欢迎阅读关于工业控制系统 (ICS) 网络安全的多部分系列的第一部分：ICS 安全简介。 在第一篇博文中，我们将向您介绍这些系统是什么，解释它们为何如此重要，并概述保护 ICS 的独特挑战。

什么是工业控制系统？

工业控制系统用于管理、指导和调节自动化工业过程的行为。 ICS 是一个涵盖多种控制系统的术语，但所有这些系统都有一些共同的基本特征。他们的工作是产生期望的结果，通常是维持目标状态或在工业环境中执行特定任务。他们使用传感器执行此功能以收集真实世界的信息。然后，他们将这些数据与所需的设定点进行比较，并计算和执行命令功能，以通过最终控制元件（例如控制阀）控制过程，以维持所需的状态或完成任务。

从恒温器到 SCADA

虽然远非复杂，但恒温器是大多数人都熟悉的简单控制系统的一个例子。它监控封闭空间内的温度，并打开加热或冷却装置以保持所需的温度。

另一方面是大规模、复杂的环境，需要多个不同的系统协同工作，以实现工业设备功能的自动化。广泛使用的 Purdue 参考架构模型将 ICS 划分为多个级别，我们将在本系列的后续博客文章中更详细地介绍这些级别。暂时，我们将ICS的组件总结如下：

• 传感器和执行器——操纵它们所连接的机械组件（例如阀门、开关、继电器）的设备以及向控制器报告现场数据的传感器。这是连接网络环境与物理世界的关键点。
• 控制器——从传感器接收输入并根据其编程调整执行器的设备。
• 本地监督系统——使操作员能够监督、监控和控制物理过程的系统。这些界面可能使用 Windows 等商品操作系统，但通常是更简单的设备，如触摸屏。
• 管理系统——工业控制网络顶层的服务器和工作站。作为所有 ICS 控制和监控的端点以及业务系统的连接点，这些系统对整个 ICS 环境具有广泛的可见性，通常跨越多个地理区域。
• 业务系统——企业级服务，使用 ICS 运营数据和遥测技术进行业务应用程序，如计费、建模、趋势和报告。这些系统不被视为工业控制网络的一部分。

为什么要关心 ICS？

工业控制系统基本上无处不在。您喝的水、告诉您何时停止和离开的交通信号灯以及为您用来阅读本博客的设备供电的电力都来自如果没有 ICS 启用的自动化流程就无法运行的服务。这些系统也是国家安全问题。美国国土安全部列出了 16 个关键基础设施部门，其资产和功能被认为对国家经济安全和公共卫生或安全至关重要，列出的每个部门都严重依赖 ICS：

• 化工
• 商业设施
• 通讯
• 关键制造
• 大坝
• 国防工业基地
• 紧急服务
• 能源
• 金融服务
• 食品和农业
• 政府设施
• 医疗保健和公共卫生
• 信息技术
• 核反应堆、材料和废物
• 交通系统
• 水和废水系统

在这些关键基础设施领域的每一个中，不同的工业控制系统都在不断地调节流量、打开和关闭断路器、监控温度水平以及执行许多其他功能。例如，疫苗生产目前是全球的主要优先事项，该过程中使用的 ICS 的批次控制功能对于制药公司的大规模生产工作至关重要。这些部门中任何一个部门的 ICS 中断都可能产生重大后果。在一线员工必须处理爆炸性或有毒物质的工作场所，系统故障可能导致严重伤害或死亡。

很容易理解为什么工业控制系统是组织良好的威胁参与者进行网络攻击的最高价值目标之一。这些团体的目标可能从盗窃知识产权到敌对民族国家故意造成损害，但 ICS 系统对任何工业化国家日常运作的重要性使它们成为任何希望造成最大损失的团体的理想目标以相对较低的资源成本实现中断水平。

对主要公用事业公司的攻击可能会严重影响大量人口，例如 2015 年对乌克兰三个能源分销公司的网络攻击，该公司在冬天的中心暂时切断了超过 200,000 名客户的电力超过三个小时。自 2016 年以来，还公开披露了三起对供水系统的攻击，对客户的健康构成直接风险。仅在 2015 年，美国水和废水行业就发生了 25 起网络安全事件，随后发生了这些攻击。

使问题更加复杂的是公用事业的有限预算，尤其是那些由较小城市运营的公用事业。农村公用事业公司经常缺乏雇用一名 IT 人员的预算，这使他们无法应对大多数类型的网络威胁。

ICS 网络安全的挑战

工业控制系统的一些关键特性使得它们在本质上比 IT 环境更具挑战性。一方面，这些是必须实时精确运行的确定性设备，安全层可能会阻碍它们的性能。如果 ICS 设备必须以 1/60 秒的精确间隔测量电流，它们就无法容忍后台运行的安全软件产生的潜在延迟。其次，ICS 的某些组件基本上一直在运行，它们的持续运行可能是组织驱动力不可或缺的一部分（例如，推动利润或维护健康与安全）。必须精心计划因对这些系统进行更改或安装更新而导致的任何停机时间，以确保将服务中断降至最低水平。

虽然它们可以处理复杂的工业应用，但工业控制系统具有内在的简单性：它们控制着它们设计的过程，仅此而已。随着时间的推移，这些系统有了很大的改进，但它们的发展路径与 IT 不同，它们的安全功能并没有像安全从业者所希望的那样受到关注。

继承的不安全感：ICS 沿袭

第一个工业控制系统是针对它们所经营的不同部门的要求而定制的。例如，工厂车间自动化的早期阶段依靠工业继电器、气动柱塞定时器和电磁计数器的机架来启动和停止电机。根本没有终端或网络连接，编程更改由车间的电气工程师进行，通过物理更改电路来更改程序。这些系统本质上是预定义的、不灵活的和停滞的，实施任何更改或对其进行维护都非常困难。

1975 年，随着第一款可编程逻辑控制器 (PLC) Modicon 184 的发布，实现了重大飞跃。该设备可以从运行供应商编程软件的个人计算机通过专有媒体和协议进行编程。用于对第一代 PLC 进行编程的主要通信协议是 Modbus（通过串行接口），于 1979 年推出。Modbus 现在是开源的，事实证明它非常可靠且易于使用，直到今天仍在使用，开发人员已将其调整为在 TCP/IP 网络上工作。不幸的是，这带来了一个重大的安全问题，因为 Modbus 请求和响应数据包是在未加密且未经身份验证的情况下发送的，并且使用已建立的方法很容易拦截、修改和重放它们。虽然现代 ICS 中目前使用了其他几种协议，但它们中的许多都有类似的漏洞。

然而，ICS 设备中固有的安全缺陷超出了通信协议。从安全的角度来看，那些被证明最易于使用和最耐用的设备自相矛盾地是最容易出现问题的设备之一，因为它们的使用寿命极长，因此它们缺乏实现所需的硬件、马力或编程安全功能。

由于 ICS 的实际应用种类繁多，还有大量不同的、通常是专有的系统构成了当今的 ICS 环境。大多数 IT 组织使用 Windows 等知名操作系统，因此很容易找到经验丰富的管理员。 ICS 中使用的系统、协议和编程方法更加多样化，这是供应商坚持各自产品线的专有技术的结果。因此，每个 ICS 环境通常都是独一无二的，并且可能具有由具有不同优先级和专业技能的操作员运行的多个不同系统。

总之，重要的是要注意 ICS 从业者历来重视可靠性和互操作性。这是因为工业控制系统通常需要连续使用，在多供应商环境中提供长期使用寿命的关键功能。因此，当许多这些环境首次投入使用时，安全实践并不普遍，并且安全功能和实践近年来才开始集成到 ICS 系统中。

新的开口，新的威胁载体

随着世界各地的组织将更多的 ICS 功能暴露给他们的企业网络和云以提高业务和运营效率，他们在不知不觉中为他们的工业控制系统开辟了新的潜在攻击媒介。恶意行为者经常成功地访问公司网络，并且在许多记录在案的案例中，获得了对 ICS 环境的访问权，并造成了从微不足道到危及生命的各种破坏。

想要的：新员工，新想法

 

虽然这里提到的问题很重要，但它们与其他社会经济因素的融合，包括石油和天然气行业的收缩，为考虑职业转变的个人提供了机会。那些在工业环境中具有 ICS 工作经验的人拥有成为 ICS 安全从业者的坚实基础。在 2021 年 SANS ICS 峰会的主题演讲中，美国国家安全委员会负责网络和新兴技术的国家安全副顾问 Anne Neuberger 表达了让具有这种背景的人参与进来的重要性：

“在我上一份工作中，我的团队中有几个人来自公用事业部门，他们非常有价值，并且参与了每一次讨论，因为人们一直在说‘这很有用。’”

除了 ICS 中使用的不同工具集之外，专家们也有不同的思维方式，它们承担着不同的使命、文化和对 ICS 环境独特风险的理解。那些拥有 ICS 实践经验的人会带来丰富的知识，这些知识可以帮助开发出确保我们的工业基础设施安全所需的知情方法。

愿意将其专业知识应用于 ICS 领域的 IT 安全分析师也可以极大地帮助改善 ICS 网络安全状况。虽然 ICS 供应商开始将更多的安全性纳入他们的产品和技术，但掌握 IT 安全最佳实践的人对于现在保护 ICS 环境至关重要。例如，所有 ICS 协议最终都将得到强化和保护，就像 FTP 和 TELNET 在 IT 领域逐渐被 SFTP 和 SSH 取代一样。然而，在这些类型的改进出现之前，可以采用经过验证的 IT 安全实践来保护 ICS：网络分段与强大的外围保护以及强大的监控、检测和响应相结合。

在本系列的下一部分中，我们将进一步深入研究 ICS 网络安全的当前状态，检查最佳实践和架构标准，同时回顾从最近对 ICS 基础设施的攻击中吸取的宝贵经验。

原文：https://www.sans.org/blog/introduction-to-ics-security/

本文：https://jiagoushi.pro/node/1794

安全 ICS 架构的 Purdue 模型和最佳实践

在本系列的第一部分中，我们回顾了工业控制系统 (ICS) 的独特沿袭，并介绍了保护 ICS 的一些挑战。 在第二部分中，我们将向读者介绍普渡企业参考架构 (PERA)、其他专用于 ICS 网络安全的参考模型和出版物，以及保护这些至关重要的系统的架构和管理最佳实践。

回顾：ICS 网络安全的挑战

在我们对 ICS 的“固有不安全”性质的概述中，我们确定了保护这些系统的挑战，因为它们具有高可用性要求和缺乏固有的安全功能。在运营商和安全从业人员在运营技术 (OT) 环境中应对这些挑战之前，信息技术 (IT) 管理员面临着类似的挑战。第一代 IT 网络的管理员首先在外围解决了安全挑战，实施了第一批防火墙设备，将其受信任的局域网与不受信任的广域网（以及后来的 Internet）隔离开来。

保护 ICS 要求我们做同样的事情：创建一个可防御的环境。然而，在这种情况下，组织的 IT/业务网络组件对 ICS/OT 代表相同的不受信任区域，就像 Internet 对 IT 网络代表一样。再一次，分割是必需的，但沿着什么方向？普渡企业参考架构有助于回答这个问题。

普渡企业参考架构简介

Purdue 模型创建于 1990 年代初期，旨在为工业控制系统和业务网络之间的关系定义最佳实践（或使用可互换的术语，在 OT 和 IT 之间）。在它的第一次迭代中，有三个组件：

• 普渡企业参考架构
• 普渡参考模型
• 普渡实施程序手册

随着时间的推移，该模型逐渐发展为包括物理系统架构指南，并引入了环境的六个网络级别，描述了驻留在每个级别的系统和技术：

PURDUE级别	描述	例子
第 5 级：企业网络	支持单个业务部门和用户的企业级服务。 这些系统通常位于企业数据中心。	服务器提供： 企业活动目录 (AD) 内部电子邮件 客户关系管理 (CRM) 系统 人力资源 (HR) 系统 文件管理系统 备份解决方案 企业安全运营中心 (SOC)
第 4 级：业务网络	本地站点业务用户的 IT 网络。 连接到企业广域网 (WAN) 和可能的本地 Internet 访问。 直接 Internet 访问不应低于此级别。	商务工作站 本地文件和打印服务器 本地电话系统 企业 AD 副本
IT/OT BOUNDARY (DMZ)
3级： 全站监督	对站点或区域的监控、监督和运营支持。	管理服务器 人机界面 (HMI) 报警服务器 分析系统 历史（如果适用于整个站点或区域）
2级：地方监督	对单个过程、单元、生产线或分布式控制系统 (DCS) 解决方案进行监控和监督控制。 将流程彼此隔离，按功能、类型或风险分组。	人机界面 报警服务器 过程分析系统 历史学家 控制室（如果范围为单个过程而不是站点/区域）
级别 1：本地控制器	提供过程、单元、生产线或 DCS 解决方案的自动化控制的设备和系统。 现代 ICS 解决方案通常结合 1 级和 0 级。	可编程逻辑控制器 (PLC) 控制处理器 可编程继电器 远程终端单元 (RTU) 特定过程的微控制器
0 级：现场设备	用于电池、生产线、过程或 DCS 解决方案的传感器和执行器。 通常与 1 级结合使用。	基本传感器和执行器 使用现场总线协议的智能传感器/执行器 智能电子设备 (IED) 工业物联网 (IIoT) 设备 通信网关 其他现场仪表

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

一般来说，当您向下移动层次结构（从第 5 级到第 0 级）时，设备对关键流程的访问权限会增加，但内在的安全功能会减少。因此，较低级别的设备更依赖于网络和架构防御，以及位于较高级别的设备来保护它们。

在这一点上，重要的是要注意 PERA 从未打算成为网络安全参考模型。它旨在描述管理工业部门网络的企业和工业部门之间分割的最佳实践。尽管如此，它作为 IT/OT 安全中的概念框架仍然很流行，因为它显示了可以在哪里添加安全措施。

PERA 的一个关键方面是 0-3 级表示的 ICS/OT 系统与 4 级和 5 级企业网络的 IT 系统之间的边界点。从历史上看，管理员保护 ICS 系统的方式是最小化，甚至消除，两个环境之间的任何互连。随后，对于两者之间不存在互连的架构，OT 和 IT 之间的边界通常被称为“气隙”。随着对来自 OT 方面的更多数据的需求增加，管理员不得不通过防火墙连接这两个级别，这些防火墙仔细控制对非军事区 (DMZ) 的访问。防火墙调解 IT 和 OT 之间的所有通信，目的是消除两个环境之间的直接通信。

辩论普渡在 ICS 网络安全中的作用

网络安全界流行的一句话是：“所有模型都是错误的，但有些是有用的。”这当然适用于普渡模型，在考虑自 1990 年代以来技术如何发展时，该模型无疑具有局限性，从而促使业务目标和风险承受能力也发生变化。正如本系列的第一部分所讨论的，技术进步和成本效率促使组织从其 ICS 系统（位于 PERA 的 0-3 级）中提取更多数据。例如，远程连接到 ICS 可以降低操作员的劳动力成本和响应时间。此外，来自 ICS 的信息支持趋势、优化和计费等关键业务功能，有助于提高效率，同时增加 ICS 遭受攻击的风险。

一些批评者认为，PERA 将控制系统网络设想为与其他一切分离，并且对实时 OT 数据的需求增加以及基于云的系统和服务的结合消除了完全封闭系统的概念僵化的等级制度。在 2019 年 S4 会议上，Joel Langill 和 Brad Hegrat 就该主题进行了精彩讨论，可在此处查看。讨论的主题是“普渡模式是否已死”，赫格拉特先生认为普渡模式本质上已经死了，因为“融合杀死了它1”。在辩论的另一边，Langill 先生承认，虽然“从网络的角度来看，架构可能已经死了”，但该模型是最先展示“这些部分应该如何分层和互操作”的模型之一，并且“如果我们忽略了这一点，我们就会忽略我们最初创建等级制度的原因2。” Langill 认为，虽然该模型从未被视为安全参考架构，但它仍然包含一些风险理念，可帮助安全从业人员了解信息如何在组织上流动，从而有助于识别和解决潜在的攻击向量。

虽然 IT 和 OT 之间（层次结构的第 3 级和第 4 级之间）假定的“气隙”很少适用于当今的架构，但工业环境的核心组件并没有改变；它们仍然包括带有连接到控制器的传感器和执行器的设备，这些控制器将其数据传递到组织中的系统链上。此外，虽然云技术的出现可能会在地理上模糊界限，但普渡模型总是按功能对网络进行分段，这仍然可以应用于具有大量云集成的 OT/IT 环境。

争论的双方都提出了正确的观点，但 SANS 研究所的共识是 PERA 仍然是一个有用的概念框架，因为它是第一个根据明确定义的分类法对控制系统组件进行分类的框架之一。即使其层次结构不再能够统一应用于现代架构，将 ICS 和 IT 设备和系统分类为不同的功能层也有助于管理员和安全从业人员确定在何处有效地应用安全措施。

SANS ICS410 参考模型

SANS 扩展了 Purdue 模型和我们将在下一节讨论的一些 ICS 网络安全框架，为 ICS410 创建了 ICS410 参考模型：ICS/SCADA 安全要素。 ICS410 模型是一种公开可用的基础参考架构，它为 Purdue 模型添加了明确的执行边界，有助于将 ICS 设备和网络安全控制置于安全的网络架构中。

ICS410 Reference Model

一般来说，ICS410 参考模型具有以下优点：

• 以模板方式引入多个单元（cells）/行（lines）/流程（processes ）的概念，并在多个站点进行扩展。
  • 这有助于将 Purdue 模型扩展到不同的 ICS 应用，从大型站点（例如工厂、矿山、制造）到区域/分布式网络（例如电力、石油/天然气、水）。
• 包括包含广域网 (WAN) 通信的控件
• 包括安全系统

ICS 参考模型还通过以下方式提供了有关网段之间实施边界的更多详细信息：

• 细分一些 Purdue 级别（例如，第 3 级分为管理服务器、HMI、工程工作站、测试/分级系统、网络安全操作、远程访问等子部分）
• 定义多个 DMZ 并要求 IT 和 OT 之间的所有连接都终止于 DMZ（即，推一个方向，拉另一个方向）。
  • Purdue 模型不包括 DMZ，尽管它们在实践中很常用。
• 在 2 级和 3 级之间引入次要执法边界，以保护：
  • 不同单元/生产线/工艺中的 2 级设备。
  • 来自恶意行为者的 2 级及以下设备，该恶意行为者已通过上层控制并进入 OT 环境。
  • 来自恶意行为者的 3 级系统利用较低级别的物理访问。
• 明确执行边界，这会创建可以应用额外安全控制的自然阻塞点。

最后，ICS410 参考模型为保护远程访问这一关键功能提供了明确的指导。

与其他框架和参考模型一样，ICS410 参考模型将需要更新以适应增加云连接和 ICS 网络中其他 IIoT 设备所需的新设备和通信路径。

审查 ICS 网络安全标准

如果说 PERA 通过有效的分类和分类为 ICS 网络安全奠定了基础，那么一系列其他框架和出版物已经建立在该基础之上，并提供了专门针对保护工业控制系统的指导。示例包括：

• NIST 网络安全框架 (CSF)
• NIST 800-82（工业控制系统安全指南）
• ISA 99.02.01/IEC 62443：工业自动化和控制系统的安全
• NIST Cybersecurity Framework (CSF)
• NIST 800-82 (Guide to Industrial Control Systems Security)
• ISA 99.02.01/IEC 62443: Security for Industrial Automation and Control Systems

连同行业特定指导：

• 北美电力可靠性公司的关键基础设施保护 (NERC CIP)
• 运输安全管理局 (TSA) 管道安全指南
• 网络安全和基础设施安全局 (CISA) 关键基础设施部门指南
• North American Electric Reliability Corporation's Critical Infrastructure Protection (NERC CIP)
• Transport Security Administration (TSA) Pipeline Security Guidelines
• Cybersecurity & Infrastructure Security Agency (CISA) Critical Infrastructure Sectors Guidance

NIST CSF 由美国国家标准与技术研究院 (NIST) 发布，是美国政府大部分关键基础设施保护指南的核心。这在 NIST CSF 的正式标题中得到了证明：“改善关键基础设施网络安全的框架”。同样，TSA 为管道运营商使用与 CSF3 一致的类别提供指导。

Purdue 模型对这些指南和出版物的影响很明显，它们都促进了工业网络环境中系统的有效分段和隔离，并要求在它们之间的边界进行安全控制。例如，NIST 800-82 将这一概念阐明如下：

在为 ICS 部署设计网络架构时，通常建议将 ICS 网络与公司网络分开。 这两个网络上的网络流量性质不同：Internet 访问、FTP、电子邮件和远程访问通常在公司网络上被允许，但在 ICS 网络上不应该被允许。 公司网络上可能没有针对网络设备、配置和软件变更的严格变更控制程序。 如果 ICS 网络流量在公司网络上传输，则可能会被拦截或遭受 DoS 攻击。 通过拥有独立的网络，企业网络上的安全和性能问题应该不会影响 ICS 网络4。

这里引用的标准都共享许多核心概念，包括：

• 资产管理和分类，包括关键资产的定义及其在框架中的角色。
• 建立和维护包括风险评估和管理在内的安全计划。
• 安全网络和系统架构原则，强调隔离。
• 事件响应。
• 身份、访问管理、身份验证和授权。
• 数据和信息保护。
• 安全配置、漏洞管理和修补。
• 安全事件监控。
• 控制的实际应用。

在最后一节中，我们将扩展其中一些概念，并研究如何将这些指导原则转化为具体的管理任务。

应用原则：现代 ICS 网络安全架构的最佳实践

正如我们在本系列的第 1 部分中所讨论的，保护 ICS 网络可能很困难，原因有很多，包括需要连续和确定性的操作、多供应商环境中的互操作性、设备的种类和使用年限以及它们缺乏内在的安全性能力。由于这些限制，保护 ICS 环境的最佳机会是拥有强大的架构防御，从网络层开始，并在上述标准和框架提供的指导中突出显示。

强大的网络架构可提高 ICS 安全性，并为随着时间的推移可以实施额外的安全措施奠定基础。 Purdue 模型、NIST SP800-82、IEC 62443 和 SANS ICS410 参考模型都非常强调网络分段和分段之间的通信控制。

正如边界防火墙被普遍部署以保护企业环境免受基于 Internet 的攻击一样，ICS 环境应该在其许多实施边界上提供保护。尽管工业流程在普渡模型中处于较低级别，但最敏感的数据和控制点通常位于第 3 级，这也是大多数攻击者首先从业务网络访问 ICS 网络的地方。

从根本上说，ICS 系统应该使用完全独立于业务网络的专用基础设施。通过有效的分段，3 级和 4 级之间的防火墙可以控制进出 ICS 网络的网络通信。此防火墙应阻止进出 ICS 网络的所有通信，并明确允许仅最低要求的通信。

攻击也可能来自远程站点，尤其是在分布广泛的环境中。出于这个原因，应在 2 级和 3 级之间配置辅助执行边界，以保护管理系统免受来自现场的攻击，并保护各个现场站点免受彼此的攻击。这些强制边界通常使用路由器访问列表来实现，以避免关键进程通信通过可能阻碍合法通信的防火墙。

Recommended enforcement boundaries for sensitive data at Level 3

ICS 网络的完整功能需要许多不同类型的系统，包括操作员工作站、HMI、工程工作站、管理服务器、数据库服务器、历史记录器、警报服务器和许多其他专用系统。每个系统都有一个明确定义的角色，并且需要对其他系统进行特定的网络访问。因此，每个级别应进一步细分为多个网络，其中具有共同角色的系统可以驻留，并具有控制它们与网络其余部分通信的执行边界。

应创建多个 DMZ，每个都有专门的用途，以促进 ICS 网络和业务网络之间的通信。远程访问、云访问和 Internet 访问也可以通过专用 DMZ 进行调解。 DMZ 的实现和配置将在以后的博客文章中更详细地探讨。

执行边界不仅控制不同类别​​系统之间的通信，而且还充当自然网络“阻塞点”，可以监控和保存网络流量以供以后分析。防火墙生成的日志，结合从网络捕获的原始数据包，是丰富的信息来源。由于 ICS 网络是相对静态的，因此可以创建“正常”通信的基线，然后用于检测异常和威胁。

完整网络架构的详细分解超出了本博客的范围，但是有几个重要的最佳实践可供遵循：

• 4 级以下不应访问 Internet。
• 操作人员可能有一台单独的专用商务计算机，用于访问电子邮件、互联网和打印等服务。
• 可以实施 Active Directory (AD) 来帮助管理控制网络，但任何此类 AD 部署都应完全独立于业务 AD。域控制器和其他 AD 服务器应放置在第 3 级。
• 应采用如 ICS410 参考模型中所示的强制边界。
• 默认情况下，防火墙应阻止所有通信，只允许所需的通信。
• 所有对 ICS 网络的访问都应该需要额外的身份验证层，包括多因素身份验证。
• 应提供一种安全机制，以便在检查恶意软件时将文件传入和传出 ICS 网络。
• ICS 系统应该有专门的基础设施，例如不依赖于业务网络的防病毒和补丁系统。
• 应监控和记录所有进出控制网络的通信。

随着越来越多的供应商利用基于云的管理系统，从业者需要发展他们的 ICS 架构。必须与云通信的设备应放置在单独的专用区域中，将其网络访问限制为仅对其基于云的控制器和它们必须与之通信的本地系统进行访问。

此处提供的指南仅介绍了 ICS 网络安全最佳实践的一小部分。除了架构标准之外，安全从业人员还需要考虑一些控制措施，随着新功能需求和新技术不断进入等式，ICS 网络安全领域将不断发展。尽管如此，久负盛名的普渡模型经受住了时间的考验，提供了有关风险的想法和通用词汇，这些知识为当今许多受到关注的出版物和模型提供了信息。

随着我们关于 ICS 网络安全系列的继续，我们将深入研究具体的安全措施，包括在执法边界实施和配置非军事区的最佳实践。

专业术语

客户关系管理 (CRM)	CRM 系统是一个中央存储库，企业可以在其中存储客户和潜在客户数据、跟踪客户交互并与同事共享此信息。 它允许企业管理与客户的关系，从而帮助企业发展。
安全运营中心 (SOC)	一个专用的集中式站点，用于监控、评估和保护企业信息系统（网站、应用程序、数据库、数据中心和服务器、网络、桌面和其他端点）。
人机界面 (HMI)	人机界面 (HMI) 是特定设备或软件应用程序的功能或组件，它使人类能够与机器互动和互动。 在 ICS 中，HMI 通常是将用户连接到机器、系统或设备的屏幕或触摸屏。
可编程逻辑控制器 (PLC)	一种固态控制系统，具有用户可编程存储器，用于存储指令，以实现特定功能，例如 I/O 控制、逻辑、定时、计数、三模式 (PID) 控制、通信、算术和数据和 文件处理。
远程终端单元 (RTU)	远程终端单元 (RTU) 通常部署在工业环境中，是一种多用途设备，用于远程监视和控制各种设备和系统以实现自动化。 它的用途与可编程逻辑电路 (PLC) 相似，但程度更高。 RTU 被认为是独立的计算机，因为它共享相同的核心组件：处理器、内存和存储。 随后，它可以用作其他设备的智能控制器或主控制器，共同实现工业过程的自动化。
智能电子设备（IED）	工业控制系统随处可见，例如监控和数据采集 (SCADA) 或分布式控制系统 (DCS)，IED 是添加到 ICS 以实现高级电力自动化的设备。 IED 是许多工业过程中使用的功率调节的一部分，例如控制断路器、电容器组开关和电压调节器。 这些设置由设置文件控制。 文件的创建和测试是 IED 涉及的最大任务的一部分。
工业物联网 (IIoT)	传感器、仪器、机器和其他设备联网在一起并使用互联网连接来增强工业和制造业务流程和应用程序。

原文：https://www.sans.org/blog/introduction-to-ics-security-part-2/

本文：https://jiagoushi.pro/node/1795

远程访问最佳实践

远程访问连接对 ICS 的重要性

在互联网出现之前，大多数组织的 ICS/OT 环境是“隔离的”，这意味着它没有与外部网络的连接。因此，网络安全措施并不是 ICS 的主要考虑因素。然而，正如本系列的第一部分所讨论的，必须克服这种思维方式在互联网时代的持续存在，因为 ICS 环境现在更加互联并依赖于实时操作数据。随后，它们已成为威胁团体的高价值目标。

与 ICS 进行远程访问连接的好处是如此显着，以至于许多组织现在在日常运营中依赖这些类型的连接。例如，当一个组织需要检查、重新编程或更新其 ICS 时，将供应商技术人员从另一个地点派往现场远不如让技术人员远程连接到设备以立即执行工作而无需旅行费用。对于位于远程现场站点的 ICS 的持续管理，远程访问也更可取，因为它使一名技术人员能够管理多个站点，从而最大限度地提高他/她的效率。

因此，与 ICS 的远程连接将继续存在。不幸的是，它们是近年来几次成功的、备受瞩目的网络攻击的关键因素，包括 2014 年的蜻蜓攻击、2015 年的乌克兰电网攻击和 2021 年的奥兹马尔事件。

但是，对于远程连接到 ICS，可以遵循一些最佳实践，这些实践可以大大降低攻击成功的可能性，并确保在获得关键操作技术的访问权限之前发现并阻止威胁参与者。

普渡企业参考架构中的远程访问

澄清一下，我们所指的远程连接是从 Internet 和/或组织的业务网络到其 OT 环境的连接。这些连接提供了对位于 Purdue Enterprise Reference Architecture 的第 3 级及以下的设备的访问，我们在本系列的第二部分中对此进行了深入介绍：

PURDUE级别	描述	例子
第 5 级：企业网络	支持单个业务部门和用户的企业级服务。 这些系统通常位于企业数据中心。	服务器提供： 企业活动目录 (AD) 内部电子邮件 客户关系管理 (CRM) 系统 人力资源 (HR) 系统 文件管理系统 备份解决方案 企业安全运营中心 (SOC)
第 4 级：业务网络	本地站点业务用户的 IT 网络。 连接到企业广域网 (WAN) 和可能的本地 Internet 访问。 直接 Internet 访问不应低于此级别。	商务工作站 本地文件和打印服务器 本地电话系统 企业 AD 副本
IT/OT BOUNDARY (DMZ)
3级： 全站监督	对站点或区域的监控、监督和运营支持。	管理服务器 人机界面 (HMI) 报警服务器 分析系统 历史（如果适用于整个站点或区域）
2级：地方监督	对单个过程、单元、生产线或分布式控制系统 (DCS) 解决方案进行监控和监督控制。 将流程彼此隔离，按功能、类型或风险分组。	人机界面 报警服务器 过程分析系统 历史学家 控制室（如果范围为单个过程而不是站点/区域）
级别 1：本地控制器	提供过程、单元、生产线或 DCS 解决方案的自动化控制的设备和系统。 现代 ICS 解决方案通常结合 1 级和 0 级。	可编程逻辑控制器 (PLC) 控制处理器 可编程继电器 远程终端单元 (RTU) 特定过程的微控制器
0 级：现场设备	用于电池、生产线、过程或 DCS 解决方案的传感器和执行器。 通常与 1 级结合使用。	基本传感器和执行器 使用现场总线协议的智能传感器/执行器 智能电子设备 (IED) 工业物联网 (IIoT) 设备 通信网关 其他现场仪表

 

 

 

 

理想情况下，到 ICS 的远程连接应该通过 IT 和 OT 段之间的非军事区 (DMZ)，在本系列的这个版本中，我们将仔细研究安全远程访问架构。 防火墙、身份验证服务、跳转服务器和文件服务器都在安全地进行这些连接方面发挥着至关重要的作用。

在根据最佳实践构建的环境中，我们建议由位于 3 级和 4 级交界处的服务器组成的多个 DMZ，每个专用于特定目的。 DMZ 服务包括托管远程访问连接、管理云连接、作为进入 OT 的 IT 网关，以及作为从 OT 进入 IT 环境的网关。 这些服务器协同工作以适应远程用户可能需要的每个功能，同时执行对 OT 环境的最低权限访问策略。

Multiple DMZs are recommended to control communication into and out of the OT network

通过 DMZ 与 ICS 进行远程访问连接的最佳实践

在可能的情况下，技术人员的远程连接应通过将 IT 环境（即业务网络）连接到 OT 环境的 DMZ 集中起来。 这为管理员和安全从业人员提供了最大的可见性、最佳的活动跟踪和记录，以及对远程访问 OT 环境的所有用户的身份验证和访问控制。

OT 员工的远程连接应该需要两个单独的步骤：与 ICS DMZ 建立 VPN 连接，然后通过跳转主机（或跳转服务器）使用强化远程桌面 (RD) 进行第二次连接，该主机提供仔细控制、基于角色的访问 OT 系统。

Components of secure remote access for ICS networks

以下部分介绍了通过 DMZ 将连接配置到 ICS/OT 环境的各种单独组件。

认证（Authentication）

首先，管理员应确保需要远程访问的每个人都使用命名帐户进行连接；任何共享帐户都不应用于此目的。远程访问用户只应被授予对启用他们必须执行的任务的系统的访问权限，仅此而已。

远程 OT 用户应使用专用远程访问帐户（理想情况下，这些不是 OT 域帐户）通过多因素身份验证 (MFA) 对 VPN 服务器进行身份验证。一旦连接到 VPN，应该只允许远程用户连接到跳转主机或安全文件传输机制。连接到这些服务时，远程用户将进行第二次身份验证，这次使用的是 OT 域凭据。在这两个阶段，管理员都应该记录和监控登录活动，在多次失败的身份验证尝试后锁定帐户，并终止会话持续不活动。

Secure authentication to control networks

在 DMZ 的 OT/ICS 端（通常位于 Purdue 模型的第 3 级）拥有一个 Active Directory (AD) 域是此授权序列的关键组成部分。此域应专用于 ICS，不得以任何方式连接到公司 Active Directory。它通常放置在具有强制边界的专用 3 级子网中，以控制进出 AD 的通信。在此 Purdue 级别部署 AD 服务器具有许多优势，包括：

• 管理和执行 ICS 中所有 Windows 资产的安全策略
• 作为身份验证的中央来源，因此不必在每个单独的设备上管理本地帐户
• 管理角色（使用 AD 组）以促进对用户活动的精确控制
• 集中创建、修改和删除帐户
• 集中记录所有 Windows 活动，包括身份验证
• 跳转服务器认证和权限设置

虽然在 OT 网络中使用 AD 无疑会通过扩大攻击面来增加风险，但它所支持的额外安全功能使得这种权衡是值得的。为了降低这种风险，Active Directory 应由对 Active Directory 有深入了解的训练有素的员工管理。不要害怕利用组织 IT 管理员的 AD 知识和经验。

跳转主机

对于下一步，应授予技术人员使用基于角色的访问权限访问跳转主机的权限。管理员可以使用 OT 域组强制执行此措施，这些域组仅授予对远程用户执行工作所需的系统和应用程序的访问权限。

跳转主机在超越身份验证的安全远程连接中发挥着重要作用。执行边界应限制与跳转主机之间的通信。每个角色的跳转主机应该只能与该角色管理的设备进行通信。这些服务器还应禁止用户在其工作站上运行任何软件或从其传输任何数据（例如，应在本地安全策略中禁用驱动器和剪贴板重定向）。相反，远程连接所需的所有软件和数据都应预先安装在跳转主机本身上。

Jump host communications for secure remote access

对于必须随身携带数据的一小部分，管理员应该创建安全的方法来扫描和清理传入和传出 OT 网络所需的数据。文件传输部分对此进行了更详细的讨论。

文件传输

ICS 系统的远程管理，无论是来自业务网络还是 Internet，通常都需要将文件传入和传出 OT 环境。文件传输到 OT 的示例包括软件更新和补丁、防病毒更新、配置更改、项目文件和其他文档。来自 OT 环境的数据可能包括日志和诊断信息或系统备份。下单和确认等交易数据经常以两种方式传输。

通过远程连接保护文件传输的方法在概念上类似于技术人员在亲自访问 ICS 环境时需要使用 USB 驱动器传输文件时使用的“浸羊”方法。这种方法要求技术人员首先将 USB 驱动器插入该位置的服务器，扫描 USB 驱动器上的所有文件并将“清理”的文件复制到插入服务器的另一个 USB 驱动器。然后，技术人员取出“清洁过的”USB 驱动器并使用它将文件传输到特定的 ICS 系统。

要通过远程连接执行相同的任务，管理员应在 DMZ 中设置文件服务器，配置一个只写文件夹和一个只读文件夹，并配备一个或多个防病毒扫描工具。远程用户将文件上传到服务器使用防病毒实用程序扫描它们的只写文件夹，然后将文件复制到位于 3 级的单独服务器上的只读文件夹。然后远程用户可以使用“清理” 文件中的只读文件夹并在 OT 网络中使用它们。使用相同的过程将文件移出 OT 环境。理想情况下，管理员应为每组远程用户设置多组写入和读取文件夹，并根据在 OT 域内管理的角色分配权限。

最终，管理员的目标是避免直接远程访问 OT 环境，确保对所有传输的文件进行恶意软件扫描，并使用文件夹权限防止文件服务器成为单个开放存储库。

直接连接最佳实践

绕过通过 DMZ 的路径并从 Internet 直接连接到 ICS 的远程访问会带来更大的风险，SANS 研究所强烈建议管理员尽可能禁止这些类型的连接。然而，这并不总是可能的。例如，第三方承包商可能在他们自己的系统上运行极其昂贵的客户端软件，用于对现场控制器进行编程。在这些情况下，购买另一个许可证来安装在客户端的跳转服务器上是不可行的，而是需要直接连接到 OT 环境。虽然这种做法风险更大，因此考虑到这些承包商系统可能连接到许多不同组织的网络，因此不明智，但管理员可以采取一些步骤，在没有其他选择的情况下尽可能确保直接连接的安全。

首先，从管理的角度来看，组织应创建需要管理层批准的流程，以提供对 OT 网络的直接远程访问。考虑到被访问设备的操作重要性，管理层应该了解每个授权的远程连接。

从管理的角度来看，仍应要求这些远程用户连接到 VPN 并如上所述进行身份验证，所有通信都通过远程访问 DMZ。与第三方签订的合同应要求他们对其设备采取合理的安全预防措施。措施包括使用专门用于此目的的设备（即从未用于访问 Internet）、限制谁可以登录以及可以执行哪些程序，以及运行反恶意软件。连接到 VPN 后，应为设备分配一个静态 IP 地址，以便 DMZ 防火墙可以将其访问限制为仅访问设备执行特定任务所需的主机和端口。

在可能的情况下，应添加额外的控制以确保 VPN 登录（无论是访问跳转服务器还是直接连接）只有在登录源自受信任的 IP 地址时才会成功。例如，可以维护属于授权供应商和员工的 IP 地址列表以及组织拥有的地址，以进一步限制访问。

防止未经授权的远程访问

前面的部分讨论了在 ICS 中构建安全远程访问连接，但不幸的是，这些措施有时会被用户和承包商绕过。在这些情况下没有恶意； ICS 供应商希望（有时需要）24/7 全天候访问他们的设备以进行监控，因此他们的人员可能会建立未经授权的连接以启用该访问。内部员工技术人员也可能出于不同原因设置未经授权的连接，例如利用通用 Internet 热点。在典型的场景中，现场技术人员可能需要在冬季中期解决控制室中的 OT 服务器问题（或提前知道他/她需要在凌晨 2 点进行更改）。在这些情况下，技术人员可能会将热点连接到该服务器，以便他/她可以在床边进行所需的更改并保持温暖，而不是在寒冷中跋涉穿过营地到服务器机房。

不管它们的起源如何，这些连接的意外后果是它们为恶意行为者可以利用的组织的安全措施提供了捷径。为防止这种情况发生，管理员应与供应商确认他们没有设置任何未经授权的连接，并且今后也不会这样做。在现场时，管理员应注意以下类型的未经授权的连接：

• 蜂窝调制解调器/热点（设备），
• 拨号调制解调器，
• 未经授权的 ISP 连接，
• 通过以太网、无线、MPLS 或 VPN 直接连接到供应商网络。

为了解决用户或供应商对安全协议的不耐烦，管理员必须在有效的安全性和易用性之间取得平衡。如果供应商人员需要自己的 ICS 远程访问连接，请确保他们真正获得授权，并实施适当的访问控制，遵守最小权限和零信任原则，以便这些用户只能执行他们要求的任务。如果可能，默认禁用这些连接并仅在需要时手动启用它们。与供应商合作，找出他们的要求并构建一个合适的解决方案，其中包括适当的安全控制。如果供应商需要专用连接进行监控，请确保它通过远程访问 DMZ 运行，并且仅限于网络的单个网段，如果可能的话，通过跳转服务器。

最终，这项任务归结为对员工和供应商进行教育，并制定明确的政策供他们遵循。然而，即使有明确的政策和沟通，也无法替代目视检查。四处寻找未经授权的连接——站点越远，越有可能存在未经授权的远程连接。

结论

无可否认，在 DMZ 进行远程连接的首选方法比技术人员习惯的方法涉及更多的身份验证步骤，因此执行所有这些步骤可能会遇到 OT 员工缺乏热情的情况。常规的改变很少容易，但远程用户必须购买额外的安全措施。

获得利益相关者认可的一种方法是通过类比。为了工作场所的安全，工业环境中的工作人员定期参加安全会议并穿戴个人防护设备。将这些措施与安全远程访问连接所需的步骤联系起来有助于让远程用户相信它们的重要性。此外，要求远程用户在三天内完全采用他们的新习惯，然后重新评估他们的情况可能会非常有效。这个间隔可能看起来很短，但我们发现它足以让远程用户熟悉新的例程。

关于 ICS 远程访问连接的最后一些指导：

应用最新补丁 - 远程访问系统可从 Internet 访问，必须始终可用，并用于为外部各方提供对受保护网络的访问，使其成为非常有吸引力的目标。使用最新补丁使它们保持最新状态可以减少您对已知漏洞的暴露。
教育员工——为需要远程访问的用户提供有针对性的培训，并确保传达始终遵循所需步骤的重要性。
此外，关键基础设施安全局 (CISA) 为“配置和管理工业控制系统的远程访问”[1] 提供了指导。尽管它于 2010 年发布，但该指南在今天仍然非常重要。 CISA 推荐的关键最佳实践是：

• 进行正式的威胁和风险评估
• 消除与关键运营资产的所有直接连接
• 超出默认方式的安全调制解调器访问
• 使用 DMZ 隔离业务和控制架构
• 建立用户特定的认证服务器
• 为所有远程访问创建安全保证策略
• 仅使用完整的隧道加密技术
• 使用特定于远程访问元素的密码策略
• 尽可能使用多因素身份验证
• 使用基于角色的授权级别
• 使用专用硬件和软件来支持远程访问解决方案。

ICS 的远程访问连接将继续存在，因为它们为组织提供了一长串好处。对于管理员而言，遵循保护远程连接的最佳实践所需的步骤可能看起来同样长，但重要的是要记住，任何组织都不能承受这些连接被恶意行为者利用的代价。遵循最佳实践是一条很好的路线，但它仍然是有效 ICS 网络安全的关键组成部分。

在本系列的第四部分中，我们将研究跨 IT/OT 边界的安全通信。企业比以往任何时候都更有理由允许跨此边界传输数据，但保持边界安全同样重要。

Sources

• [1] https://us-cert.cisa.gov/sites/default/files/recommended_practices/RP_Managing_Remote_Access_S508NC.pdf

About Stephen Mathezer

• Check out Stephen's bio, ICS contributions, and see his upcoming ICS410 course teaches here.

原文：https://www.sans.org/blog/introduction-to-ics-security-part-3/

本文:https://jiagoushi.pro/node/1796

降落飞机

我认识一家生产工厂的首席执行官，我们就叫他比尔吧，他希望他的关键团队成员真正了解他的运营团队每天为实现生产目标而承受的压力。比尔还希望他的经理和支持人员能够理解“让它发生”和“看着它发生”之间的区别。换句话说，他希望他的团队能够认识到认为自己有技能和知道自己有技能之间的区别，并坚定地理解如果只有“教育知识”而不是“知识结合起来”会有不同的结果有经验。”

比尔做了什么来灌输这一课？他为他的 10 名主要员工购买了一小时的飞行课程。

什么？飞行课？为什么？

首先，正如比尔解释的那样，如果没有背景或先前的经验，指导某人完成一项任务并不容易。如果你期待一个成功的结果，你需要重新设定你的期望，有目的地让他们接触相关的经验，并在他们完成现实世界的场景时指导他们。飞行就是一个很好的例子。看起来很简单，教练有一个精确的飞行控制副本，并坐在学生旁边告诉他或她该做什么。但是，在学生有足够的技能和经验来纠正自己的错误并最终降落飞机之前，教练最终会接管飞行控制并确保他们不会遇到麻烦。

所以比尔基本上用一小时的飞行场景来灌输一个教训，即如果学生缺乏经验，即使是经验丰富的飞行教练也无法指导学生完成降落飞机等复杂场景。从学生的角度来看，他们可能认为他们对飞行控制有足够的了解，他们甚至可能已经练习过连接到计算机模拟的控制轭。但他们很快就会发现，要成功降落飞机，知识必须与相关经验相结合，而且很多情况下不能模拟经验。相关经验是……嗯，相关的。

那么，如何获得相关经验呢？

为了回答这个问题，让我们谈谈什么是“相关”体验。我们必须首先看看工厂或工厂是如何建造和组织的，以创造一种盈利的产品。工厂或工厂由原始设备制造商 (OEM) 设备的集合组成，这些设备经过设计和整合以生产产品或控制最终成为消费品的过程。我们可以使用从生产牙膏到精炼汽油的任何例子。现代世界的这些奇迹确实是令人着迷的艺术作品，每一个都有自己的权利。在过去三年的职业生涯中，我一直对事物的制造方式充满好奇。

直到最近，我们才以网络安全进入我们词汇的方式将机器连接在一起。多年来，控制规则并未发生根本性变化，但连接性的变化迫使我们将网络安全技能添加到我们的工具包中。

在大多数情况下，原始设备制造商已经创建了自己的专业类型的机械或设计了基于在创建特定产品或控制特定过程方面拥有专业知识或经验的解决方案。例如，一个 OEM 可能完全了解如何填充牙膏管或将液体放入瓶中，而另一个 OEM 可能具有加热和混合所有成分以制造牙膏的专业知识。但是每个 OEM 都缺乏做对方做的事情的专业知识或经验。我们还必须了解，虽然 OEM 知道自己的机械设计，但最终客户将获得不同类型的体验，包括学习如何操作、维护和排除设备故障。 OEM 必须在设计设备时考虑到客户的不同但同样重要的观点，同时培养自己团队的技能，以尽可能高效地执行其特定任务。例如，OEM 的培训方案可能会教授诸如如何编码或如何确定控制阀尺寸等技能。另一方面，如果最终用户学习如何调整和调整机器或解决电气问题，他们的培训可能更有意义。

为什么这个故事很重要？它回到了获得相关经验将导致成功的前提。例如，我曾为多家机械 OEM 工作，我在这方面的相关经验是了解如何设计控制系统来控制某些过程。我需要获得的经验是了解控制阀如何响应物理阀的尺寸和响应。这涉及了解控制系统的响应并将正确的控制元件组合在一起，以便操作员可以输入他们想要的设定点，并且物理机械将以可预测和一致的方式响应。

将我的相关经验与操作员的经验进行对比。操作员需要了解如何设置控制设定点的值以及机器如何响应，如何输入和调整这些关键参数，以及如何响应警报条件。例如，如果操作员正在制作烘焙食品，并且要求他们了解甘蔗糖和甜菜糖之间的烹饪和口味差异，他们将需要知道如何调整机械参数，以使产品的味道相同，而无论其类型如何。用的糖。对我来说，作为与 OEM 制造商合作的人，我几乎不知道有不同种类的糖，我当然不知道当你用任何一种甜味剂烘烤时有什么区别。

这些各自的相关经验是不同的，但两者都是取得成功所必需的。我们当然可以理解，并不是所有的经历对每个演员都是平等的或相关的。在 ICS 网络安全培训方面也是如此。与您的培训相关的经验最终取决于您在何种环境中工作以及获得成功所需的技能。

ICS 网络安全深入研究

所以现在让我们谈谈我们希望通过 SANS ICS612：ICS 网络安全深度课程实现的目标和学习经验。所有课程的合著者都认为，我们需要提炼安全从业人员在生产或运营环境中会发现的系统类型，并让学生接触动手实验室，为他们提供操作、维护、监控、故障排除的相关经验，响应、恢复和保护工业领域的共同元素。例如，如果有人问我在我遇到的 90% 的工厂或工厂中发现了哪些共同元素，我会将这些共同元素分类如下：

• 实时嵌入式控制系统，如可编程逻辑控制器 (PLC)，可控制某些机器或过程
• 数字和模拟输入/输出子系统
• 基于协议的“智能”传感器和阀门（例如，Ethernet/IP、Highway Addressable Remote Transducer [HART]、DeviceNet、Profibus DP、Profibus PA 等）
• 过程可见性元素，例如电子操作员界面 (EOI)、人机界面 (HMI)，有时还有监控和数据采集 (SCADA) 系统
• 过程数据存储，如 Historian 或本地过程趋势数据库
• 网络设备可以是传统的基于以太网的协议和一些实时控制标准，如以太网/IP、Modbus、Profibus 等。
• 安全控制，例如防火墙、监控系统等。

上面的列表是对常见元素的高级分类，虽然不详细，但有助于确定可能需要的培训的主要领域。在您的培训中应考虑这些类别，因为您很可能会在工业环境中遇到这些类型的技术。

当我们开发 ICS612 时，我们决定每个学生都必须通过参与动手实验来获得经验。我们认为这将为学生提供相关经验，并使他们在课程结束时能够自信地发现问题并恢复工厂运营。当然，如果我们希望我们的学生恢复工厂运营，我们需要创建一个工厂。因此，我们创建了一个环境，让学生使用 PLC、网络 I/O、EOI、HMI 服务器、Historian 服务器和其他支持元素（如远程连接技术和工作工业非军事区）构建一个工作咖啡工厂。这使我们能够与学生一起研究每个元素，并最终在一个真正代表由复杂系统组成的系统的“系统系统”模型中。

了解如何对常见工业资产进行编程和操作是 ICS612 的基本必要组成部分，但我们认为如果不通过资产攻击实验室工作，这门课程将是不完整的。在工业生产环境中发现的每项资产都有不同的漏洞，了解如何构建和保护这些关键资产至关重要。动手攻击实验室经过精心设计，可以展示这些资产的优势和劣势。我们认为，工业网络安全课程的正确组合需要学习如何让资产在正常运行条件下工作，通过实验室练习保护资产，并通过攻击实验室发现漏洞。了解如何防守和进攻不仅有趣，而且非常重要。

正如我之前提到的，课程在第五天达到高潮，其中的场景涉及一家倒闭的咖啡厂。每个学生都应该让他或她的工厂部分启动并运行。随着咖啡工厂的一部分得到修复，我们鼓励学生互相帮助，让工厂的一部分得到修复。众所周知，网络安全是一项团队运动（这使得在虚拟环境中的培训更加困难）。一旦我们真正解决了故障模式，真正的故障排除就开始了。学生很快就会明白，在真实设备上工作与模拟环境有很大不同。当电机无法启动、保险丝熔断并且您闻到烟味时，或者由于继电器触点不工作而导致灯指示不正确时，您从解决问题中获得的冒险和信心会建立在计算机模拟之外.我们第五天的学生与第一天的学生有很大不同。他们获得了相关的 ICS 网络安全经验，可以立即在他们的工作环境中使用。我们的目标是提供培训，使从业者能够在现实世界中立即使用他们的 ICS612 课堂培训。 ICS612 校友的反馈始终与我们的目标相呼应，即他们的培训是相关的，让他们在工业运营环境中感到更加自信和有效。

那么比尔的 10 名工作人员的一小时飞行体验是怎么出来的呢？他说，参与者的经历将永远改变他们认为自己知道某事而不是真正知道自己知道某事的观点。问问自己，如果你必须将你的模拟飞行技能放在一架真正的飞机上，你对降落飞机有多大信心？

这一切都表明，知识和正确的经验是任何事情成功的关键。作为旁注，比尔实验的 10 名参与者中的一名后来成为了飞行员、飞机所有者，甚至拥有了自己的跑道！

哦，是的，顺便说一句，我也是一名私人飞行员。

在我的下一篇博客中，我将深入探讨 ICS612 的学习目标：深入 ICS 网络安全，更具体地说，为什么我们选择用“破碎”的咖啡工厂来挑战我们的学生，以加强我们在期间磨练的所有技能我们上课的前四天。

原文：https://www.sans.org/blog/a-look-into-ics612-ics-cybersecurity-in-depth…

本文：