-guide-2015-508.pdf.
l E.Salfati等人,《数字取证和事故响应(DFIR)操作技术框架》(OT),NIST机构间报告(NISTIR)8428,NIST,2022年6月。可用:https://doi.org/10.6028/NIST.IR.8428.
l 第13636号行政命令,改善关键基础设施网络安全,DCPD2013000912013年2月12日。可用:https://www.govinfo.gov/content/pkg/FR2013-02-19/pdf/2013-03915.pdf。
l J.McCarthy等人,《保护制造业工业控制系统:行为异常检测》,NIST机构间报告(NISTIR)8219,NIST,2018年11月。可用:https://doi.org/10.6028/NIST.IR.8219.
l K.Stouffer等人,网络安全框架制造概况,NIST内部报告8183,NIST,2017年5月。可用:https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8183.pdf.
l M.J.Stone等人,《数据完整性:减少攻击的影响》,白皮书,NIST,2015年11月23日。可用:https://www.nccoe.nist.gov/sites/default/files/legacyfiles/data-integrarity-project-description-final.pdf。
l T.McBride等人,《数据完整性:从勒索软件和其他破坏性事件中恢复》,NIST SP 1800-11,2020年9月,可用:https://doi.org/10.6028/NIST.SP.1800-11.
l M.Powell等人,《工业控制系统环境中的信息和系统完整性保护:制造业的网络安全》,NIST SP 1800-10,2022年3月,可用:https://doi.org/10.6028/NIST.SP.1800-10.
l R.Candell等人,《工业控制系统网络安全性能试验台》,NISTIR 8089,NIST,2015年11月。可用:http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8089.pdf.
l 《联邦信息系统和组织的安全和隐私控制》,NIST SP 800-53第4版,NIST,2013年4月。可用:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf.
l 用于ICS的MITRE ATT&CK®,https://attack.mitre.org/versions/v11/matrices/ics/.
7安全控制图
本表将NCCoE将应用于网络安全挑战的商业产品的特性映射到NIST网络安全框架中描述的适用标准和最佳实践。本练习旨在证明标准和最佳实践的真实适用性,但并不意味着具有这些特征的产品将满足行业对监管批准或认证的要求。
附录A缩略语和缩写
AD 活动目录
AE 异常和事件
AN 分析
CO 沟通
CRS 协作机器人系统
CSF 网络安全框架
CTL 通信技术实验室
DE 检测
DP 检测过程
DMZ 非军事区
ERP 企业资源计划
FW 防火墙
HMI 人机界面
ICS 工业控制系统
IP 信息保护流程和程序
IT 信息技术
MES 制造执行系统
MI 缓解
MRP 制造资源规划
NCCoE 国家网络安全卓越中心
NIST 国家标准与技术研究所
OT 操作技术
PCS 过程控制系统
PLC 可编程逻辑控制器
PR 保护
PT 保护技术
RC 恢复
RP 恢复计划、响应计划
RS 响应
SCADA 监控和数据采集
SP 特别出版物
