Carder
Professional
- Messages
- 2,620
- Reaction score
- 2,043
- Points
- 113
Этот совет по кибербезопасности предназначен для поставщиков критически важной инфраструктуры, которые развертывают планы обеспечения непрерывности бизнеса для операционных технологических сред (OTE) / промышленных систем управления (ICS) во время пандемии COVID-19.
Это руководство предназначено специально для людей, работающих в ОТЕ. Общие рекомендации по планированию действий в чрезвычайных ситуациях см. В разделе Кибербезопасность необходима при подготовке к COVID-19.
Информацию об угрозах кибербезопасности COVID-19 см. В теме «Обновление угроз: вредоносная киберактивность COVID-19».
Изменение средств защиты кибербезопасности в OTE - это нелегкое решение. Физические рабочие места, такие как диспетчерские и операционные этажи, обеспечивают неотъемлемые преимущества безопасности за счет ограничения физического и кибер-доступа к OTE. Корпоративные информационные технологии обеспечивают дополнительный защитный слой.
Расширение удаленной работы значительно увеличивает возможности злоумышленников получить несанкционированный доступ к системам и может нанести реальный физический ущерб. Поставщики критически важной инфраструктуры должны уравновесить риски и возможности, связанные с перемещением персонала за пределы офиса, и задокументировать эти соображения, чтобы высшее руководство могло принимать информированные, основанные на рисках решения по поддержанию непрерывности бизнеса.
Учитывайте это руководство вместе с установленными вами политиками и процедурами управления изменениями.
Если ваша организация предоставляет услуги мобильной связи, мобильная точка доступа предпочтительнее устройства, для которого требуются дополнительные драйверы, например USB-ключи. Убедитесь, что все коммуникации зашифрованы и что раздельное туннелирование виртуальной частной сети отключено . Настаивайте на том, чтобы удаленные сотрудники избегали таких действий, как просмотр веб-страниц на устройствах, имеющих доступ к OTE.
Поощряйте удаленных сотрудников улучшать кибербезопасность своего дома. Однако, поскольку у вас мало контроля над конечными точками, разумно предположить, что конечные точки скомпрометированы, а учетные данные пользователя могут быть украдены. Примите меры, чтобы свести к минимуму влияние и вред, которые могут вызвать скомпрометированные учетные данные:
Исходя из предположения, что ваш персонал OTE обладает техническими знаниями, предложите им использовать изолированную виртуальную локальную сеть, если домашняя сеть имеет такую возможность. Например, в большинстве домашних сетей есть «гостевая беспроводная сеть», которая часто не используется. Эта виртуальная локальная сеть может использоваться для отделения устройств от остального домашнего интернет-трафика.
Внедрите удаленное сканирование уязвимостей, чтобы знать, какие важные службы могут быть уязвимы для злоумышленников. Централизуйте и контролируйте журналы удаленного доступа на предмет аномалий, желательно в режиме реального времени .
Наконец, сохраняйте записи обо всех изменениях, когда возобновятся обычные операции, особенно об изменениях в службах удаленного доступа. Следуйте советам по удаленному доступу в Руководстве по информационной безопасности правительства и проинформируйте ключевых сотрудников о дополнительных рисках, связанных с внедрением механизмов удаленного доступа.
Персоналу OTE, возможно, придется конкурировать с корпоративным персоналом за пропускную способность сети при доступе к OTE. В этом случае попытки получить доступ к OTE могут привести к отказу в обслуживании в критическое время, например, когда безопасность людей находится под угрозой. В идеале, персонал OTE, которому требуется доступ к OTE, должен иметь отдельный логический путь, чем корпоративный персонал, которому нужен доступ к корпоративной среде. Если выделенный путь недоступен, расставьте приоритеты для сеансов удаленного доступа, которые будет использовать персонал OTE.
Прежде чем вносить изменения в интерфейсы между корпоративным устройством и OTE, сделайте резервную копию конфигураций вашего устройства, чтобы вы могли вернуться к обычным операциям.
Активно поддерживайте подробную логическую схему сети, пока действует план обеспечения непрерывности бизнеса. Это позволяет четко понимать все пути удаленного доступа и легко удалять пути, добавленные для временного дополнения доступа к OTE во время непрерывности бизнеса.
Разработайте план быстрого отключения для 24-часового развертывания, отключая удаленный доступ в случае обнаружения вредоносной активности. Включите свой план быстрого отключения в планирование реагирования на инциденты и зафиксируйте каналы связи, требования к отчетности и физическую и / или логическую изоляцию OTE.
Сохраняйте видение предупреждений об уязвимостях и рекомендаций, влияющих на OTE / ICS. По возможности исправляйте уязвимые системы.
Желательно, чтобы первый переход был с устройства, поставляемого и контролируемого вашей организацией, с подключением к виртуальной частной сети. При использовании личных устройств используйте корпоративную инфраструктуру виртуальных рабочих столов.
Прыжок должен перейти к хосту прыжка в демилитаризованной зоне за пределами ОТЕ.
Затем второй прыжок перемещается ко второму узлу прыжка в OTE.
Каждый удаленный работник должен иметь уникальную учетную запись, надежную парольную фразу и индивидуальный MFA для каждого перехода. Это означает, что для доступа к OTE потребуется как минимум два уникальных имени учетной записи, две уникальные парольные фразы и два токена MFA:
Создавайте ежедневные отчеты, в которых выявляются ненормальные входы в систему (необычное поведение - например, кто-то, кто не работает в ночную смену, входит в систему в полночь). Убедитесь, что у вас есть контрольный журнал, необходимый для поддержки реагирования на инциденты и защитного мониторинга.
Автоматизируйте потенциально опасные отклонения от нормы с помощью приоритетных уведомлений (например, по электронной почте или SMS) вашей группе безопасности. Ограничьте усталость от уведомлений, ограничив номера только теми, которые требуют срочного расследования, и напишите целевые, конкретные и контекстно-зависимые сообщения.
Рассмотрите возможность полного захвата пакетов в ключевых точках перегрузки данных как внутри OTE, так и на границе. Поскольку сетевой трафик OTE часто не зашифрован, злоумышленнику трудно оставаться скрытым при полном захвате пакета.
Привлеките независимую сторону для создания синей команды для вашего решения удаленного доступа. Учитывая возможное влияние на физические системы, любое тестирование на проникновение обычно останавливается на границе OTE.
Когда вы возвращаете свою сеть в известное безопасное состояние, обновляйте базовую документацию и вносите любые изменения, которые повысили вашу кибербезопасность.
Это руководство предназначено специально для людей, работающих в ОТЕ. Общие рекомендации по планированию действий в чрезвычайных ситуациях см. В разделе Кибербезопасность необходима при подготовке к COVID-19.
Информацию об угрозах кибербезопасности COVID-19 см. В теме «Обновление угроз: вредоносная киберактивность COVID-19».
Контекст
Многие поставщики критически важной инфраструктуры переходят на удаленную работу в соответствии с принципами социального дистанцирования.Изменение средств защиты кибербезопасности в OTE - это нелегкое решение. Физические рабочие места, такие как диспетчерские и операционные этажи, обеспечивают неотъемлемые преимущества безопасности за счет ограничения физического и кибер-доступа к OTE. Корпоративные информационные технологии обеспечивают дополнительный защитный слой.
Расширение удаленной работы значительно увеличивает возможности злоумышленников получить несанкционированный доступ к системам и может нанести реальный физический ущерб. Поставщики критически важной инфраструктуры должны уравновесить риски и возможности, связанные с перемещением персонала за пределы офиса, и задокументировать эти соображения, чтобы высшее руководство могло принимать информированные, основанные на рисках решения по поддержанию непрерывности бизнеса.
Учитывайте это руководство вместе с установленными вами политиками и процедурами управления изменениями.
Общее руководство по удаленному доступу
Управление конечной точкой
Сведите к минимуму доверие к конечным точкам, которые подключаются к вашему решению удаленного доступа, таким как домашние сети и устройства. Чем больше ваше решение доверяет конечной точке, тем больше средств контроля вам потребуется для снижения этих рисков. В идеале вы должны предоставить и настроить рабочий ноутбук и сетевое соединение (например, отдельные мобильные беспроводные точки доступа) для удаленных сотрудников для подключения к OTE. Это избавляет от необходимости использовать домашние компьютеры и сети вместе.Если ваша организация предоставляет услуги мобильной связи, мобильная точка доступа предпочтительнее устройства, для которого требуются дополнительные драйверы, например USB-ключи. Убедитесь, что все коммуникации зашифрованы и что раздельное туннелирование виртуальной частной сети отключено . Настаивайте на том, чтобы удаленные сотрудники избегали таких действий, как просмотр веб-страниц на устройствах, имеющих доступ к OTE.
Поощряйте удаленных сотрудников улучшать кибербезопасность своего дома. Однако, поскольку у вас мало контроля над конечными точками, разумно предположить, что конечные точки скомпрометированы, а учетные данные пользователя могут быть украдены. Примите меры, чтобы свести к минимуму влияние и вред, которые могут вызвать скомпрометированные учетные данные:
- Используйте ограниченную привилегированную учетную запись для удаленного доступа . Злоумышленники нацелены на учетные данные удаленного доступа, чтобы получить начальную точку опоры.
- Используйте уникальные парольные фразы для каждой системы в вашей среде. Это ограничивает возможности взломанной парольной фразы в вашей организации.
- Используйте многофакторную аутентификацию (MFA) , особенно для защиты вашего решения удаленного доступа и привилегированных учетных записей или конфиденциальной информации.
Исходя из предположения, что ваш персонал OTE обладает техническими знаниями, предложите им использовать изолированную виртуальную локальную сеть, если домашняя сеть имеет такую возможность. Например, в большинстве домашних сетей есть «гостевая беспроводная сеть», которая часто не используется. Эта виртуальная локальная сеть может использоваться для отделения устройств от остального домашнего интернет-трафика.
Корпоративные системы
На корпоративной стороне отдавайте приоритет исправлениям системы удаленного доступа. Злоумышленник попытается взломать вашу систему, как только обнаружит уязвимость. Подготовьтесь к увеличению числа вредоносных электронных писем и атак типа "отказ в обслуживании" и рассмотрите возможность ограничения геолокации или исходных адресов Интернет-протокола, учитывая, что это будет иметь ограниченную эффективность против постоянного противника.Внедрите удаленное сканирование уязвимостей, чтобы знать, какие важные службы могут быть уязвимы для злоумышленников. Централизуйте и контролируйте журналы удаленного доступа на предмет аномалий, желательно в режиме реального времени .
Наконец, сохраняйте записи обо всех изменениях, когда возобновятся обычные операции, особенно об изменениях в службах удаленного доступа. Следуйте советам по удаленному доступу в Руководстве по информационной безопасности правительства и проинформируйте ключевых сотрудников о дополнительных рисках, связанных с внедрением механизмов удаленного доступа.
Удаленный доступ в операционных технологических средах
Минимизируйте общее воздействие
Прежде чем разрешить работу с удаленным доступом, подумайте, смогут ли альтернативные физические объекты (например, диспетчерские) обеспечить достаточную непрерывность бизнеса. Вторичная (или третичная) диспетчерская с выделенными линиями связи с OTE может предложить лучшую (кибер-физическую) безопасность.Требования к персоналу
Специалисты по OTE, телекоммуникациям и кибербезопасности - дефицитный ресурс, поэтому убедитесь, что у вашей организации есть план человеческих ресурсов для управления ростом рабочей нагрузки. Прикомандирование дополнительного персонала во время пандемии COVID-19 может быть практической мерой для управления возросшей рабочей нагрузкой.Персоналу OTE, возможно, придется конкурировать с корпоративным персоналом за пропускную способность сети при доступе к OTE. В этом случае попытки получить доступ к OTE могут привести к отказу в обслуживании в критическое время, например, когда безопасность людей находится под угрозой. В идеале, персонал OTE, которому требуется доступ к OTE, должен иметь отдельный логический путь, чем корпоративный персонал, которому нужен доступ к корпоративной среде. Если выделенный путь недоступен, расставьте приоритеты для сеансов удаленного доступа, которые будет использовать персонал OTE.
Управление изменениями
Задокументируйте все предлагаемые изменения и разработайте прогон для записи как запланированных, так и незапланированных изменений конфигурации, точек принятия решений по развертыванию и откату.Прежде чем вносить изменения в интерфейсы между корпоративным устройством и OTE, сделайте резервную копию конфигураций вашего устройства, чтобы вы могли вернуться к обычным операциям.
Активно поддерживайте подробную логическую схему сети, пока действует план обеспечения непрерывности бизнеса. Это позволяет четко понимать все пути удаленного доступа и легко удалять пути, добавленные для временного дополнения доступа к OTE во время непрерывности бизнеса.
Разработайте план быстрого отключения для 24-часового развертывания, отключая удаленный доступ в случае обнаружения вредоносной активности. Включите свой план быстрого отключения в планирование реагирования на инциденты и зафиксируйте каналы связи, требования к отчетности и физическую и / или логическую изоляцию OTE.
Сохраняйте видение предупреждений об уязвимостях и рекомендаций, влияющих на OTE / ICS. По возможности исправляйте уязвимые системы.
Связь
Установите и регулярно проверяйте формальные линии связи между командами (например, между группой управления изменениями, операционным центром кибербезопасности и диспетчерской в режиме реального времени), чтобы обеспечить устойчивость ваших каналов связи.Хозяева прыжков
Вы должны настроить как минимум два перехода для удаленного доступа к OTE.Желательно, чтобы первый переход был с устройства, поставляемого и контролируемого вашей организацией, с подключением к виртуальной частной сети. При использовании личных устройств используйте корпоративную инфраструктуру виртуальных рабочих столов.
Прыжок должен перейти к хосту прыжка в демилитаризованной зоне за пределами ОТЕ.
Затем второй прыжок перемещается ко второму узлу прыжка в OTE.
Каждый удаленный работник должен иметь уникальную учетную запись, надежную парольную фразу и индивидуальный MFA для каждого перехода. Это означает, что для доступа к OTE потребуется как минимум два уникальных имени учетной записи, две уникальные парольные фразы и два токена MFA:
- Каждый узел перехода должен быть привязан к отдельному домену безопасности и настроен по принципу наименьших привилегий.
- Приостановить или отключить сеансы незанятого узла перехода через 15 минут.
- Отключите функцию копирования / вставки удаленного рабочего стола и перенаправляйте в OTE, чтобы снизить риски раскрытия конфиденциальной информации и передачи вредоносных файлов.
- Загрузите исправления, такие как двоичные файлы или сценарии, на месте в корпоративных системах и проверьте подлинность каждого файла. Затем инициируйте передачу из OTE. Не допускайте внесения исправлений в OTE через удаленный доступ.
Мониторинг и аудит
Увеличьте автоматический мониторинг и аудит входов в учетные записи, сбоев входа, отклонений от базового трафика и аномального доступа к сети.Создавайте ежедневные отчеты, в которых выявляются ненормальные входы в систему (необычное поведение - например, кто-то, кто не работает в ночную смену, входит в систему в полночь). Убедитесь, что у вас есть контрольный журнал, необходимый для поддержки реагирования на инциденты и защитного мониторинга.
Автоматизируйте потенциально опасные отклонения от нормы с помощью приоритетных уведомлений (например, по электронной почте или SMS) вашей группе безопасности. Ограничьте усталость от уведомлений, ограничив номера только теми, которые требуют срочного расследования, и напишите целевые, конкретные и контекстно-зависимые сообщения.
Рассмотрите возможность полного захвата пакетов в ключевых точках перегрузки данных как внутри OTE, так и на границе. Поскольку сетевой трафик OTE часто не зашифрован, злоумышленнику трудно оставаться скрытым при полном захвате пакета.
Привлеките независимую сторону для создания синей команды для вашего решения удаленного доступа. Учитывая возможное влияние на физические системы, любое тестирование на проникновение обычно останавливается на границе OTE.
Примите постоянное совершенствование
Когда вы вернетесь к обычному режиму работы, удалите меры, которые временно увеличили риски.Когда вы возвращаете свою сеть в известное безопасное состояние, обновляйте базовую документацию и вносите любые изменения, которые повысили вашу кибербезопасность.
