為了協(xié)助減輕遭受網(wǎng)路攻擊的可能性，ICS-CERT建議必須為工業(yè)網(wǎng)路建置7項重要策略，以提高其防護能力。該機構(gòu)宣稱，這7大步驟可讓FY2015年所舉報的攻擊中，有98%的事件都能幸免。

　　重工業(yè)正逐漸成為網(wǎng)路攻擊的目標。金融機構(gòu)或或許也承受著種種壓力，但無論是以次數(shù)或類型來看，工業(yè)網(wǎng)路遭受到更嚴重的攻擊。目前看來，這些攻擊唯一的目的似乎都在探測弱點，但卻足以危害到整個工業(yè)網(wǎng)路。為了保護工業(yè)控制網(wǎng)路免于遭受網(wǎng)路攻擊，美國國土安全部(DHS)建議采取七項保護措施。

　　DHS所屬的工業(yè)控制系統(tǒng)緊急應(yīng)變小組(ICS-CERT)在日前發(fā)布了有效防御工業(yè)控制系統(tǒng)的7個步驟。ICS-CERT首先指出根據(jù)其研究，在2015年至少發(fā)生295起與工業(yè)網(wǎng)路有關(guān)的入侵事件，此外還有更多可能是未發(fā)布或未偵測到入侵事件。再者，這些事件還有愈演愈烈的趨勢。

　　ICS-CERT強調(diào)，簡單地增強外圍防護(如防火墻)的網(wǎng)路已經(jīng)不再適用了。

　　為了協(xié)助減輕遭受網(wǎng)路攻擊的可能性，ICS-CERT建議必須為工業(yè)網(wǎng)路建置7項重要策略，以提高其防護能力。該機構(gòu)宣稱，這7大步驟可讓FY2015年所舉報的攻擊中，有98%的事件都能幸免。

　　這七大關(guān)鍵策略是：

　　1.建置應(yīng)用程式白名單：只允許預先經(jīng)認可的應(yīng)用程式來執(zhí)行，讓網(wǎng)路能偵測并防止惡意軟體。SCADA系統(tǒng)、人機介面(HMI)電腦與資料庫系統(tǒng)特別適用這一策略。

　　2.確保正確配置與管理增補程式：隨著對手不斷提高其能力，安全的實際作法也逐漸過時。其結(jié)果是，未經(jīng)增補的軟體越來越容易成為目標。關(guān)鍵是必須落實安全輸入程序以及更新可信任的軟體增補程式。

　　3.降低易受攻擊的表面范圍：關(guān)閉未使用的埠以及未用的服務(wù)。只有在絕對必要時才允許即時的外部連接。隔絕你的工業(yè)網(wǎng)路與不受信賴的外部網(wǎng)路。還有一個有用的技巧是，如果只需要單向通訊(如報告資料)，盡量使用光學隔離方案(資料二極體)，以預防回程訊號進入。

　　4.建立可防御的環(huán)境：正確的架構(gòu)有助于限制從外圍入侵的潛在損害。就像城堡擁有外墻和內(nèi)部防御工事一樣，將網(wǎng)路設(shè)計成一個可限制主機對主機通訊的系統(tǒng)集合，可避免因其中一個系統(tǒng)受損而影響其余系統(tǒng)。

　　5.認證管理：使用竊取而來的憑證可能讓攻擊者幾乎無法被系統(tǒng)偵測到。因此，透過雙重因素認證、限制使用者權(quán)限的存取、為企業(yè)與控制網(wǎng)路存取提供不同的認證，以及各種保護機制，都有助于強化認證。

　　6.安全的遠端存?。喝绻斜匾褂眠h端存取，更要采取保護措施，如使用硬體(而非軟體)資料二極體進行唯讀存取、限時遠端存取、要求操作員透過遠端存取請求進行控制，以及避免為供應(yīng)商與員工采用不同存取路徑的“雙重標準”。同時，關(guān)閉任何可疑的存取物件、隱藏的后門等等。特別是防護數(shù)據(jù)機基本上并不安全。

　　7.監(jiān)測與因應(yīng)計劃：網(wǎng)路攻擊正不斷地成熟壯大，所以目前看來足以因應(yīng)的措施可能成為明日的破綻。持續(xù)地監(jiān)測網(wǎng)路以避免可能的入侵跡象或其他攻擊，并且預先擬定偵測到攻擊時的因應(yīng)計劃。迅速采取行動可限制受損害的程度，而且也有利于盡快恢復。

（轉(zhuǎn)載）