菜鸟极速[$key]一键轻松游览国外

菜鸟极速

在互联网出现之前，大多数组织的 ICS/OT 环境都是 "空中封闭 "的，即没有与外部网络的连接。因此，网络安全措施并不是 ICS 的主要考虑因素。然而，正如本系列第一部分所讨论的那样，这种思维模式在互联网时代的持续存在必须加以克服，因为 ICS 环境现在连接更多，并依赖于实时操作数据。因此，它们已成为威胁组织的高价值目标。

none

none2014 年蜻蜓运动，在none，以及none.

不过，远程连接到 ICS 有一些最佳做法可以遵循，这些做法可以大大降低攻击成功的可能性，并确保在威胁行为者获得关键操作技术之前就被发现和阻止。

菜鸟极速

none

none	说明	示例
第 5 级：企业网络	支持个别业务单位和用户的企业级服务。这些系统通常位于企业数据中心。	提供服务器：企业活动目录（AD） none 客户关系管理 (CRM) 系统人力资源（HR）系统文件管理系统 none 企业安全运营中心 (SOC)
第 4 级：商业网络	为本地站点的企业用户提供 IT 网络。连接到企业范围的区域网络（WAN），并可能连接到本地互联网。直接互联网接入不应低于此级别。	商务工作站 none none 企业 AD 复制
IT/OT边界（DMZ）
第 3 级：全场监督	为站点或区域提供监测、监督和业务支持。	管理服务器人机界面 (HMI) 警报服务器 none 历史学家（如果范围涉及整个遗址或地区）
第 2 级：地方监管	对单一流程、单元、生产线或分布式控制系统 (DCS) 解决方案进行监控。按功能、类型或风险将流程相互隔离。	人机界面警报服务器 none 历史学家控制室（如果只针对单个工艺而不是场址/区域的范围）
none	none	可编程逻辑控制器 (PLC) 控制处理器可编程继电器远程终端设备（RTU） none
0 级：现场设备	用于单元、生产线、过程或 DCS 解决方案的传感器和执行器。通常与 1 级结合使用。	基本传感器和执行器使用现场总线协议的智能传感器/执行器智能电子设备 (IED) 工业物联网 (IIoT) 设备通信网关其他现场仪器

理想情况下，ICS 的远程连接应通过 IT 和 OT 之间的非军事区 (DMZ)。防火墙、身份验证服务、跳转服务器和文件服务器在安全进行这些连接方面都起着至关重要的作用。

在根据最佳实践构建的环境中，我们建议在第 3 层和第 4 层之间的交界处设置多个 DMZ，每个 DMZ 都专用于特定用途。 DMZ 服务包括托管远程访问连接、管理云连接、充当进入 OT 的 IT 网关以及从 OT 进入 IT 环境的网关。这些服务器协同工作，以满足远程用户可能需要的所有功能，同时对 OT 环境执行最低权限访问策略。

菜鸟极速

只要有可能，技术人员的远程连接应通过连接 IT 环境（即业务网络）和 OT 环境的 DMZ 进行。这将为管理员和安全从业人员提供最大限度的可视性，对活动进行最佳跟踪和记录，并对远程访问 OT 环境的所有用户进行身份验证和访问控制。

none

以下各节将讨论配置通过 DMZ 连接到 ICS/OT 环境的各个组成部分。

菜鸟极速

首先，管理员应确保需要远程访问的每个人都使用指定账户进行连接；绝不能为此目的使用共享账户。远程访问用户只能访问他们必须执行任务的系统，而不能访问其他系统。

远程 OT 用户应使用专用远程访问账户（最好不是 OT 域账户），通过多因素身份验证（MFA）对 VPN 服务器进行身份验证。连接到 VPN 后，远程用户只能被允许连接到跳转主机或安全文件传输机制。连接到这些服务时，远程用户要进行第二次身份验证，这次使用的是 OT 域凭据。在这两个阶段，管理员都应记录和监控登录活动，在多次尝试验证失败后锁定账户，并终止持续不活动的会话。

在 DMZ 的 OT/ICS 侧（通常位于普渡模型的第 3 层）建立活动目录 (AD) 域是这一授权序列的关键组成部分。该域应专用于 ICS 和nonenone

管理和执行综合监控系统中所有 Windows 资产的安全策略
作为中央身份验证源，无需在每台设备上管理本地账户
管理角色（使用 AD 组），便于精确控制用户活动
集中创建、修改和删除账户
集中记录包括身份验证在内的所有 Windows 活动
跳转服务器验证和权限设置

诚然，在 OT 网络中使用活动目录会扩大攻击面，从而增加风险，但活动目录所带来的额外安全功能使这种权衡是值得的。为降低风险，活动目录应由训练有素、对活动目录有深刻理解的人员进行管理。不要害怕利用组织 IT 管理员的活动目录知识和经验。

菜鸟极速

下一步，技术人员应使用基于角色的访问权限来访问跳转主机。管理员可以使用 OT 域组强制执行这一措施，只授予远程用户执行工作所需的系统和应用程序访问权限。

跳转主机在安全的远程连接中发挥着重要作用，其作用超出了身份验证。执行边界应限制跳转主机之间的通信。每个角色的跳转主机只能与该角色管理的设备进行通信。这些服务器还应禁止用户在其工作站上运行任何软件或传输任何数据（例如，应在本地安全策略中禁用驱动器和剪贴板重定向）。相反，远程连接所需的所有软件和数据都应预先安装在跳转主机上。

对于一小部分必须携带数据的用户，管理员应创建安全的方法，在所需数据进出 OT 网络时对其进行扫描和清理。文件传输部分将对此进行更详细的讨论。

菜鸟极速

无论是从业务网络还是互联网对 ICS 系统进行远程管理，通常都需要将文件传输到 OT 环境中或从 OT 环境中传输出去。向 OT 传输文件的例子包括软件更新和补丁、防病毒更新、配置更改、项目文件和其他文件。从 OT 环境流出的数据可能包括日志和诊断信息或系统备份。交易数据（如订单下达和确认）经常是双向传输的。

通过远程连接进行安全文件传输的方法在概念上类似于技术人员在亲自访问 ICS 环境时需要使用 USB 驱动器传输文件时使用的 "羊肠小道 "方法。这种方法要求技术人员首先将 USB 驱动器插入该地点的服务器，服务器会扫描 USB 驱动器上的所有文件，并将 "清除 "后的文件复制到插入服务器的另一个 USB 驱动器上。然后，技术人员将 "清理 "后的 USB 驱动器用于将文件传输到特定的 ICS 系统上。

要通过远程连接执行相同的任务，管理员应在 DMZ 中设置一个文件服务器，配置一个只写文件夹和一个只读文件夹，并配备一个或多个防病毒扫描工具。远程用户将文件上传到只写文件夹，服务器使用防病毒实用程序对其进行扫描，然后将文件复制到位于第 3 层的单独服务器上的只读文件夹。然后，远程用户就可以从只读文件夹中取出 "已清理 "的文件，并在 OT 网络中使用它们。将文件移出 OT 环境的过程与此相同。理想情况下，管理员应为每组远程用户设置多组写文件夹和读文件夹，并根据 OT 域内管理的角色分配权限。

归根结底，管理员的目标是避免直接远程访问 OT 环境，确保对传输的所有文件进行恶意软件扫描，并设置文件夹权限，防止文件服务器成为单一、开放的存储库。

菜鸟极速

绕过 DMZ 并从互联网直接连接到 ICS 的远程访问会带来更大的风险，SANS 研究所强烈建议管理员尽可能禁止此类连接。但这并非总是可行。例如，第三方承包商可能会在自己的系统上运行极其昂贵的客户端软件，用于对现场控制器进行编程。在这种情况下，购买另一个许可证安装到客户的跳转服务器上是不可行的，这就需要直接连接到 OT 环境。由于这些承包商的系统很可能连接到许多不同组织的网络，因此这种做法的风险要高得多，也不明智，但管理员可以采取一些措施，在别无选择的情况下尽可能确保直接连接的安全性。

首先，从管理的角度来看，企业应创建需要管理层批准的流程，以提供对 OT 网络的直接远程访问。考虑到被访问设备的运行重要性，管理层应了解授权的每个远程连接。

从管理角度看，这些远程用户仍需连接到 VPN 并进行上述验证，所有通信都要通过远程访问 DMZ。与第三方签订的合同应要求第三方对其设备采取合理的安全预防措施。措施包括使用专用设备（即从不用于访问互联网）、限制登录人员和可执行的程序，以及运行反恶意软件。设备连接到 VPN 后，应分配一个静态 IP 地址，这样 DMZ 防火墙就能将其访问限制在设备执行特定任务所需的主机和端口上。

在可能的情况下，应增加额外的控制措施，以确保 VPN 登录（无论是访问跳转服务器还是直接连接）只有在登录源于受信任的 IP 地址时才会成功。例如，可以维护一份属于授权供应商和员工的 IP 地址以及组织拥有的地址的清单，以进一步限制访问。

菜鸟极速

前面的章节介绍了如何将安全的远程访问连接架构到 ICS 中，但不幸的是，这些措施有时会被用户和承包商绕过。这些情况并无恶意；ICS 供应商希望（有时需要）全天候访问其设备以进行监控，因此其人员可能会建立未经授权的连接以实现访问。内部员工技术人员也可能出于不同的原因建立未经授权的连接，例如利用普通的互联网热点。在一种典型的情况下，现场技术人员可能需要在隆冬时节修复控制室中 OT 服务器的问题（或事先知道他/她需要在凌晨 2 点进行更改）。在这种情况下，技术人员可能会将热点连接到该服务器，这样他/她就可以在床边进行所需的更改并保持温暖，而不用在寒风中穿过营地前往服务器机房。

无论其来源如何，这些连接的意外后果是它们提供了绕过组织安全措施的捷径，让恶意行为者有机可乘。为防止这种情况发生，管理员应与供应商确认，他们没有设置任何未经授权的连接，今后也不会这样做。在现场，管理员应注意以下类型的未授权连接：

手机调制解调器/热点（设备）、
拨号调制解调器、
未经授权的 ISP 连接、
通过以太网、无线、MPLS 或 VPN 直接连接供应商网络。

为了解决用户或供应商对安全协议不耐烦的问题，管理员必须在有效的安全性和易用性之间取得平衡。如果供应商人员需要自己的远程访问连接进入 ICS，应确保他们真正获得授权，并设置适当的访问控制，坚持最小权限和零信任原则，使这些用户只能执行所需的任务。如果可能，在默认情况下禁用这些连接，只有在需要时才手动启用。与供应商合作，了解他们的要求，建立一个包含适当安全控制的合适解决方案。如果供应商要求使用专用连接进行监控，应确保该连接通过远程访问 DMZ 运行，并尽可能通过跳转服务器将其限制在单个网段内。

归根结底，这项任务需要对员工和供应商进行教育，并制定明确的政策供他们遵守。不过，即使有了明确的政策和沟通，目视检查也是不可替代的。查看周围是否有未经授权的连接--越是偏远的站点，越有可能存在未经授权的远程连接。

菜鸟极速

在 DMZ 进行远程连接的首选方法与技术人员所习惯的方法相比，涉及更多的身份验证步骤，因此遵循所有这些步骤可能会让远程技术人员缺乏热情。改变日常工作很少容易，但远程用户必须接受额外的安全措施。

获得利益相关者认可的方法之一是进行类比。为了工作场所的安全，工业环境中的员工会定期参加安全会议并佩戴个人防护设备。将这些措施与安全远程访问连接所需的步骤联系起来，有助于让远程用户相信这些措施的重要性。此外，要求远程用户在三天内完全适应新的例行工作，然后重新评估他们的情况，也会起到意想不到的效果。这个时间间隔看似很短，但我们发现它足以让远程用户熟悉新的例程。

关于远程访问连接到综合监控系统的最后一些指导意见：

应用最新补丁- 远程访问系统可从互联网访问，必须始终可用，并用于让外部人员访问受保护的网络，因此是一个非常有吸引力的目标。使用最新的补丁程序更新远程访问系统，可以减少已知漏洞的风险。
教育员工- 为需要远程访问的用户提供有针对性的培训，并确保传达始终遵循所需步骤的重要性。

此外，关键基础设施安全局 (CISA) 提供了 "配置和管理工业控制系统远程访问 "指南[1]. 虽然该指南是 2010 年发布的，但在今天仍然非常适用。 CISA 推荐的主要最佳做法包括

进行正式的威胁和风险评估
消除与关键运行资产的所有直接连接
超出默认方式的安全调制解调器访问
使用 DMZ 隔离业务和控制架构
建立特定于用户的身份验证服务器
为所有远程访问创建安全保证政策
仅使用全隧道加密技术
none
尽可能使用多因素身份验证
使用基于角色的授权级别
使用专用硬件和软件支持远程访问解决方案。

由于远程访问连接可为企业带来诸多益处，因此 ICS 的远程访问连接将继续存在。对于管理员来说，遵循最佳实践以确保远程连接安全所需的步骤似乎同样繁多，但重要的是要记住，任何组织都不能让这些连接被恶意行为者利用。遵循最佳实践是一项艰巨的任务，但它却是有效的 ICS 网络安全的重要组成部分。

在本系列的第四部分，我们将探讨跨越 IT/OT 边界的安全通信。企业比以往任何时候都有更多理由允许数据跨边界传输，但保持边界安全同样重要。

菜鸟极速

[1]

菜鸟极速

查看斯蒂芬的简历、对 ICS 的贡献，以及他即将教授的 ICS410 课程。这里.

菜鸟极速

有第 1 部分这里
有第 2 部分这里