为了协助减轻遭受网路攻击的可能性,工业控制系统紧急应变小组(ICS-CERT)建议必须为工业网路建置7项重要策略,以提高其防护能力。该机构宣称,这7大步骤可让FY2015年所举报的攻击中,有98%的事件都能幸免。ICS-CERT首先指出根据其研究,在2015年至少发生295起与工业网路有关的入侵事件,此外还有更多可能是未发布或未侦测到入侵事件。再者,这些事件还有愈演愈烈的趋势。
1.确保正确配置与管理增补程式:随着对手不断提高其能力,安全的实际作法也逐渐过时。其结果是,未经增补的软体越来越容易成为目标。关键是必须落实安全输入程序以及更新可信任的软体增补程式。
2.建置应用程式白名单:只允许预先经认可的应用程式来执行,让网路能侦测并防止恶意软体。
3.建立可防御的环境:正确的架构有助于限制从外围入侵的潜在损害。就像城堡拥有外墙和内部防御工事一样,将网路设计成一个可限制主机对主机通讯的系统集合,可避免因其中一个系统受损而影响其余系统。
4.认证管理:使用窃取而来的凭证可能让攻击者几乎无法被系统侦测到。因此,透过双重因素认证、限制使用者权限的存取、为企业与控制网路存取提供不同的认证,以及各种保护机制,都有助于强化认证。
5.降低易受攻击的表面范围:关闭未使用的埠以及未用的服务。只有在绝对必要时才允许即时的外部连接。隔绝你的工业网路与不受信赖的外部网路。
罗克韦尔新闻中心